सुरक्षा परीक्षण - त्वरित गाइड
वेब पर दुर्भावनापूर्ण गतिविधियों से सिस्टम को सुरक्षित रखने के लिए सुरक्षा परीक्षण बहुत महत्वपूर्ण है।
सुरक्षा परीक्षण क्या है?
सुरक्षा परीक्षण यह निर्धारित करने के लिए एक परीक्षण तकनीक है कि क्या सूचना प्रणाली डेटा की सुरक्षा करती है और कार्यक्षमता को बनाए रखती है। सुरक्षा परीक्षण प्रणाली की पूर्ण सुरक्षा की गारंटी नहीं देता है, लेकिन परीक्षण प्रक्रिया के एक भाग के रूप में सुरक्षा परीक्षण को शामिल करना महत्वपूर्ण है।
सुरक्षा परीक्षण एक सुरक्षित वातावरण प्रदान करने के लिए निम्नलिखित छह उपाय करता है -
Confidentiality - यह अनपेक्षित प्राप्तकर्ताओं को सूचना के प्रकटीकरण से बचाता है।
Integrity - यह प्रेषकों से इच्छित रिसीवर तक सटीक और सही वांछित जानकारी स्थानांतरित करने की अनुमति देता है।
Authentication - यह उपयोगकर्ता की पहचान की पुष्टि और पुष्टि करता है।
Authorization - यह उपयोगकर्ताओं और संसाधनों तक पहुंच के अधिकार को निर्दिष्ट करता है।
Availability - यह आवश्यकता पर सूचना की तत्परता सुनिश्चित करता है।
Non-repudiation - यह सुनिश्चित करता है कि संदेश भेजने या प्राप्त करने के लिए प्रेषक या रिसीवर से कोई इनकार नहीं किया गया है।
उदाहरण
वेब-आधारित एप्लिकेशन में सुरक्षा दोषों को पहचानने में जटिल कदम और रचनात्मक सोच शामिल है। कई बार, एक साधारण परीक्षण सबसे गंभीर सुरक्षा जोखिम को उजागर कर सकता है। आप किसी भी वेब एप्लिकेशन पर यह बहुत ही मूल परीक्षण आजमा सकते हैं -
मान्य क्रेडेंशियल्स का उपयोग करके वेब एप्लिकेशन में लॉग इन करें।
वेब एप्लिकेशन से लॉग आउट करें।
ब्राउजर के BACK बटन पर क्लिक करें।
सत्यापित करें कि क्या आपको फिर से लॉग इन करने के लिए कहा गया है या यदि आप फिर से लॉग इन पेज पर वापस जाने में सक्षम हैं।
सुरक्षा परीक्षण को सिस्टम पर एक नियंत्रित हमले के रूप में देखा जा सकता है, जो यथार्थवादी तरीके से सुरक्षा खामियों को उजागर करता है। इसका लक्ष्य एक आईटी प्रणाली की वर्तमान स्थिति का मूल्यांकन करना है। इसे के रूप में भी जाना जाता हैpenetration test या अधिक लोकप्रिय रूप में ethical hacking।
पेनेट्रेशन परीक्षण चरणों में किया जाता है और यहां इस अध्याय में, हम पूरी प्रक्रिया पर चर्चा करेंगे। प्रत्येक चरण में उचित प्रलेखन किया जाना चाहिए ताकि हमले को पुन: पेश करने के लिए आवश्यक सभी कदम आसानी से उपलब्ध हों। प्रलेखन भी एक प्रवेश परीक्षा के अंत में प्राप्त विस्तृत रिपोर्ट ग्राहकों के लिए आधार के रूप में कार्य करता है।
प्रवेश परीक्षा - वर्कफ़्लो
पेनेट्रेशन टेस्ट में चार प्रमुख चरण शामिल हैं -
- पैर की छपाई
- Scanning
- Enumeration
- Exploitation
ये चार चरण कई बार फिर से पुनरावृत्त होते हैं जो सामान्य एसडीएलसी के साथ हाथ में जाता है।
दुर्भावनापूर्ण सॉफ़्टवेयर (मैलवेयर) कोई भी सॉफ़्टवेयर है जो हमलावर / मैलवेयर निर्माता को सिस्टम के पूर्ण नियंत्रण के लिए आंशिक देता है।
malwares
मैलवेयर के विभिन्न रूप नीचे सूचीबद्ध हैं -
Virus- एक वायरस एक प्रोग्राम है जो स्वयं की प्रतियां बनाता है और इन कॉपियों को अन्य कंप्यूटर प्रोग्राम, डेटा फ़ाइलों या हार्ड-डिस्क के बूट सेक्टर में सम्मिलित करता है। सफल प्रतिकृति पर, वायरस संक्रमित मेजबानों पर हानिकारक गतिविधि का कारण बनते हैं जैसे हार्ड-डिस्क स्थान या सीपीयू समय की चोरी करना।
Worm - एक कीड़ा एक प्रकार का मैलवेयर होता है, जो अपने रास्ते में प्रत्येक कंप्यूटर की मेमोरी में खुद की एक कॉपी छोड़ देता है।
