OWASP Automated Threat: автоматизированные угрозы веб-приложений

    image

     
    В методологии OWASP Automated Threat Handbook представлена информация защите веб-приложений от автоматизированных угроз. Эти угрозы связаны с использованием автоматизированных средств, отказа от обслуживания, нарушения логики работы приложения, "брошенные корзины", незавершенные транзакции и т.д.


    Помимо классических рисков уязвимостей веб-уязвимостей, представленных в OWASP TOP 10 существуют множественные возможности для злоумышленников для дестабилизации работы веб-приложения, либо манипулирования функционалом приложения для нарушения его работы. Примером такого манипулирования может быть создание множественных "незавершенных" заказов, которые могут исчерпать зарезервированные позиции товаров в интернет-магазине, что не даст возможность сделать заказ легитимным пользователям.


    Также, к этим угрозам относятся т.н. бот или автоматизированные атаки, нацеленные на:


    • выявление пользователей;
    • агрегация;
    • клик-фрод;
    • спам-комментарии;
    • парсинг контента.

    Чрезмерное злоупотребление функциональностью может быть истолковано как отказ в обслуживании приложений (DoS), хотя на самом деле DoS является побочным эффектом.


    Автоматизированные угрозы


    Угрозы распределены по нескольким типам и видам использования в алфавитном порядке. Для понимания я буду использовать нативное OAT название и адаптированное описание угрозы.


    OAT Описание
    OAT-020 Account Aggregation Использование нескольких учетных записей и взаимодействие от их имени в промежуточном приложении.
    OAT-019 Account Creation Создание мульти-аккаунтов для последующего использования.
    OAT-003 Ad Fraud Рекламный фрод. Создание мошеннических рекламных показов и агрегация кликов.
    OAT-009 CAPTCHA Defeat Обход каптча-тестов.
    OAT-001 Carding Проверки валидности украденных данных платежных карт путем совершения покупок.
    OAT-010 Card Cracking Проверка валидности срока действия украденной платежной карты, а также ее CVV кода путем перебора.
    OAT-012 Cashing Out Покупка товаров или обналичивание денежных средств с помощью подтвержденных данных украденных платежных карт.
    OAT-007 Credential Cracking Выявление валидных учетных записей пользователей системы, используя средства подбора логинов/паролей.
    OAT-008 Credential Stuffing Массовые попытки входа в систему, используемые для проверки достоверности похищенных пар в виде имени пользователя и пароля.
    OAT-021 Denial of Inventory Исчерпание складских остатков товаров путем множественных "брошенных" или подложных заказов.
    OAT-015 Denial of Service Исчерпание ресурсов сервера/СУБД — например при формировании множества отчетностей или "тяжелых" запросов к СУБД.
    OAT-006 Expediting Ускорение выполнения обычно медленных, утомительных или трудоемких действий.
    OAT-004 Fingerprinting Выявление информации о компонентах веб-сервера.
    OAT-018 Footprinting Выявление информации о компонентах веб-приложения.
    OAT-005 Scalping Получение доступа к ограниченным товарам/услугам путем манипулирования логикой работы веб-приложения.
    OAT-011 Scraping Парсинг веб-приложения/сбор данных для использования в сторонних приложениях.
    OAT-016 Skewing Повторные запросы форм, клики и т.д. для изменения показателей.
    OAT-013 Sniping Манипулирование логикой приложения для создания "последней выигрышной ставки".
    OAT-017 Spamming Вредоносная или спам-информация в открытом или закрытом (СУБД) доступе, сообщениях.
    OAT-002 Token Cracking Выявление предиктивных значений токенов, купонов, скидочных кодов путем перебора.
    OAT-014 Vulnerability Scanning Автоматизированное сканирование и фаззинг веб-приложения для выявления потенциальных уязвимостей.

    Данный тип угроз накладывается на матрицу WASC Threat Classification и Mitre CAPEC:




    Область фокусировки на событиях угроз, включенных в данный список должна включать в себя как отдельные события, так и многоступенчатое и итеративное взаимодействие с веб-приложением.


    Большинство данных угроз схожи с действиями легитимных пользователей и только всесторонний глубокий анализ может помочь выявить те или иные злоупотребления и манипуляции, которые зависят как от времени итерации тех или иных действий, так и от масштаба событий. События, связанные с автоматическими угрозами, могут влиять не только на веб-приложение, но могут быть связаны и со сторонними сервисами.


    Часть этих угроз может быть выявлена и устранена с использованием средств анализа аномалий, машинного обучения и искусственного интеллекта, составления легитимных моделей поведения пользователей и т.д.


    Страница проекта: OWASP Automated Threats

    Pentestit 56,69
    Информационная безопасность
    Поделиться публикацией
    Похожие публикации
    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое
    Интересные публикации