Metodes vir inbraak met webtoepassings

Webtoepassings is programme waarmee gebruikers met webbedieners kan kommunikeer. Dit word in webblaaiers gebruik met behulp van skrifte aan die kliënt en op die bediener.

Die webtoepassingsargitektuur bestaan ​​uit:

  • Kliënt / aanbiedingslaag
  • Besigheidslogika-laag
  • Databasislaag

Die kliënt / aanbiedingslaag bestaan ​​uit toestelle waarop die toepassing loop. Sulke toestelle sluit skootrekenaars, tablette, slimfone, ens. In.


Die bedryfslogika-laag het twee lae:


  • Web-bediener logika laag wat bestaan ​​uit komponente wat versoeke en antwoorde hanteer, en die kodering wat data lees en terugstuur na die blaaier



  • Bedryfslogika-laag wat die toepassingsdata bevat

Die databasislaag bestaan ​​uit 'n B2B-laag en 'n databasisbediener waarin die organisasie se data gestoor word.



Bedreigings en aanvalle op webtoepassings

OWASP is 'n oop gemeenskap wat daarop gemik is om organisasies in staat te stel om toepassings te bedink, te ontwikkel, te bekom, te bedryf en te onderhou wat vertrou kan word.

OWASP Top 10-projek lewer 'n dokument wat die top 10-beveiligingsbedreigings vir toepassings beskryf.


Die nuutste dokument bevat die volgende top 10 veiligheidsbedreigings:

Inspuiting

Spuitaanval is 'n aanval waarin die aanvaller kwaadwillige data in opdragte en navrae inspuit wat dan in die toepassing uitgevoer word.

Hierdie aanval is gerig op invoervelde of toegangspunte van die toepassing en laat aanvallers sensitiewe inligting toe.

Die mees gebruikte inspuitingsaanvalle is:


  • SQL-inspuiting is 'n aanval waarin die aanvaller kwaadwillige SQL-navrae in die toepassing inspuit
  • Opdrag inspuiting is 'n aanval waarin die aanvaller kwaadwillige opdragte in die aansoek invoeg
  • LDAP-inspuiting is 'n aanval waarin die aanvaller kwaadwillige LDAP-verklarings in die aansoek inspuit

Stukkende verifikasie

Stukkende verifikasie verwys na bedreigings en kwesbaarhede in verifikasie en sessiebestuur.

Aanvallers benut hierdie kwesbaarhede om hul teikens na te boots.

Sommige van die bestaande kwesbaarhede sluit in:

  • Sessie-ID's in URL's
  • Ongekodeerde wagwoorde
  • Stel die time-out verkeerd in

Sensitiewe blootstelling aan data

Sensitiewe blootstelling aan gegewens vir data kom voor in toepassings wat swak koderingskode gebruik vir datakodering en -berging.


Hierdie kwesbaarheid stel aanvallers in staat om die enkripsie maklik te kraak en die data te steel.

XML-eksterne entiteit

XML External Entity-aanval is 'n aanval waarin die aanvaller voordeel trek uit 'n swak gekonfigureerde XML-ontleder, wat veroorsaak dat die toepassing XML-invoer ontleed wat afkomstig is van 'n onbetroubare bron.

Gebreekte toegangsbeheer

Gebreekte toegangsbeheer verwys na bedreigings en kwesbaarhede in toegangsbeheer. Aanvallers benut hierdie kwesbaarhede om die verifikasie te ontduik en adminregte te verwerf.

Foutiewe konfigurasie van sekuriteit

Beveiligde verkeerde konfigurasie verwys na kwesbaarhede wat bestaan ​​in toepassings met 'n swak ingestelde toepassingsstapel.


Sommige van die probleme wat kwesbaarhede in die verkeerde konfigurasie van die veiligheid veroorsaak, is:

  • Ongeldige invoervelde
  • Vorm- en parametermanipulasie
  • Swak fouthantering

Cross-site Scripting (XSS)

Cross-Site Scripting-aanval is 'n aanval waarin die aanvaller skrifte in webbladsye inspuit wat op die teikenstelsel uitgevoer word.

Onveilige deserialisering

Onveilige deserialisering verwys na 'n kwesbaarheid wat aanvallers uitbuit deur kwaadwillige kode in seriële data in te spuit wat dan na die teiken gestuur word.

Vanweë die onveilige kwesbaarheid van deserialisering word die kwaadwillige seriële data gedeserialiseer sonder dat die kwaadwillige kode opgespoor word, wat die aanvaller ongemagtigde toegang tot die stelsel moontlik maak.

Gebruik komponente met bekende kwesbaarhede

Deur komponente met bekende kwesbaarhede te gebruik, kan aanvallers dit benut en aanvalle uitvoer.