Trojan - ट्रोजन एक गैर-स्व-प्रतिकृति प्रकार का मैलवेयर है जिसमें दुर्भावनापूर्ण कोड होता है, जिसके परिणामस्वरूप डेटा के नुकसान या चोरी या संभावित सिस्टम को नुकसान पहुंचता है।
Adware- एडवेयर, जिसे फ्रीवेयर या पिचवेयर के रूप में भी जाना जाता है, एक मुफ्त कंप्यूटर सॉफ्टवेयर है जिसमें गेम, डेस्कटॉप टूलबार और उपयोगिताओं के वाणिज्यिक विज्ञापन शामिल हैं। यह एक वेब-आधारित अनुप्रयोग है और यह विज्ञापन, विशेष रूप से पॉप-अप को लक्षित करने के लिए वेब ब्राउज़र डेटा एकत्र करता है।
Spyware- स्पायवेयर घुसपैठ सॉफ्टवेयर है जो गुमनाम रूप से उपयोगकर्ताओं पर नजर रखता है जो किसी हैकर को उपयोगकर्ता के कंप्यूटर से संवेदनशील जानकारी प्राप्त करने में सक्षम बनाता है। स्पाइवेयर उपयोगकर्ताओं और अनुप्रयोग भेद्यता का शोषण करता है जो अक्सर मुफ्त ऑनलाइन सॉफ़्टवेयर डाउनलोड या उपयोगकर्ताओं द्वारा क्लिक किए गए लिंक से जुड़ा होता है।
Rootkit - एक रूटकिट एक हैकर द्वारा उपयोग किया जाने वाला एक सॉफ्टवेयर है जिसका उपयोग कंप्यूटर / नेटवर्क के लिए व्यवस्थापक स्तर तक पहुंच प्राप्त करने के लिए किया जाता है जो कि चोरी हुए पासवर्ड के माध्यम से या पीड़ित के ज्ञान के बिना सिस्टम भेद्यता का शोषण करके स्थापित किया जाता है।
निवारक उपाय
सिस्टम में मैलवेयर की उपस्थिति से बचने के लिए निम्नलिखित उपाय किए जा सकते हैं -
सुनिश्चित करें कि ऑपरेटिंग सिस्टम और एप्लिकेशन पैच / अपडेट के साथ अद्यतित हैं।
कभी भी अजीब ई-मेल न खोलें, विशेषकर अटैचमेंट वाले।
जब आप इंटरनेट से डाउनलोड करते हैं, तो हमेशा जांचें कि आप क्या स्थापित करते हैं। पॉप-अप विंडो को खारिज करने के लिए बस ओके पर क्लिक न करें। आवेदन स्थापित करने से पहले प्रकाशक को सत्यापित करें।
एंटी-वायरस सॉफ़्टवेयर स्थापित करें।
सुनिश्चित करें कि आप नियमित रूप से एंटीवायरस प्रोग्राम को स्कैन और अपडेट करते हैं।
फ़ायरवॉल स्थापित करें।
ब्राउज़र और एप्लिकेशन द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं को हमेशा सक्षम और उपयोग करें।
एंटी-मैलवेयर सॉफ्टवेयर
निम्न सॉफ्टवेयर एक सिस्टम से malwares को हटाने में मदद करते हैं -
- माइक्रोसॉफ्ट सुरक्षा अनिवार्य
- माइक्रोसॉफ्ट विंडोज डिफेंडर
- एवीजी इंटरनेट सुरक्षा
- Spybot - खोज और नष्ट
- अवास्ट! निजी उपयोग के लिए होम संस्करण
- पांडा इंटरनेट सुरक्षा
- मैक ओएस और मैक ओएस एक्स के लिए मैकस्कैन
सुरक्षा परीक्षण पर एक अच्छी समझ पाने के लिए प्रोटोकॉल को समझना बहुत महत्वपूर्ण है। जब हम वेबसर्वर और क्लाइंट के बीच पैकेट डेटा को इंटरसेप्ट करते हैं तो आप प्रोटोकॉल के महत्व की सराहना कर सकेंगे।
HTTP प्रोटोकॉल
हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTP) वितरित, सहयोगी, हाइपरमीडिया सूचना प्रणाली के लिए एक अनुप्रयोग-स्तरीय प्रोटोकॉल है। यह 1990 के बाद से वर्ल्ड वाइड वेब के लिए डेटा संचार की नींव है। HTTP एक सामान्य और स्टेटलेस प्रोटोकॉल है, जिसका उपयोग अन्य उद्देश्यों के साथ-साथ अपने अनुरोध विधियों, त्रुटि कोड और हेडर के विस्तार के लिए भी किया जा सकता है।
मूल रूप से, HTTP एक टीसीपी / आईपी आधारित संचार प्रोटोकॉल है, जिसका उपयोग वेब पर HTML फ़ाइलों, छवि फ़ाइलों, क्वेरी परिणामों आदि जैसे डेटा को वितरित करने के लिए किया जाता है। यह कंप्यूटर को एक दूसरे के साथ संवाद करने के लिए एक मानकीकृत तरीका प्रदान करता है। HTTP विनिर्देश निर्दिष्ट करता है कि क्लाइंट के अनुरोधित डेटा को सर्वर पर कैसे भेजा जाता है, और सर्वर इन अनुरोधों का जवाब कैसे देते हैं।
