Webalkalmazások biztonsági tesztelése 7

A következő vizsgált kérdéskör a hozzáférési szintek, és jogosultságok biztonsági kérdései. A weblapok 78%-a sebezhető ezen a módon. A hozzáférési szintek biztonsági kockázata azt jelenti, hogy a támadó hozzáfér egy azonos jogosultsági szinten lévő másik felhasználó adataihoz, vagy egy magasabb jogosultságokkal rendelkező felhasználó számára fenntartott funkciókhoz, adatokhoz.

Webalkalmazások biztonsági tesztelése 6

A session / munkamenet kezelés minden webalkalmazás alapvető eleme. Mivel a http kommunikáció állapot nélküli a session segítségével azonosítjuk a usereket a munkamenet során. E nélkül minden egyes oldalletöltéskor újra és újra be kellene kérni a jelszavát. Azonban a gyengén megvalósított session kezelés tágra tudja nyitni az ajtót az illetéktelen behatolók előtt.

Webalkalmazások biztonsági tesztelése 4

A hacker tanfolyam negyedik részében a hitelesítés megtámadásával fogunk foglalkozni. A weblapok mintegy 67%-ánál található valamiféle biztonsági rés ezen a területen. Valójában a hitelesítés a védekezés frontvonala, de ennek ellenére sokszor a leggyengébb láncszem is.

Webalkalmazások biztonsági tesztelése 3

Hacker tanfolyamunk harmadik részében megkezdjük a támadási és tesztelési módszerek ismertetését. Elsőként a kliens oldali ellenőrzéseket próbáljuk meg kijátszani. A fő szabály amit webfejlesztőként meg kell tanulnunk, hogy a kliens oldali ellenőrzések kizárólag kényelmi eszközök és semmiféleképpen nem alkalmasak biztonsági előlapnak. Ennél fogva mindennemű kliens oldali ellenőrzést meg kell ismételni szerver oldalon is.

Webalkalmazások biztonsági tesztelése 2

Miután megismerkedtünk az alapelvekkel egy oldal feltörésénél az első dolgunk az alkalmazás feltérképezése lesz. A feltérképezés során tulajdonképpen a megtámadható felületeket keressük meg. Két fő dolgunk lesz ennek során. Először is megismerkedünk az alkalmazással és megpróbáljuk a lehető legtöbb háttér információt összeszedni róla, majd második lépésként feltérképezzük a támadási felületeket.

Webalkalmazások biztonsági tesztelése 1

A tömegek életének mind több mozzanatának online irányba való elmozdulásával egyre inkább érzékenyek kell lennünk olyan témákra amelyek eddig esetleg többnyire nem igazán mozgatták meg a fejlesztői fantáziánkat. Az eddig ilyen a webalkalmazások biztonsága. A téma egyre fontosabb és fontosabb lesz és láthatjuk, hogy még az olyan nagyok mint a twitter vagy az amazon is…

Jelszóválasztási szokásaink

Mert a usereket nem is érdekli, hiszen nem gondolják, hogy bármi, mások számára is értékes információkkal rendelkeznek. Mert nem gondolják, hogy támadás célpontjává válhatnak. Mert úgy gondolják, hogy az 123 kellőképpen rafinált. Mert mi fejlesztők hagyjuk, hogy a userek makacsul felelőtlenek legyenek. És mert a megrendelők a biztonságot képtelenek ellenőrizni. Na, ezért születnek olyan webalkalmazások…

Hogyan törjünk fel weblapokat?

Ma egy igen kényes témát szeretnék bemutatni. Kényes mert a biztonsági tanácsok egyben ötletek másoknak arra, hogy hogyan tudnak ténylegesen feltörni oldalakat. Egy webalkalmazás biztonsági tesztelése praktikusan nem jelent mást mint, hogy a webalkalmazás fejlesztője / tesztelője egy rövid időre a támadó bőrébe bújik. Rászántam a hétvégét és egy dologra jöttem rá, egy weblap feltöréséhez…

Beoltás

Gyerek korom óta ki nem állom az oltásokat! És most meglehetősen érdekes URL-en keresztüli beoltási kísérletek zúdulnak éppen a blogomra. A támadó Kínából próbál egy csúnya kódot bejuttatni, de a wordpress eddig jól vizsgázott.

XSS kicsiknek és nagyoknak

Új technikák megoldanak régi problémákat és hoznak újakat. A web 2 is megold egy több mint 10 éve húzódó problémát és webalkalmazásainkat átlépteti egy következő szintre, de ha nem kellő óvatosággal használjuk, akkor új támadási felületet szolgáltathatunk rosszindulatú látogatóknak.

WebBiztonság

A biztonságra törekvés azt jelenti, hogy felkészülünk olyan eseményekre amikre nem lehet felkészülni. A webfejlesztők általában nem szeretnek azon gondolkozni, hogy az alkalmazásuk hogyan használható ki. A támadók viszont igen.