← Назад в блог
кибербезопасностьтестирование на проникновениеowasp

Мой финальный проект - Тестирование на проникновение с OWASP - Кристиан Арандо

Опубликовано 20 сентября 2024 г. 3 мин. чтения
Мой финальный проект - Тестирование на проникновение с OWASP - Кристиан Арандо

Введение

В качестве выпускного проекта для получения степени по системной инженерии я провел комплексную оценку безопасности (тестирование на проникновение) веб-системы SISGAA в Университете Майор де Сан-Симон (Universidad Mayor de San Simon). В проекте применялись стандарты индустрии из OWASP Top 10 и OWASP API Security Top 10 для выявления, анализа и разработки рекомендаций по устранению уязвимостей.

Примечание: Ознакомиться с полным документом данного проекта можно в институциональном репозитории UMSS.

Предпосылки проекта

Система SISGAA (Sistema de Gestión Académica y Administrativa) — это критически важное веб-приложение, используемое Департаментом информатики и систем. Она управляет конфиденциальными академическими и административными данными, поэтому её безопасность крайне важна для защиты как институциональной, так и личной информации.

Методология

В своей работе я придерживался структурированной методологии тестирования на проникновение:

  1. Планирование и определение области действия: Установка четких границ и целей для оценки безопасности.
  2. Сбор информации: Сбор данных об архитектуре системы и технологическом стеке.
  3. Анализ уязвимостей: Выявление потенциальных слабых мест в системе безопасности.
  4. Эксплуатация: Подтверждение уязвимостей посредством контролируемого тестирования.
  5. Документирование: Подробное описание результатов и рекомендаций.

Технический подход

Процесс тестирования на проникновение включал в себя два взаимодополняющих направления:

Тестирование веб-приложений (OWASP Top 10)

Я провел тщательное тестирование на наличие распространенных веб-уязвимостей, включая:

  • Межсайтовый скриптинг (XSS)
  • Нарушение аутентификации (Broken Authentication)
  • Утечка конфиденциальных данных
  • Небезопасная конфигурация

Тестирование безопасности API (OWASP API Security Top 10)

Поскольку современные веб-приложения сильно зависят от API, я применил специализированную методологию:

  1. Обнаружение: Составление схемы структуры API и его конечных точек (endpoints).
  2. Анализ конечных точек: Изучение паттернов запросов/ответов.
  3. Тестирование аутентификации: Проверка механизмов входа в систему.
  4. Эксплуатация авторизации: Тестирование границ контроля доступа.

Ключевые результаты

В ходе проверки было выявлено несколько уязвимостей в системе SISGAA:

  1. Reflected Cross Site Scripting: Потенциальная возможность внедрения вредоносных скриптов.
  2. Нарушение авторизации на уровне объектов: Допускался несанкционированный доступ к ресурсам.
  3. Нарушение авторизации на уровне функций: Был возможен доступ к несанкционированному функционалу.
  4. Утечка документации API: Раскрытие конфиденциальной информации о конечных точках через Swagger.
  5. Отсутствие заголовков безопасности: Отсутствовали критически важные настройки безопасности браузера.
  6. Уязвимые JavaScript библиотеки: Использование устаревших компонентов с известными уязвимостями.

Техническая реализация

В проекте использовались специализированные инструменты безопасности:

  • OWASP ZAP: Для автоматизированного сканирования уязвимостей.
  • Burp Suite: Для перехвата и анализа HTTP-запросов.
  • Пользовательские скрипты: Для тестирования ошибок авторизации API.
  • Инструменты разработчика браузера: Для анализа поведения веб-приложения.

Последствия и смягчение рисков

Для каждой уязвимости я предоставил подробные стратегии устранения (митигации):

  • Валидация ввода и кодирование вывода: Для предотвращения XSS-атак.
  • Надлежащая проверка авторизации: Для обеспечения контроля доступа.
  • Меры безопасности API: Для защиты संवेदनशील конечных точек.
  • Реализация заголовков безопасности: Для повышения безопасности на уровне браузера.
  • Обновление компонентов: Для устранения известных уязвимостей.

Заключение

Этот проект продемонстрировал, как систематическое тестирование на проникновение позволяет выявить критические уязвимости безопасности в веб-приложениях еще до того, как они могут быть использованы злоумышленниками. Результаты подчеркнули важность интеграции безопасности на протяжении всего жизненного цикла разработки, особенно для систем, обрабатывающих конфиденциальную информацию.

Предложенные рекомендации помогут усилить уровень безопасности системы SISGAA, защищая как учреждение, так и его пользователей от потенциальных киберугроз.

Продемонстрированные технические навыки

  • Оценка безопасности веб-приложений
  • Тестирование безопасности API
  • Техники эксплуатации уязвимостей
  • Документирование и составление отчетов о безопасности
  • Практическое применение методологий OWASP

Комментарии

Содержание
Следующая статья → Привет, мир! Добро пожаловать в мой блог