बुनियादी सुविधाओं
निम्नलिखित तीन बुनियादी विशेषताएं हैं जो HTTP को एक सरल लेकिन शक्तिशाली प्रोटोकॉल बनाती हैं -
HTTP is connectionless- HTTP क्लाइंट, यानी, ब्राउज़र एक HTTP अनुरोध शुरू करता है। अनुरोध करने के बाद, क्लाइंट सर्वर से डिस्कनेक्ट करता है और प्रतिक्रिया की प्रतीक्षा करता है। सर्वर अनुरोध को संसाधित करता है और प्रतिक्रिया को वापस भेजने के लिए क्लाइंट के साथ कनेक्शन को फिर से स्थापित करता है।
HTTP is media independent- HTTP द्वारा किसी भी प्रकार का डेटा तब तक भेजा जा सकता है जब तक क्लाइंट और सर्वर दोनों को पता है कि डेटा कंटेंट को कैसे संभालना है। क्लाइंट के लिए और साथ ही उपयुक्त MIME- प्रकार का उपयोग करके सामग्री प्रकार निर्दिष्ट करने के लिए सर्वर की आवश्यकता होती है।
HTTP is stateless- HTTP एक कनेक्शन रहित है और यह एक सीधा परिणाम है कि HTTP एक स्टेटलेस प्रोटोकॉल है। सर्वर और क्लाइंट एक वर्तमान अनुरोध के दौरान ही एक दूसरे के बारे में जानते हैं। बाद में, दोनों एक-दूसरे के बारे में भूल जाते हैं। प्रोटोकॉल की इस प्रकृति के कारण, न तो क्लाइंट और न ही ब्राउज़र वेब पृष्ठों पर विभिन्न अनुरोधों के बीच जानकारी को बनाए रख सकते हैं।
HTTP / 1.0 प्रत्येक अनुरोध / प्रतिक्रिया विनिमय के लिए एक नए कनेक्शन का उपयोग करता है जबकि HTTP / 1.1 कनेक्शन का उपयोग एक या अधिक अनुरोध / प्रतिक्रिया एक्सचेंजों के लिए किया जा सकता है।
आर्किटेक्चर
निम्नलिखित आरेख एक वेब एप्लिकेशन की एक बहुत ही मूल वास्तुकला को दर्शाता है और जहां HTTP रहता है, उसे दर्शाया गया है -
HTTP प्रोटोकॉल क्लाइंट / सर्वर आर्किटेक्चर पर आधारित एक अनुरोध / प्रतिक्रिया प्रोटोकॉल है जहां वेब ब्राउज़र, रोबोट और खोज इंजन आदि HTTP क्लाइंट के रूप में कार्य करते हैं और वेब सर्वर सर्वर के रूप में कार्य करता है।
Client - HTTP क्लाइंट एक अनुरोध विधि, URI, और प्रोटोकॉल संस्करण के रूप में सर्वर को एक अनुरोध भेजता है, इसके बाद एक MIME- जैसे संदेश होता है जिसमें अनुरोध संशोधक, क्लाइंट जानकारी और एक टीसीपी / आईपी कनेक्शन पर संभावित शरीर सामग्री होती है।
Server - HTTP सर्वर एक स्टेटस लाइन के साथ प्रतिक्रिया करता है, जिसमें संदेश का प्रोटोकॉल संस्करण और एक सफलता या त्रुटि कोड शामिल है, इसके बाद MIME जैसा संदेश होता है जिसमें सर्वर जानकारी, इकाई मेटा जानकारी और संभावित निकाय सामग्री शामिल होती है।
HTTP - नुकसान
HTTP पूरी तरह से सुरक्षित प्रोटोकॉल नहीं है।
HTTP संचार के लिए डिफ़ॉल्ट पोर्ट के रूप में पोर्ट 80 का उपयोग करता है।
HTTP एप्लीकेशन लेयर पर काम करता है। इसे डेटा ट्रांसफर के लिए कई कनेक्शन बनाने होंगे, जिससे प्रशासन ओवरहेड हो जाता है।
HTTP का उपयोग करने के लिए किसी एन्क्रिप्शन / डिजिटल प्रमाणपत्र की आवश्यकता नहीं है।
Http प्रोटोकॉल विवरण
HTTP प्रोटोकॉल indepth को समझने के लिए, नीचे दिए गए लिंक पर प्रत्येक पर क्लिक करें।
HTTP Parameters
HTTP Messages
HTTP Requests
HTTP Responses
HTTP Methods
HTTP Status Codes
HTTP Header Fields
HTTP Security
HTTPS (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल ओवर सिक्योर सॉकेट लेयर) या HTTP ओवर एसएसएल नेटस्केप द्वारा विकसित एक वेब प्रोटोकॉल है। यह एक प्रोटोकॉल नहीं है, लेकिन यह एसएसएल / टीएलएस (सिक्योर सॉकेट लेयर / ट्रांसपोर्ट लेयर सिक्योरिटी) के शीर्ष पर HTTP को बिछाने का परिणाम है।
संक्षेप में, HTTPS = HTTP + SSL
HTTPS कब आवश्यक है?
