La Vraie Nature de sécurité des applications Web: Le rôle et la fonction de Scanners Black Box




 

Why Web Application Security Sécurisation des applications Web d'une entreprise est aujourd'hui le plus négligé aspect de la sécurisation de l'entreprise. Hacking est à la hausse avec pas moins de 75% des cyber-attentats fait par le web et via des applications Web.

La plupart des sociétés ont obtenu leurs données au niveau du réseau, mais ils ont négligé l'étape cruciale de vérifier si leurs applications Web sont vulnérables aux attaques.

Les applications Web soulever certains problèmes de sécurité. 1. Pour fournir le service (voulu par la conception) à des clients, des applications Web doivent être en ligne et disponible 24x7x365 2. Cela signifie qu'ils sont toujours disponibles publiquement et ne peut pas discriminer entre les utilisateurs légitimes et les pirates 3. Pour fonctionner correctement les applications web doivent avoir un accès direct aux bases de données backend qui contiennent des informations sensibles. 4. La plupart des applications web sont faits sur mesure et rarement passer par les contrôles d'assurance qualité rigoureux de hors-la-applications déjà disponibles 5. Grâce à un manque de conscience de la nature des attaques de pirates, les organisations de vue de la couche d'application Web dans le cadre de la couche réseau quand il s'agit de questions de sécurité.

The Jeffrey Rubin histoire dans un avis publié en 2005 par Information Week, un expert en sécurité de premier plan qui s'appelle Jeffrey Rubin, raconte son expérience avec un piratage réussi attaque. Ce qui suit est une citation de son article (la référence complète est donnée à la fin de cet article):

"Nous sommes comme la plupart des développeurs Web qui utilisent la plate-forme Microsoft ... Bien que nous essayons de rester à jour avec des correctifs et des Service Packs, nous réalisons des attaquants vont souvent après l'application, plutôt que sur le réseau, des vulnérabilités. Un collègue nous a suggéré d'installer un pare-feu matériel afin de prévenir de futures attaques. Pas une mauvaise idée, mais difficilement une panacée étant donné que nous avons les ports 21, 80 et 443 et notre serveur SQL (sur un port non standard) ouverts à des fins de développement. Après tout, nous sommes dans l'industrie de développer des pages Web dynamiques, et de nos clients partout dans le pays ».

Histoire de Jeff est frappant de constater tout simplement parce que (a), les développeurs, comme tous, sont également sujettes à des erreurs malgré toutes les précautions qu'ils prennent pour désinfecter les applications développées et (b) en tant qu'expert, il était encore endormis dans une fausse impression de sécurité en appliquant le derniers correctifs et Service Packs. Histoire de Jeff, malheureusement, n'est pas unique et découle de méconnaître l'infrastructure de sécurité d'une organisation et les solutions disponibles pour aider les gens dans leur lutte pour protéger leurs données.

Depuis de nombreuses organisations ne surveillent pas les activités en ligne au niveau des applications Web, les pirates ont libre cours et même avec le plus minuscule des trous boucle dans le code d'application d'une entreprise web, un hacker expérimenté peut effraction en utilisant seulement un navigateur web et une bonne dose de créativité et détermination. La sécurité slack signifie également que les tentatives d'attaques passent inaperçues car les entreprises ne font que réagir à des hacks succès. Cela signifie que les entreprises fixent la situation après le mal est fait. Enfin, la plupart des attaques de pirates sont découvertes mois après la violation initiale simplement parce que les attaquants ne veulent pas et ne laissera pas une piste d'audit.

Les administrateurs de systèmes, CTO et les gens d'affaires cyber intrusion concevoir comme une intrusion physique standard: un voleur dans votre maison laisse marqueurs, par exemple, une fenêtre cassée ou une serrure forcée. En application web s'attaque à cette preuve matérielle est inexistante.

L'infrastructure de sécurité d'une organisation, il est commode de considérer l'infrastructure d'une organisation comme l'un avec différentes couches. Dans la même manière que vous protéger contre la rouille par l'application d'une variété de peintures, de produits chimiques et anti-oxydants dans les couches, un administrateur système met en place plusieurs solutions de sécurité spécialisées chacune portant sur les problèmes spécifiques.

Ces couches de sécurité représente une vision holistique qui considère la sécurité comme des mesures prises durcie pour minimiser les risques d'intrusion et de maximiser la protection autour de l'atout majeur de toute organisation, ses données.

