Как стать автором
Обновить
0
Pentestit
Информационная безопасность

WebSecOps: изучаем веб-безопасность

Время на прочтение6 мин
Количество просмотров5.4K
.
.

Сегодня веб-приложение — не просто формальная необходимость, но и способ привлечь к себе внимание клиента. В погоне за ярким, запоминающимся стилем и удобным для пользователя функционалом разработчики часто не задумываются о безопасности.

Веб-приложения привлекают злоумышленников не меньше, чем заинтересованных клиентов. Сайты стали идеальной мишенью — доступны 24/7, уследить за действиями всех пользователей сложно, а сами веб-приложения могут содержать уязвимостей больше, чем весь остальной сетевой периметр компании. За примерами далеко ходить не нужно: пример раз, пример два.

Не спешите радоваться, если ваше веб-приложение еще не скомпрометировали. Возможно, злоумышленник уже готовится к приятной для него (и не очень — для вас) встрече. Вот только день X может принести компании «славу» в виде распространения конфиденциальных данных пользователей и утраченной репутации.

Почему так происходит?

  • ошибки, допущенные во время разработки или развертывания веб-приложения;

  • отказ от полноценного тестирования веб-приложения на наличие уязвимостей или недостаток опыта при его проведении;

  • пренебрежение средствами защиты и мониторинга для своевременного реагирования на инциденты ИБ.

И если компания придерживается позиции: «Да кому мы нужны?», то с большой долей вероятности ее инфраструктуру или уже скомпрометировали, или сделают это в скором времени.

Узнали себя? Это прекрасно. Первый шаг на пути решения проблемы — признать, что она существует. Ни к чему проходить все стадии принятия неизбежного и терять драгоценное время. Лучше сразу приступить к поиску выхода.

И у нас он есть — программа обучения WebSecOps, пополнившая линейку курсов этичного хакинга от Pentestit.

Что такое WebSecOps?

Специализация программы подготовки — разработка безопасных веб-приложений, самостоятельное обнаружение и эксплуатация уязвимостей, а главное — предотвращение и анализ инцидентов с помощью WAF.

Приятный бонус — обучение можно проходить дома, занятия проводятся дистанционно.

Теории много не бывает, но она составляет всего 20% обучения, остальные 80% — практика, практика и еще раз практика. Мы подготовились и разработали специальную лабораторию, имитирующую корпоративные веб-ресурсы. Будет сложно, но очень интересно.

Нужна дополнительная информация? Не знаете, как начать выполнение задания? Куратор ответит на все вопросы и подскажет, что нужно сделать. Готовый ответ он не предоставит, но поможет начать мыслить в правильном направлении, чтобы Вы самостоятельно пришли к решению. А задания, вызвавшие затруднения у большинства участников, куратор разберет на специальных онлайн-трансляциях.

На кого рассчитана программа подготовки?

WebSecOps подойдет для специалистов в области информационной безопасности, пентестеров, системных администраторов, DevOps-инженеров и всех, кто хочет попробовать себя в роли атакующего и научиться предотвращать появление уязвимостей. Программа подготовки также будет интересна компаниям, планирующим обучение штатного специалиста в области ИБ, для снижения вероятности возникновения подобных инцидентов.

Программа обучения WebSecOps разработана таким образом, чтобы любой желающий, даже с минимальным уровнем подготовки, смог за 14 дней интенсивного обучения освоить методику поиска и эксплуатации уязвимостей в ручном и автоматическом режиме с использованием различного инструментария, понять природу возникновения уязвимостей и применять накопленные знания в будущем.

Все счастливые обладатели Nemesida WAF научатся правильно его настраивать, реагировать во время атак на веб-приложение и грамотно проводить анализ инцидентов, чтобы избежать проблем в будущем.

Что будем изучать?

Начинать обучение всегда стоит с основ, поэтому на первых занятиях мы познакомимся с архитектурой веб-приложений и ее типичными уязвимостями. Разберемся с понятиями front-end и back-end, узнаем об их различиях. Это необходимо для понимания того, как вообще функционирует веб-приложение.

После этого перейдем к разбору распространенных уязвимостей веб-приложений, таких как SQLi/NoSQLi, XSS, XXE и т. д., разберемся с природой их возникновения, методами обнаружения, эксплуатации и защиты веб-приложения от них.

Изучим различный инструментарий для автоматизации анализа безопасности веб-приложений. В частности, рассмотрим:

  • Burp Suite и OWASP ZAP, предназначенные для анализа взаимодействия браузера пользователя с веб-приложением;

  • Различные сканеры уязвимостей веб-приложения и инструменты автоматизации, такие как Nikto, Wapiti, sqlmap, tplmap и т. д.