जब हम ब्राउज़ करते हैं, तो हम सामान्य रूप से HTTP प्रोटोकॉल का उपयोग करके जानकारी भेजते और प्राप्त करते हैं। इसलिए यह किसी को भी हमारे कंप्यूटर और वेब सर्वर के बीच की बातचीत पर प्रकाश डालता है। कई बार हमें संवेदनशील जानकारी का आदान-प्रदान करने की आवश्यकता होती है जिसे सुरक्षित रखने और अनधिकृत पहुंच को रोकने की आवश्यकता होती है।
Https प्रोटोकॉल निम्नलिखित परिदृश्य में उपयोग किया जाता है -
- बैंकिंग वेबसाइटें
- अदायगी रास्ता
- शॉपिंग वेबसाइट्स
- सभी लॉगिन पृष्ठ
- ईमेल ऐप्स
HTTPS का मूल कार्य
HTTPS प्रोटोकॉल में सर्वर के लिए सार्वजनिक कुंजी और हस्ताक्षरित प्रमाण पत्र आवश्यक हैं।
Https: // पृष्ठ के लिए क्लाइंट अनुरोध
Https कनेक्शन का उपयोग करते समय, सर्वर वेबसर्वर का समर्थन करने वाले एन्क्रिप्शन विधियों की एक सूची पेश करके प्रारंभिक कनेक्शन पर प्रतिक्रिया देता है।
जवाब में, ग्राहक एक कनेक्शन विधि का चयन करता है, और क्लाइंट और सर्वर एक्सचेंज प्रमाणपत्र उनकी पहचान प्रमाणित करने के लिए।
ऐसा करने के बाद, वेबसर्वर और क्लाइंट दोनों एन्क्रिप्ट की गई सूचनाओं का आदान-प्रदान करते हैं, यह सुनिश्चित करने के बाद कि दोनों एक ही कुंजी का उपयोग कर रहे हैं, और कनेक्शन बंद है।
Https कनेक्शन की मेजबानी के लिए, एक सर्वर के पास एक सार्वजनिक कुंजी प्रमाणपत्र होना चाहिए, जो कुंजी स्वामी की पहचान के सत्यापन के साथ महत्वपूर्ण जानकारी एम्बेड करता है।
लगभग सभी प्रमाण पत्रों को तीसरे पक्ष द्वारा सत्यापित किया जाता है ताकि ग्राहकों को आश्वासन दिया जाए कि कुंजी हमेशा सुरक्षित है।
एनकोडिंग और डिकोडिंग क्या है?
एन्कोडिंग कुशल संचरण के लिए वर्णों, संख्याओं और अन्य विशेष वर्णों के अनुक्रम को एक विशेष प्रारूप में डालने की प्रक्रिया है।
डिकोडिंग एक एन्कोडेड प्रारूप को वर्णों के मूल अनुक्रम में बदलने की प्रक्रिया है। यह एन्क्रिप्शन से पूरी तरह से अलग है जिसे हम आमतौर पर गलत व्याख्या करते हैं।
एन्कोडिंग और डिकोडिंग का उपयोग डेटा संचार और भंडारण में किया जाता है। संवेदनशील जानकारी के परिवहन के लिए एन्कोडिंग का उपयोग नहीं किया जाना चाहिए।
URL एनकोडिंग
URL को केवल ASCII वर्ण-सेट का उपयोग करके इंटरनेट पर भेजा जा सकता है और ऐसे उदाहरण हैं जब URL में ASCII वर्णों के अलावा विशेष वर्ण होते हैं, इसे एन्कोडेड करने की आवश्यकता होती है। URL में स्थान नहीं होते हैं और उन्हें प्लस (+) चिह्न या% 20 के साथ बदल दिया जाता है।
ASCII एनकोडिंग
ब्राउज़र (क्लाइंट साइड) वेब-पेज में उपयोग किए गए वर्ण-सेट और HTML5 में डिफ़ॉल्ट वर्ण-सेट UTF-8 के अनुसार इनपुट को एन्कोड करेगा।
निम्न तालिका में चरित्र के ASCII प्रतीक और उसके बराबर प्रतीक को दिखाया गया है और अंत में इसका प्रतिस्थापन जो इसे सर्वर से पास करने से पहले URL में उपयोग किया जा सकता है -
ASCII | प्रतीक | प्रतिस्थापन |
---|---|---|
<३२ | % Xx के साथ एनकोड करें जहां xx वर्ण का हेक्साडेसिमल प्रतिनिधित्व है। | |
32 | अंतरिक्ष | + या% २० |
33 | ! | % 21 |
34 | " | % 22 |
35 | # | % 23 |
36 | $ | % 24 |
37 | % | % 25 |
38 | और | % 26 |
39 | ' | % 27 |
40 | ( | % 28 |
41 | ) | % 29 |
42 | * | * |
43 | + | % 2 बी |
44 | , | % 2C |
45 | - | - |
46 | । | । |
47 | / | % 2F |
48 | 0 | 0 |
49 | 1 | 1 |
50 | 2 | 2 |
51 | 3 | 3 |
52 | 4 | 4 |
53 | 5 | 5 |
54 | 6 | 6 |
55 | 7 | 7 |
56 | 8 | 8 |
57 | 9 | 9 |
58 | : | % 3 ए |
59 | ; | % 3 बी |
60 | > | % 3 C |
61 | = | % 3 डी |
62 | > | % 3E |
63 | ? | % 3F |
64 | @ | 40% |
65 | ए | ए |
66 | ख | ख |
67 | सी | सी |
68 | घ | घ |
69 | इ | इ |
70 | एफ | एफ |
71 | जी | जी |
72 | एच | एच |
73 | मैं | मैं |
74 | जे | जे |
75 | क | क |
76 | एल | एल |
77 | म | म |
78 | एन | एन |
79 | हे | हे |
80 | पी | पी |
81 | क्यू | क्यू |
82 | आर | आर |
83 | रों | रों |
84 | टी | टी |
85 | यू | यू |
86 | वी | वी |
87 | डब्ल्यू | डब्ल्यू |
88 | एक्स | एक्स |
89 | Y | Y |
