Upload
saeid-sadeghi
View
82
Download
12
Embed Size (px)
Citation preview
حسن کرمیسعید صادقی
1
Open Web Application Security Protocol Project(OWASP)
باید یک پروژه غیر دولتی است که در آن معیارهای که برای حفظ امنیت نرم افزار تحت وب.بکار رود تشریح داده میشود
یک پروژه متن باز(Open Source)
OWASP و یا در ابتدا بع عنوان یک استاندارد معرفی نشد ولی امروزه به عنوان یک معیارطراحی و تولید امنیت در نرم افزارهای تحت وب استفاده می شودامنیتی baselineیک
2
Source Code Review
دستی برای چک کردن سورس کد و کشف مشکالت امنیتیفراید .
دقیق ترین روش برای باگ های امنیتی
حدس ها و سناریوها در روش هایBlack boxحذف می شود
concurrency , backdoor ،نقاط ضعف رمزنگاری
3
Penetration Testing
روش معمول برای تست امنیت که به صورتblack box که بهشethical hacking یا
اخالقیهک
Penetration test هنر تست نرم افزار از راه دور برای پیدا کردنvulnerabilities
دسترسی تستر به نرم افزار مشابه دسترسی کاربر عادی
استفاده از ابزارها برای تست
سرعت تست بیشتر ازSource review
4
شناسدباید یک متخصص امنیت باشد و تمامی باگ های امنیت موجود در فضای وب را ب
ذیری ها راه حل این آسیب پدر گزارش تست خود عالوه بر نقاط آسیب پذیر می بایست
ارائه دهدDeveloperرو هم به تیم
5
6
شناسدباید یک متخصص امنیت باشد و تمامی باگ های امنیت موجود در فضای وب را ب
ذیری ها راه حل این آسیب پدر گزارش تست خود عالوه بر نقاط آسیب پذیر می بایست
ارائه دهدDeveloperرو هم به تیم
7
Testing for Configuration and Deployment management
تنظیمات و کانفیگ های اهمیت تستServerوhostیکWeb application
oTest Network/Infrastructure Configuration
تست پیکربندی، زیرساخت و شبکه
جدا بودن سرورهایDB ،CDN ،Main Server ،temp partition
8
oTest Application Platform Configuration
امکانات و پلتفرم های نصب شدهdefault بر رویwebserverها.
•Directory traversal vulnerability in CodeBrws.asp in Microsoft IIS 5.0
•Use of sendmail.jsp in Oracle 9iAS
•Directory traversal in the view-source sample in Apache’s Cocoon
9
oTest File Extensions Handling for Sensitive Information
شوندفرمت فایل ها عموما برای اعتبار سنجی فایل های آپلودی استفاده می
رودمیکه انتظار ست ینفایل اون چیزی محتوای
دسترسی به فرمت های خاص
10
connection.inc
mysql_connect("127.0.0.1", "root", "")
or die("Could not connect");
ش داده چون فرمت فایل به گونه ای نیست که وب سرور آن را اجرا کنید محتوای فایل نمای
.می شود
در روال تستExtensionسرورfailedمی شود .asa
.inc
.zip, .tar, .gz, .tgz, .rar, ...: (Compressed) archive files
.java: No reason to provide access to Java source files
.txt: Text files
.pdf: PDF documents
.doc, .rtf, .xls, .ppt, ...: Office documents
.bak, .old and other extensions indicative of backup files (for example: ~ for Emacs backup files)
11
oTest HTTP Methods (OTG-CONFIG-006)
پروتکولhttp میدهند ارائه هایی را یک سری متود HEAD
GET
POST
PUT
DELETE
TRACE
OPTIONS
CONNECT
یک خطر بلقوه برای خود برخی از این متود هاweb applicationمتد های .هستند
put , delete , connectمثل
از خواهیم در صورتی که نمیRest web service این متود ها باید کرد های استفاده
disableشوند
12
oTest RIA cross domain policy (OTG-CONFIG-008)
برنامه های کاربری غیر اینترنتی مثل آسیبپذیریSilverlight, Adobe Flash
اجازه دسترسی این فایل ها به منابع سرور
ی فایل های واسطمی دهند و یکی از مواردی که تستر های امنیت مورد بررسی قرار
.می کنندایجاد دسترسی به منابع سرور استفادهبرای است که این نوع تکنولوژی ها
Sockets permissions
Header permissions
HTTP/HTTPS access permissions
Sockets permissions
Header permissions
HTTP/HTTPS access permissions
13
exploitکردن باگ های سرور بسیار مشکل تر از باگ های نرم افزار است و
.به سرور رو در آخرین مرحله قرار می دهندattackنفوزگرها
Authentication Testing
Testing for Weak password policy
Testing for User Enumeration and Guessable User Account
Login for User foo: invalid password
Login failed for User foo: invalid Account
http://www.foo.com/err.jsp?User=gooduser&Error=2
http://www.foo.com/err.jsp?User=baduser&Error=0
14
Testing for Bypassing Authentication Schema
Direct page request (forced browsing)
Session ID prediction
SQL injection
15
Testing for Brute Force
HTTP Authentication;
◦ Basic Access Authentication
HTML Form-based Authentication
16
Session Management Testing
Check session tokens for cookie flags (httpOnly and secure, domain)
Authorization Testing
Directory Traversal
17
Input Validation Testing
SQL Injection (SQLi)
Blind SQL Injection
Testing for Command Injection
18
Testing for Local File Inclusion
Testing for Remote File Inclusion
19
Cross-site Scripting (XSS)
19
CSRF Cross-Site Request Forgery
20
WAF(Web Application Firewall)
21
WAF(Web Application Firewall)