Couches de sécurité de série comprennent:

  • La couche d'utilisateur contenant des logiciels, y compris pare-feu personnels, anti-root kits, les nettoyeurs de registre, de sauvegarde, anti-virus, anti-phishing et anti-spy/adware
  • La couche de transport y compris le cryptage SSL, HTTPS et des protocoles similaires
  • La couche d'accès avec contrôle d'accès, authentification, crypography, firewalls, VPN, Web Application Firewalls
  • La couche réseau avec pare-feu, des scanners réseau, VPN et détection d'intrusion.
La cinquième couche est la couche application et doit inclure siote web et de la vulnérabilité web numérisation. Analyse de code source ici Web s'inscrit dans les scanners de vulnérabilités ne sont pas les scanners de vulnérabilités réseau Scanners Web (par exemple, Acunetix WVS, Spi Dynamics WebInspect) ne sont pas les scanners de réseau (par exemple, Qualys, Nessus).

Considérant que les scanners de sécurité du réseau d'analyser la sécurité des biens sur le réseau pour des vulnérabilités possibles, Web Vulnerability Scanner (WVS) scan et d'analyser les applications web (par exemple, des paniers d'achat, des formulaires, des pages de connexion, du contenu dynamique) pour toutes les lacunes résultant du codage irrégulière a mai être manipulés par des hackers.

Par exemple, elle mai être possible de tromper un formulaire de connexion à croire que vous possédez les droits d'administration par injection SQL spécifiquement conçues (la langue comprise par les bases de données) des commandes. Cela n'est possible que si les entrées (par exemple, nom d'utilisateur et / ou des champs de mot de passe) ne sont pas correctement désinfectées (par exemple, rendre invulnérable) et envoyées directement avec la requête SQL à la base de données. Il s'agit d'Injection SQL!

Réseau de défense de sécurité n'offre aucune protection contre les attaques de cette application Web, car ces attaques sont lancées sur le port 80 (par défaut pour les sites Internet) qui doit rester ouverte pour permettre le fonctionnement régulier de l'entreprise.

Ce qui est nécessaire est un scanner d'applications web / web scanner de vulnérabilité ou un outil de black-box testing.

Black Box Testing Black Box Testing est tout simplement une méthodologie de conception de tests .. Dans le test des applications web boîte noire, l'application Web elle-même est traité comme un tout, sans analyser la logique interne et la structure. En général, les scanners d'applications web verrait si l'application Web dans son ensemble pourrait être manipulé pour accéder à la base de données. La technologie moderne permet un haut degré d'automatisation, en effet, en réduisant la saisie manuelle requis dans le test d'applications web.

Il est important de dire à réduire au minimum ni faire disparaître. Comme tout consultant en sécurité vous le dira, l'automatisation ne remplacera jamais l'intelligence et la créativité de l'intervention humaine.

En général, les scanners automatisés première exploration d'un site Web complet, d'analyser en profondeur chaque fichier ils pourraient trouver et d'afficher la structure du site tout entier. Après cette phase de découverte, le scanner effectue une vérification automatique de vulnérabilités en lançant une série d'attaques de piratage, en effet l'émulation d'un hacker. Scanners serait d'analyser chaque page pour les lieux où les données peuvent être entrées et sera ensuite essayer toutes les combinaisons d'entrée différents. Les scanners de vulnérabilités vérifiera sur des serveurs web (sur les ports ouverts), toutes les applications web et dans le site Web du contenu lui-même. Les produits les plus robustes de lancer de telles attaques en utilisant intelligemment les différents degrés de l'heuristique.

Heuristique Web de numérisation il est important de comprendre que la vulnérabilité web de numérisation ne doit pas être limitée aux applications connues de numérisation (par exemple, off-the-caddies plateau) et / ou de la vulnérabilité du module (par exemple, injection SQL dans phpBB Login Form) contre une pré-déterminé de bibliothèque de problèmes connus. Si elle devait le faire, des applications personnalisées resteraient non testés pour leurs vulnérabilités. Il s'agit de la principale faiblesse des produits qui sont fondées sur l'adéquation entre les signatures de la vulnérabilité.