90 | जेड | जेड |
91 | [ | % 5 ब |
92 | \ | % 5C |
93 | ] | % 5D |
94 | ^ | % 5E |
95 | _ | _ |
96 | ` | 60% |
97 | ए | ए |
98 | ख | ख |
99 | सी | सी |
100 | घ | घ |
101 | इ | इ |
102 | च | च |
103 | जी | जी |
104 | एच | एच |
105 | मैं | मैं |
106 | जे | जे |
107 | क | क |
108 | एल | एल |
109 | म | म |
110 | n | n |
111 | हे | हे |
112 | पी | पी |
113 | क्यू | क्यू |
114 | आर | आर |
115 | रों | रों |
116 | टी | टी |
117 | यू | यू |
118 | v | v |
119 | w | w |
120 | एक्स | एक्स |
121 | y | y |
122 | जेड | जेड |
123 | { | % 7B |
124 | | | % 7C |
125 | } | % 7 दिन |
126 | ~ | % 7E |
127 | % 7F | |
> 127 | % Xx के साथ एनकोड करें जहां xx वर्ण का हेक्साडेसिमल प्रतिनिधित्व है |
क्रिप्टोग्राफी क्या है?
क्रिप्टोग्राफी डेटा को एन्क्रिप्ट और डिक्रिप्ट करने का विज्ञान है जो उपयोगकर्ताओं को संवेदनशील सूचनाओं को संग्रहीत करने या असुरक्षित नेटवर्क पर प्रसारित करने में सक्षम बनाता है ताकि इसे केवल इच्छित प्राप्तकर्ता द्वारा पढ़ा जा सके।
बिना किसी विशेष उपाय के डेटा को पढ़ा और समझा जा सकता है plaintext, जबकि पदार्थ को छिपाने के लिए प्लेनटेक्ट को छिपाने के तरीके को कहा जाता है encryption।
एनक्रिप्टेड प्लेनटेक्स्ट को सिफर टेक्स्ट के रूप में जाना जाता है और एन्क्रिप्टेड डेटा को प्लेन टेक्स्ट में वापस लाने की प्रक्रिया के रूप में जाना जाता है decryption।
सुरक्षित संचार का विश्लेषण और तोड़ने का विज्ञान क्रिप्टोनालिसिस के रूप में जाना जाता है। जो लोग प्रदर्शन करते हैं उन्हें हमलावर के रूप में भी जाना जाता है।
क्रिप्टोग्राफी या तो मजबूत या कमजोर हो सकती है और ताकत को समय और संसाधनों द्वारा मापा जाता है जिसे वास्तविक प्लेटेक्स्ट को पुनर्प्राप्त करने की आवश्यकता होती है।
इसलिए मजबूत एन्क्रिप्टेड संदेशों को समझने के लिए एक उपयुक्त डिकोडिंग टूल की आवश्यकता होती है।
कुछ क्रिप्टोग्राफिक तकनीक उपलब्ध हैं, जिनके साथ एक अरब कंप्यूटर भी एक अरब सेकंड की जाँच करते हैं, यह पाठ को समझने के लिए संभव नहीं है।
जैसे-जैसे कंप्यूटिंग शक्ति दिन-ब-दिन बढ़ रही है, हमलावरों से डेटा और महत्वपूर्ण जानकारी की सुरक्षा के लिए एन्क्रिप्शन एल्गोरिदम को बहुत मजबूत करना होगा।
एन्क्रिप्शन कैसे काम करता है?
एक क्रिप्टोग्राफिक एल्गोरिथ्म एक कुंजी के साथ संयोजन में काम करता है (एक शब्द, संख्या, या वाक्यांश हो सकता है) प्लेनटेक्स्ट को एन्क्रिप्ट करने के लिए और एक ही प्लेनटेक्स्ट अलग-अलग कुंजियों के साथ अलग-अलग सिफर टेक्स्ट को एन्क्रिप्ट करता है।
इसलिए, एन्क्रिप्टेड डेटा पूरी तरह से कुछ हद तक मापदंडों पर निर्भर है जैसे कि क्रिप्टोग्राफिक एल्गोरिदम की ताकत और कुंजी की गोपनीयता।
क्रिप्टोग्राफी तकनीक
Symmetric Encryption- पारंपरिक क्रिप्टोग्राफी, जिसे पारंपरिक एन्क्रिप्शन के रूप में भी जाना जाता है, वह तकनीक है जिसमें एन्क्रिप्शन और डिक्रिप्शन दोनों के लिए केवल एक कुंजी का उपयोग किया जाता है। उदाहरण के लिए, डेस, ट्रिपल डेस एल्गोरिदम, आईबीएम, आरसी 2, आरसी 4, आरसी 5, आरसी 6 द्वारा मार्स।
Asymmetric Encryption- यह सार्वजनिक कुंजी क्रिप्टोग्राफी है जो एन्क्रिप्शन के लिए कुंजी की एक जोड़ी का उपयोग करता है: डेटा एन्क्रिप्ट करने के लिए एक सार्वजनिक कुंजी और डिक्रिप्शन के लिए एक निजी कुंजी। सार्वजनिक कुंजी को निजी कुंजी को गुप्त रखते हुए लोगों के लिए प्रकाशित किया जाता है। उदाहरण के लिए, आरएसए, डिजिटल सिग्नेचर एलगोरिदम (डीएसए), एलागम।
Hashing- हैशिंग वन-वे एनक्रिप्शन है, जो एक स्क्रैम्बल आउटपुट बनाता है जिसे उलटा नहीं किया जा सकता है या कम से कम आसानी से नहीं बदला जा सकता है। उदाहरण के लिए, एमडी 5 एल्गोरिथ्म। इसका उपयोग डिजिटल प्रमाण पत्र, डिजिटल हस्ताक्षर, पासवर्ड का भंडारण, संचार का सत्यापन, आदि बनाने के लिए किया जाता है।
वेब एप्लिकेशन सुरक्षा मॉडल में समान उत्पत्ति नीति (एसओपी) एक महत्वपूर्ण अवधारणा है।
समान उत्पत्ति नीति क्या है?
इस नीति के अनुसार, यह उसी साइट से उत्पन्न पृष्ठों पर चलने वाली स्क्रिप्ट को अनुमति देता है जो निम्नलिखित का संयोजन हो सकता है -
- Domain
- Protocol
- Port
उदाहरण
इस व्यवहार के पीछे का कारण सुरक्षा है। यदि आपके पास एक विंडो में try.com है और दूसरी विंडो में gmail.com है, तो आप अपनी ओर से gmail.com की सामग्री को एक्सेस या संशोधित करने या कार्रवाई करने के लिए try.com से स्क्रिप्ट नहीं चाहते हैं।
नीचे एक ही मूल से वेबपृष्ठ हैं। जैसा कि पहले बताया गया है, एक ही मूल डोमेन / प्रोटोकॉल / पोर्ट को ध्यान में रखता है।
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
नीचे एक अलग मूल से वेबपृष्ठ हैं।
- http://www.site.co.uk (दूसरा डोमेन)
- http://site.org (दूसरा डोमेन)
- https://site.com (दूसरा प्रोटोकॉल)
- http://site.com:8080 (दूसरा पोर्ट)
IE के लिए एक ही मूल नीति अपवाद
इंटरनेट एक्सप्लोरर में एसओपी के दो प्रमुख अपवाद हैं।
पहला 'ट्रस्टेड जोन' से संबंधित है। यदि दोनों डोमेन अत्यधिक विश्वसनीय क्षेत्र में हैं तो समान उत्पत्ति नीति पूरी तरह से लागू नहीं है।
IE में दूसरा अपवाद पोर्ट से संबंधित है। IE समान मूल नीति में पोर्ट शामिल नहीं करता है, इसलिए http://website.com और http://wesite.com:4444 को एक ही मूल से माना जाता है और कोई प्रतिबंध लागू नहीं होते हैं।
एक कुकी क्या है?
एक कुकी वेब ब्राउजर पर स्टोर करने के लिए एक वेब सर्वर द्वारा भेजी जाने वाली जानकारी का एक छोटा सा टुकड़ा है ताकि इसे बाद में ब्राउज़र द्वारा पढ़ा जा सके। इस तरह, ब्राउज़र को कुछ विशिष्ट व्यक्तिगत जानकारी याद है। अगर किसी हैकर को कुकी की जानकारी मिलती है, तो यह सुरक्षा के मुद्दों को जन्म दे सकता है।
कुकीज़ के गुण
यहाँ कुकीज़ के कुछ महत्वपूर्ण गुण हैं -
वे आम तौर पर छोटी पाठ फाइलें होती हैं, आईडी टैग जो आपके कंप्यूटर के ब्राउज़र निर्देशिका पर संग्रहीत होते हैं।
वे वेब डेवलपर्स द्वारा उपयोग किया जाता है ताकि उपयोगकर्ताओं को अपनी वेबसाइटों को कुशलतापूर्वक नेविगेट करने और कुछ कार्यों को करने में मदद मिल सके।
जब उपयोगकर्ता फिर से उसी वेबसाइट को ब्राउज़ करता है, तो उपयोगकर्ता की पिछली गतिविधियों की वेबसाइट को सूचित करने के लिए कुकी में संग्रहीत डेटा को वेब सर्वर पर वापस भेज दिया जाता है।
कुकीज़ उन वेबसाइटों के लिए अपरिहार्य हैं जिनके पास विशाल डेटाबेस हैं, लॉगिन की आवश्यकता है, अनुकूलन योग्य थीम हैं।
कुकी सामग्री
कुकी में निम्नलिखित जानकारी होती है -
- कुकी से सर्वर का नाम भेजा गया था।
- कुकी का जीवनकाल।
- एक मूल्य - आमतौर पर एक यादृच्छिक रूप से उत्पन्न अद्वितीय संख्या।
कुकीज़ के प्रकार
Session Cookies- ये कुकीज़ अस्थायी होती हैं जो उपयोगकर्ता द्वारा ब्राउज़र बंद करने पर मिट जाती हैं। यदि उपयोगकर्ता फिर से लॉग इन करता है, तो भी उस सत्र के लिए एक नया कुकी बनाया जाता है।
Persistent cookies- ये कुकीज़ हार्ड डिस्क ड्राइव पर रहती हैं जब तक कि उपयोगकर्ता उन्हें मिटा न दे या वे समाप्त हो जाएं। कुकी की समाप्ति इस बात पर निर्भर करती है कि वे कितने समय तक टिक सकते हैं।
कुकीज़ का परीक्षण
यहाँ कुकीज़ का परीक्षण करने के तरीके दिए गए हैं -
Disabling Cookies- एक परीक्षक के रूप में, हमें कुकीज़ अक्षम करने के बाद वेबसाइट की पहुंच को सत्यापित करने और यह जांचने की आवश्यकता है कि क्या पेज ठीक से काम कर रहे हैं। वेबसाइट के सभी पृष्ठों पर नेविगेट करना और ऐप क्रैश के लिए देखना। उपयोगकर्ता को यह सूचित करना भी आवश्यक है कि साइट का उपयोग करने के लिए कुकीज़ आवश्यक हैं।
Corrupting Cookies- प्रदर्शन किया जा करने के लिए एक और परीक्षण कुकीज़ भ्रष्ट करके है। ऐसा करने के लिए, किसी को साइट की कुकी का स्थान ढूंढना होगा और इसे नकली / अमान्य डेटा के साथ मैन्युअल रूप से संपादित करना होगा, जिसका उपयोग डोमेन से आंतरिक जानकारी तक पहुंच के लिए किया जा सकता है जो बाद में साइट को हैक करने के लिए उपयोग किया जा सकता है।
Removing Cookies - वेबसाइट के लिए सभी कुकीज़ हटा दें और जांचें कि वेबसाइट इस पर कैसे प्रतिक्रिया देती है।
Cross-Browser Compatibility - यह भी जांचना महत्वपूर्ण है कि कुकीज़ लिखने वाले किसी भी पेज से सभी समर्थित ब्राउज़रों पर कुकीज़ ठीक से लिखे जा रहे हैं।
Editing Cookies- यदि एप्लिकेशन लॉगिन जानकारी संग्रहीत करने के लिए कुकीज़ का उपयोग करता है तो एक परीक्षक के रूप में हमें उपयोगकर्ता को कुकी या एड्रेस बार में किसी अन्य मान्य उपयोगकर्ता को बदलने का प्रयास करना चाहिए। कुकी को संपादित करने से आपको अलग-अलग उपयोगकर्ताओं के खाते में प्रवेश नहीं करने देना चाहिए।
कुकीज़ देखना और संपादन करना
आधुनिक ब्राउज़र कुकीज़ की सूचना / संपादन को ब्राउज़र के भीतर ही सूचित करने का समर्थन करते हैं। मोज़िला / क्रोम के लिए प्लगइन्स हैं, जिनके उपयोग से हम सफलतापूर्वक संपादन करने में सक्षम हैं।
- फ़ायरफ़ॉक्स के लिए कुकीज़ प्लगइन संपादित करें
- क्रोम के लिए इस कुकी प्लगइन को संपादित करें
कुकी को संपादित करने के लिए चरणों का पालन किया जाना चाहिए -
क्रोम के लिए प्लगइन यहाँ से डाउनलोड करें
नीचे दिखाए गए अनुसार क्रोम से सिर्फ 'इस कुकी को संपादित करें' प्लगइन तक पहुंचकर कुकी मान को संपादित करें।
विभिन्न तरीके / दृष्टिकोण हैं, जिनका उपयोग हम एक हमले के प्रदर्शन के लिए एक संदर्भ के रूप में कर सकते हैं।
वेब एप्लीकेशन - पेनिटिंग मेथडोलॉजी
एक हमले के मॉडल को विकसित करते समय निम्नलिखित मानकों को ध्यान में रखा जा सकता है।
निम्नलिखित सूची में, OWASP सबसे अधिक सक्रिय है और इसमें कई योगदानकर्ता हैं। हम OWASP तकनीकों पर ध्यान केंद्रित करेंगे, जो प्रत्येक विकास टीम वेब ऐप डिजाइन करने से पहले ध्यान में रखती है।
पीटीईएस - प्रवेश परीक्षण निष्पादन मानक
OSSTMM - मुक्त स्रोत सुरक्षा परीक्षण पद्धति मैनुअल
OWASP परीक्षण तकनीक - वेब अनुप्रयोग सुरक्षा प्रोटोकॉल खोलें
OWASP शीर्ष 10
ओपन वेब एप्लिकेशन सिक्योरिटी प्रोटोकॉल टीम ने हाल के वर्षों में वेब में अधिक प्रचलित 10 शीर्ष कमजोरियों को जारी किया। नीचे उन सुरक्षा दोषों की सूची दी गई है जो वेब आधारित अनुप्रयोग में अधिक प्रचलित हैं।
आवेदन - हाथ पर
तकनीकों में से प्रत्येक को समझने के लिए, आइए हम एक नमूना अनुप्रयोग के साथ काम करें। हम 'WebGoat' पर हमला करेंगे, J2EE एप्लिकेशन जो स्पष्ट रूप से सीखने के उद्देश्यों के लिए सुरक्षा खामियों के साथ विकसित किया गया है।
Webgoat परियोजना के बारे में पूरा विवरण स्थित हो सकता है https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project। WebGoat एप्लिकेशन डाउनलोड करने के लिए, पर जाएँhttps://github.com/WebGoat/WebGoat/wiki/Installation-(WebGoat-6.0) और गोटो डाउनलोड अनुभाग।