Onvoldoende aanmelding en monitering

Onvoldoende aanmelding en monitering vind plaas wanneer die toepassing nie kwaadwillige gebeure en aktiwiteite aanmeld nie. Dit veroorsaak probleme om aanvalle op die stelsel op te spoor.



Inbraakmetodologie

Metodes vir hacking van webtoepassings bied aanvallers stappe om te volg om 'n suksesvolle aanval uit te voer.

Hierdie stappe is:

Webinfrastruktuur Voetspoor

Voetafdruk-webinfrastruktuur help aanvaller om inligting oor die teikeninfrastruktuur te versamel en kwesbaarhede te identifiseer wat gebruik kan word.

In hierdie proses voer die aanvaller:

  • Bediener-ontdekking om meer te wete te kom oor die bedieners wat die program host
  • Diensontdekking om vas te stel watter diens aangeval kan word
  • Bedieneridentifikasie om inligting oor die bediener te leer, soos weergawe en fabrikaat
  • Versteekte inhoud ontdekking om verborge inhoud te ontdek

Webbediener aanval

Die inligting wat in die voetafdrukstap versamel is, stel hackers in staat om dit te ontleed, kwesbaarhede te vind om te ontgin en verskillende tegnieke te gebruik om aanvalle op die bediener te loods.

Analise van webtoepassings

Aanvallers ontleed die teikenwebtoepassing om die kwesbaarheid daarvan te identifiseer en te benut.

Om die toepassing te kap, moet aanvallers:

  • Identifiseer toegangspunte vir gebruikersinvoer
  • Identifiseer bediener-tegnologieë wat gebruik word om dinamiese webblaaie te genereer
  • Identifiseer die bedienerskantfunksionaliteit
  • Identifiseer aanvalgebiede en gepaardgaande kwesbaarhede

Ontduiking deur die kliënt

Aanvallers probeer om die kliënt se beheer van gebruikersinsette en interaksie te omseil.

Om die beheer van die kliënt te omseil, probeer aanvallers om:

  • Val verborge vormvelde aan
  • Val blaaieruitbreidings aan
  • Hersien die bronkode

Verifikasie-aanvalle

Aanvallers probeer om kwesbaarhede wat in die verifikasiemeganismes voorkom, te benut.

Deur sulke kwesbaarhede te benut, kan aanvallers die volgende doen:

  • Gebruikernaam-opsomming
  • Wagwoordaanvalle
  • Sessie-aanvalle
  • Bedryfskoekie

Magtigingsaanvalle

Magtigingsaanval is 'n aanval waarin die aanvaller toegang tot die toepassing verkry deur middel van 'n wettige rekening met beperkte regte en dan die rekening gebruik om die regte te verhoog.

Om 'n magtigingsaanval uit te voer, gebruik die aanvaller die volgende bronne:

  • HAAT
  • Parameter peuter
  • POST data
  • HTTP-opskrifte
  • Koekies
  • Versteekte etikette

Toegangsbeheer aanvalle

Aanvallers ontleed die teikenwebwerf in 'n poging om die besonderhede oor die geïmplementeerde toegangsbeheer te leer.

Tydens hierdie proses probeer aanvallers te wete kom oor wie toegang het tot watter stelle data, wie het watter toegangsvlak en hoe om voorregte te verhoog.

Sessiebestuursaanvalle

Aanvallers benut kwesbaarhede in verifikasie en sessiebestuur om hul doelwitte na te boots.

Die proses om 'n geldige sessietoken te genereer bestaan ​​uit twee stappe:

  • Voorspelling van sessietoken
  • Sessie-token-peutery

Met 'n geldige teken is aanvallers in staat om aanvalle uit te voer, soos MITM, kaping van sessies en herhaling van sessies.

Spuitaanvalle

Aanvallers maak gebruik van ongeldige vorminsette om kwaadwillige navrae en opdragte in te spuit.

Toepassing van logiese kwesbaarheid

Swak koderingsvaardighede kan die toepassing kwesbaar maak weens die logiese foute. As die aanvaller daarin slaag om sulke foute te identifiseer, kan hulle dit uitbuit en 'n aanval loods.

Aanvalle van databasisverbindings

Aanvallers voer aanvalle uit op databasisverbinding om beheer oor die databasis te verkry en sodoende toegang tot sensitiewe inligting te verkry.

Aanvalle op webdienste

Aanvallers teiken webdienste wat in die webtoepassing geïntegreer is, om die kwesbaarhede van die besigheid se logika te vind en te benut.

Hulle gebruik dan verskillende tegnieke om 'n aanval op die toepassing uit te voer.