Prenons un logiciel anti-virus comme un exemple. Standard antivirus pour scanner des milliers de virus connus, y compris les virus anciens et connus (même celles qui ont été créés pour vieux Windows 95 systèmes). En ce jour et âge, vous rencontrez ce serait rarement OS mais dans l'esprit des consommateurs ce qui est la plus importante est «comment de nombreux virus ne détectent ce logiciel?". En réalité, avoir le dernier AV va vous donner une protection pour tous, mais les virus en cours d'exécution dans la nature. Et ce sont ces virus qui créent le plus de dommages. Les produits standard AV sans les technologies droit ne pourra pas détecter un virus dans la nature si elles ne pouvaient match pour «connues» des virus. La technologie antivirus de bonne volonté de permettre la vérification de fichiers heuristiques ou façons intelligentes d'essayer d'identifier les tendances du comportement de l'application qui peut aboutir à un virus.

La vulnérabilité de balayage Web fonctionne de manière très similaire. Il serait inutile pour détecter les vulnérabilités connues des applications connues seul. Un degré important de l'heuristique est chargé de détecter les vulnérabilités car les pirates sont très créatifs et de lancer leurs attaques contre les applications Web sur mesure pour créer un impact maximal.

Bien entendu, une telle approche ne donne les faux positifs, mais même là, il se trouve de malentendus et de confusion. Les faux positifs sont dus au fait que un système automatisé de numérisation seront questions mai drapeau qui semble être une vulnérabilité. Automation est une aide précieuse et la précision d'un scanner dépend de (a) la façon dont votre site est analysé pour établir sa structure et les composantes diverses et de liens, et (b) sur la capacité du scanner d'exploiter intelligemment les diverses méthodes de piratage et techniques contre les applications Web.

Analyse automatisée mènera à des faux positifs. Bien entendu, ce niveau de complexité technologique ne conduit pas à zéro des faux positifs. C'est impossible. Un système automatisé de numérisation sera toujours générer des faux positifs selon le produit que vous utilisez.

Nous recommandons toujours de scans automatiques être complété par des analyses manuelles - c'est probablement l'un des points que tous les experts en sécurité souligner. Malheureusement, les entreprises ne reconnaissent pas l'importance de la saisie manuelle. Si vous voulez que vos applications web pour être sécurisé, vous devez passer beaucoup de temps à vérifier le côté automatisé des choses. Cela ne veut pas dire que l'automatisation est inexacte - bien au contraire, il est très précis et a coupé vers le bas sur une grande partie du travail. L'analyse automatisée vous aidera flag les problèmes possibles, y compris les faux positifs et invite une autre enquête sur manuel.

Dans la sécurité des applications Web, il est préférable d'avoir de faux positifs que rien du tout.

Source Code Analysis Une autre série de produits liés à la vulnérabilité web de numérisation sont des analyseurs de code source, mais ces travaux différemment aux scanners web vulnérabilité. Analyseur de code source sont blanc-outils de test case qui assiste les développeurs dans leur travail par l'analyse automatique de la structure interne et la logique du code source directement les erreurs et les failles de sécurité. Le niveau de complexité de ces produits est basée sur la complexité de la logique de certaines applications et la variété des langues de codage. Cela signifie que peu de produits stables existent sur le marché même si la technologie évolue très vite.

 
5 Essential outils de marketing pour le lancement d'A Successful Home Business InternetMots-clés Web Page - À faire et à ne pas faireConseils sur comment créer votre propre site WebPourquoi un blog pour de l'argent?IE 7 Cool Menus 3 & 4 Pas de travail? Quick Fix avec Script remplacement Vérification du navigateur Fonction AImmédiatement Augmentation du trafic du site WebDes problèmes avec la publicitéComment choisir un Shared Web Host dans une mer d'options"Écrasement" Your Day Job et de gagner leur vie en ligne en 90 joursThe Magic of Fresh contenu de votre site WebNe blogs ont un cycle de vie?Wiki Stratégie: Promouvoir votre Voyage, Tourisme et Logement SiteBuyers Guide: Content Management SystemsExpansion d'entreprise en utilisant le réseau des organisationsSEO - Introduction à l'optimisation de Search Engine IdéesEssential Skills To Start Online BusinessTips For Successful sur l'optimisation des pagesComment échapper à l'Index Dreaded supplémentaires dans GoogleeBook de rédaction: 5 Places idéales pour retrouver gagnante Thèmes Pour vos livres électroniquesMon premier anniversaire le MagazineVideo

© 2007-2012 Geocitoyen.com