डाउनलोड किए गए एप्लिकेशन को स्थापित करने के लिए, पहले यह सुनिश्चित करें कि आपके पास पोर्ट 8080 पर चलने वाला कोई एप्लिकेशन नहीं है। इसे केवल एक कमांड - जावा-वेबरैट-6.0.1-वॉर-एग्जीक्यूटिव-। अधिक जानकारी के लिए, WebGoat स्थापना पर जाएँ
स्थापना के बाद, हमें नेविगेट करके एप्लिकेशन तक पहुंचने में सक्षम होना चाहिए http://localhost:8080/WebGoat/attack और पृष्ठ नीचे दिखाया गया है।
हम अतिथि या व्यवस्थापक के क्रेडेंशियल्स का उपयोग कर सकते हैं जैसा कि लॉगिन पेज में दिखाया गया है।
वेब प्रॉक्सी
क्लाइंट (ब्राउज़र) और सर्वर (सिस्टम जहां हमारे मामले में Webgoat अनुप्रयोग होस्ट किया गया है) के बीच यातायात को बाधित करने के लिए, हमें एक वेब प्रॉक्सी का उपयोग करने की आवश्यकता है। हम बर्प प्रॉक्सी का उपयोग करेंगे जिसे डाउनलोड किया जा सकता हैhttps://portswigger.net/burp/download.html
यह पर्याप्त है यदि आप नीचे दिए गए अनुसार बर्प सूट का मुफ्त संस्करण डाउनलोड करते हैं।
बर्प सूट का विन्यास
बर्प सूट एक वेब प्रॉक्सी है जो ब्राउज़र और वेबसर्वर द्वारा भेजी और प्राप्त की गई जानकारी के प्रत्येक पैकेट को रोक सकता है। इससे ग्राहक को वेब-सर्वर को सूचना भेजने से पहले सामग्री को संशोधित करने में मदद मिलती है।
Step 1- ऐप को पोर्ट 8080 पर स्थापित किया गया है और बर्प को पोर्ट 8181 पर स्थापित किया गया है जैसा कि नीचे दिखाया गया है। बर्प सूट लॉन्च करें और इसे नीचे दिखाए गए अनुसार पोर्ट 8181 में लाने के लिए निम्नलिखित सेटिंग्स करें।
Step 2- हमें यह सुनिश्चित करना चाहिए कि बर्प पोर्ट # 8080 सुन रहा है जहां एप्लिकेशन इंस्टॉल किया गया है ताकि बर्प सूट यातायात को बाधित कर सके। यह सेटिंग्स बर्प सूट के स्कोप टैब पर की जानी चाहिए जैसा कि नीचे दिखाया गया है।
Step 3- फिर पोर्ट 8181 (बर्प सूट पोर्ट) को सुनने के लिए अपनी ब्राउज़र प्रॉक्सी सेटिंग करें। इस प्रकार हमने क्लाइंट (ब्राउज़र) और सर्वर (वेबसर्वर) के बीच ट्रैफ़िक को बाधित करने के लिए वेब प्रॉक्सी कॉन्फ़िगर किया है, जैसा कि नीचे दिखाया गया है -
Step 4 - विन्यास का स्नैपशॉट नीचे दिखाए गए अनुसार एक साधारण वर्कफ़्लो आरेख की मदद से दिखाया गया है
इंजेक्शन तकनीक में अनुप्रयोग के इनपुट क्षेत्रों का उपयोग करके SQL क्वेरी या कमांड को इंजेक्ट किया जाता है।
वेब एप्लिकेशन - इंजेक्शन
एक सफल SQL इंजेक्शन डेटाबेस से संवेदनशील डेटा को पढ़ सकता है, और डेटाबेस से डेटा को हटा भी सकता है। यह हैकर को डेटाबेस पर प्रशासनिक संचालन करने में सक्षम बनाता है जैसे DBMS / ड्रॉपिंग डेटाबेस को बंद करना।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
उदाहरण
एप्लिकेशन निम्न असुरक्षित SQL कॉल के निर्माण में अविश्वसनीय डेटा का उपयोग करता है -
String query = "SELECT * FROM EMP WHERE EMPID = '" + request.getParameter("id") + "'";
व्यावहारिक व क्रियाशील
Step 1 - आवेदन के एसक्यूएल इंजेक्शन क्षेत्र में नेविगेट करें जैसा कि नीचे दिखाया गया है।
Step 2- जैसा कि अभ्यास में दिया गया है, हम प्रमाणीकरण को बायपास करने के लिए स्ट्रिंग SQL इंजेक्शन का उपयोग करते हैं। सही पासवर्ड का उपयोग किए बिना बॉस ('नेविल') के रूप में लॉग इन करने के लिए SQL इंजेक्शन का उपयोग करें। सत्यापित करें कि नेविल का प्रोफ़ाइल देखा जा सकता है और सभी कार्य उपलब्ध हैं (खोज, बनाएँ और हटाएं सहित)।
Step 3 - हम एक एसक्यूएल इंजेक्ट करेंगे जैसे कि हम पैरामीटर को 'ए =' ए 'