Безопасность веба — очень широкое понятие. Это и недостатки старых протоколов, и использование каких-то опасных вещей, и просто человеческие ошибки, допущенные при разработке софта. Очень непросто тестировать продукты в такой широкой области: нужно придерживаться какого-то плана. И организация OWASP облегчила жизнь специалистам в области ИБ, создав OWASP Testing Guide.

Существует несколько методик пентеста, но конкретно для веба создана только одна. О соответствии стандартам типа PCI DSS сейчас речь не идет, поскольку это узкоспециализированное направление. А мы поговорим об универсальной методологии тестирования. Что предлагает нам OWASP Testing Guide? Давай пробежимся по этому объемному документу и отметим его части, в которых тебя может ждать больше всего подводных камней.

WWW

Если у тебя не получается освоить английскую версию гайда, воспользуйся краудсорсинговым переводом (правда, он не доделан до конца). Кстати, у OWASP также есть методика для ревью исходного кода и для тестирования мобильных приложений. А с полным списком проектов ты можешь ознакомиться на owasp.org.

Не так давно в «Хакере» вышла статья, раскрывающая основы тестирования сайтов на безопасность, в ней мельком говорится и о методологии OWASP и области ее применения. Текущая версия OWASP Testing Guide (PDF) имеет номер четыре, пятая версия находится в стадии разработки (кстати, ты можешь делать коммиты в их публичном репозитории на GitHub). Но хоть руководство по тестированию довольно большое и, на первый взгляд, всеобъемлющее, его надо воспринимать как основу, а не как рецепт на все случаи жизни. В этой статье тебя ждет краткая инструкция по использованию OWASP Testing Guide.

 

Не все то золото, что блестит

Как говорил Эйнштейн, «порядок необходим глупцам, а гений властвует над хаосом». Но в тестировании четкое планирование — это синоним успеха. Тем не менее план обычно описывает лишь приблизительную последовательность действий, даже если он очень детализирован. Предусмотреть все возможные нюансы зачастую нереально.

И дело не только в том, что новые технологии появляются с гораздо большей скоростью, чем обновляется методика, но и в том, что веб-приложения могут использоваться для чего угодно: от создания простого сайта-визитки до панели администратора, с помощью которой можно управлять физическими устройствами. Поэтому подобные методологии стоит использовать только в качестве фундамента и думать своей головой, при этом не забывая дополнять существующий план практическим опытом.

Следует использовать все доступные инструменты. Во-первых, во время тестирования по одному разделу инструменты могут давать разные результаты, а во-вторых, наложение части разделов на другие поможет закрыть потенциальные недочеты, ранее не выявленные тестировщиком или автоматическим инструментарием.

Также может сложиться впечатление, что методика больше предназначена для black box тестирования (несмотря на gray box и white box в самом тексте), но, в принципе, ее можно распространить на любой вид тестирования, добавив соответствующие методы и связанные с ними инструменты.

 

Testing Guide Introduction

В начале руководства по тестированию от OWASP есть небольшое предисловие, гласящее, что автоматизированное black box тестирование имеет недостатки и его надо дополнять ручным тестированием. Это так, однако в самом тексте гайда встречаются примеры использования сканера Nessus, но нет ни слова про сканер OpenVAS, который, в принципе, не сильно хуже.

Имеет смысл использовать все имеющиеся сканеры и другие фичи платных продуктов (например, Burp Pro), поскольку разные инструменты могут дать разные результаты. Не пренебрегай и ложноположительными срабатываниями, поскольку такие результаты иногда внезапно оказываются истинными.

 

Testing for Information Gathering

Conduct search engine discovery/reconnaissance for information leakage

Сбор информации из открытых источников (OSINT) — первый этап любого пентеста, и пентеста веб-приложения тоже. Этот этап проводится еще до начала работ, чтобы проверить, действительно ли тестируемые объекты принадлежат заказчику, или чтобы оценить примерный объем работ для оценки трудозатрат.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Оставить мнение