सुरक्षा परीक्षण - हैकिंग वेब अनुप्रयोग

विभिन्न तरीके / दृष्टिकोण हैं, जिनका उपयोग हम एक हमले के लिए एक संदर्भ के रूप में कर सकते हैं।

वेब एप्लीकेशन - पेनिटिंग मेथडोलॉजी

एक हमले के मॉडल को विकसित करते समय निम्नलिखित मानकों को ध्यान में रखा जा सकता है।

निम्नलिखित सूची में, OWASP सबसे अधिक सक्रिय है और इसमें कई योगदानकर्ता हैं। हम OWASP तकनीकों पर ध्यान केंद्रित करेंगे जो प्रत्येक विकास टीम वेब ऐप डिजाइन करने से पहले ध्यान में रखती है।

  • पीटीईएस - प्रवेश परीक्षण निष्पादन मानक

  • OSSTMM - मुक्त स्रोत सुरक्षा परीक्षण पद्धति मैनुअल

  • OWASP परीक्षण तकनीक - वेब अनुप्रयोग सुरक्षा प्रोटोकॉल खोलें

OWASP शीर्ष 10

ओपन वेब एप्लीकेशन सिक्योरिटी प्रोटोकॉल टीम ने हाल के वर्षों में वेब में अधिक प्रचलित 10 शीर्ष कमजोरियों को जारी किया। नीचे उन सुरक्षा दोषों की सूची दी गई है जो वेब आधारित अनुप्रयोग में अधिक प्रचलित हैं।

आवेदन - हाथ पर

तकनीकों में से प्रत्येक को समझने के लिए, आइए हम एक नमूना अनुप्रयोग के साथ काम करें। हम 'WebGoat', J2EE एप्लिकेशन पर हमला करेंगे, जो स्पष्ट रूप से सीखने के उद्देश्यों के लिए सुरक्षा खामियों के साथ विकसित किया गया है।

Webgoat परियोजना के बारे में पूरा विवरण स्थित हो सकता है https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project। WebGoat एप्लिकेशन डाउनलोड करने के लिए, पर जाएँhttps://github.com/WebGoat/WebGoat/wiki/Installation-(WebGoat-6.0) और गोटो डाउनलोड अनुभाग।

डाउनलोड किए गए एप्लिकेशन को स्थापित करने के लिए, पहले यह सुनिश्चित करें कि आपके पास पोर्ट 8080 पर चलने वाला कोई भी एप्लिकेशन नहीं है। इसे केवल एक कमांड - जावा-वेबर वेबैट-6.0.1-वॉर-एग्जीक्यूटिव का उपयोग करके इंस्टॉल किया जा सकता है। अधिक जानकारी के लिए, WebGoat Installation पर जाएं

स्थापना के बाद, हमें नेविगेट करके एप्लिकेशन तक पहुंचने में सक्षम होना चाहिए http://localhost:8080/WebGoat/attack और पृष्ठ नीचे दिखाया गया है।

हम अतिथि या व्यवस्थापक के क्रेडेंशियल्स का उपयोग कर सकते हैं जैसा कि लॉगिन पेज में दिखाया गया है।

वेब प्रॉक्सी

क्लाइंट (ब्राउज़र) और सर्वर (सिस्टम जहां हमारे मामले में Webgoat अनुप्रयोग होस्ट किया गया है) के बीच यातायात को बाधित करने के लिए, हमें एक वेब प्रॉक्सी का उपयोग करने की आवश्यकता है। हम बर्प प्रॉक्सी का उपयोग करेंगे जिसे डाउनलोड किया जा सकता हैhttps://portswigger.net/burp/download.html

यह पर्याप्त है यदि आप नीचे दिए गए अनुसार बर्स्ट सूट का मुफ्त संस्करण डाउनलोड करते हैं।

बर्प सूट का विन्यास

बर्प सूट एक वेब प्रॉक्सी है जो ब्राउज़र और वेबसर्वर द्वारा भेजी और प्राप्त की गई जानकारी के प्रत्येक पैकेट को रोक सकता है। इससे ग्राहक को वेब-सर्वर को सूचना भेजने से पहले सामग्री को संशोधित करने में मदद मिलती है।

Step 1- ऐप को पोर्ट 8080 पर स्थापित किया गया है और बर्प को पोर्ट 8181 पर स्थापित किया गया है जैसा कि नीचे दिखाया गया है। बर्प सूट लॉन्च करें और इसे नीचे दिखाए अनुसार पोर्ट 8181 में लाने के लिए निम्नलिखित सेटिंग्स करें।

Step 2- हमें यह सुनिश्चित करना चाहिए कि बर्प पोर्ट # 8080 सुन रहा है जहां एप्लिकेशन इंस्टॉल किया गया है ताकि बर्प सूट यातायात को बाधित कर सके। यह सेटिंग्स बर्प सूट के स्कोप टैब पर की जानी चाहिए जैसा कि नीचे दिखाया गया है।

Step 3- फिर पोर्ट 8181 (बर्प सूट पोर्ट) को सुनने के लिए अपनी ब्राउज़र प्रॉक्सी सेटिंग करें। इस प्रकार हमने क्लाइंट (ब्राउज़र) और सर्वर (वेबसर्वर) के बीच ट्रैफ़िक को बाधित करने के लिए वेब प्रॉक्सी कॉन्फ़िगर किया है जैसा कि नीचे दिखाया गया है -

Step 4 - विन्यास का स्नैपशॉट नीचे दिखाए गए अनुसार एक साधारण वर्कफ़्लो आरेख की मदद से दिखाया गया है