Отдельным блоком нашей программы обучения будет знакомство с WAF как со средством защиты веб-приложений. Здесь мы рассмотрим принцип его работы (как WAF защищает веб-приложения, от каких атак можно защититься, какие есть недостатки), проведем сравнение продуктов из бесплатного сегмента (Nemesida WAF Free, ModSecurity и Naxsi). А на примере полноценной версии Nemesida WAF выясним, почему машинное обучение — это круто, как его правильно настроить для защиты веб-приложения, а также как выявлять и анализировать инциденты, связанные с информационной безопасностью и атаками на веб-приложение.

С какими заданиями столкнемся в процессе обучения?

Специально разработанные задания позволят закрепить полученные знания на практике. Вот несколько примеров из того, что может встретиться в процессе обучения:

Начнем с простого

Дано веб-приложение с уязвимостью. Необходимо провести первичный сбор информации о веб-приложении. Проанализировав полученную информацию, обнаружить и проэксплуатировать уязвимость для компрометации сервера. Приступим:

Для начала проводим сбор информации о веб-приложении. Оно представляет собой веб-сайт, который не имеет признаков использования CMS. По крайней мере именно такое заключение можно сделать при просмотре исходного кода страницы.

В адресной строке видим GET-параметр page, который принимает в качестве значения php-страницу.

Предположив, что содержимое php-файлов включается в содержимое страницы, пробуем добавить несуществующую страницу и получаем пустой результат, означающий, что наши догадки оказались верны.

Вполне вероятно, что данный параметр уязвим для LFI, и если мы правы, то сможем просмотреть локальные файлы сервера. Чтобы это проверить, подставляем путь до файла /etc/passwd в параметр page и действительно получаем содержимое нужного файла.

Так как по условию задачи в качестве Proof of Concept нам необходимо получить некий токен, то в файловой системе необходимо найти и прочитать соответствующий файл. И тут несколько вариантов — угадать точное расположение и название файла или при помощи LFI проэксплуатировать другую уязвимость.

Очевидно, что, не зная структуру каталогов сервера, угадать что-либо будет проблематично, поэтому воспользуемся вторым вариантом.

Используя LFI, можно получить доступ к различным файлам на сервере, в том числе к журналам веб-сервера, например, access.log:

Для нас это означает, что, используя журнал веб-сервера, мы сможем внедрить вредоносный код, который поможет нам скомпрометировать сервер. Атаковать будем через заголовок User-Agent.

Теперь добавляем к запросу наш новый GET-параметр и проверяем результат:

После недолгих поисков находим искомый файл с токеном и читаем его содержимое:

Теперь посложнее

Перед нами веб приложение, где на странице присутствует только строка поиска. Все, что введем в эту строку, будет выведено на странице.

Возможно, в веб-приложении используется шаблонизатор. Чтобы это проверить воспользуемся таблицей ниже:

В нашем случае используется шаблонизатор Jinga:

Немного изучив документацию, вводим необходимую команду для получения информации о пользователе, под которым мы авторизовались:

Получили секретный токен в зашифрованном виде. Продолжив изучать веб-приложение, обнаруживаем, что один из параметров cookie также находится в зашифрованном виде.

Расшифровав эту Base64 запись, получаем следующее:

{"role":"e.vasilyev"}

Так как это сессионная cookie пользователя, то мы можем попробовать подделать ее для пользователя admin. Для этого нужно использовать найденный ранее ключ.

Подбираем соответствующий инструмент для кодирования и применяем на сайте, чтобы получить доступ к учетной записи пользователя admin.

И бонусная задача для отработки навыков работы с WAF: для заведомо уязвимого веб-приложения, защищенного WAF, необходимо, изучив его поведение, составить запрос, который позволит обойти защиту и проэксплуатировать уязвимость.

После окончания обучения специалисты научатся самостоятельно находить и предотвращать актуальные уязвимости, оперативно и грамотно реагировать на обнаружение атаки, а также проводить анализ инцидентов.

Хотите защитить свой сайт или обучить сотрудников/разработчиков/специалистов ИБ (подчеркните нужное) находить веб-уязвимости и предотвращать атаки? Тогда записывайтесь на обучение и погружайтесь в мир информационной безопасности с Pentestit.

Теги:
Хабы:
Всего голосов 10: ↑6 и ↓4+4
Комментарии3

Публикации

Информация

Сайт
www.pentestit.ru
Дата регистрации
Дата основания
Численность
11–30 человек
Местоположение
Россия

Истории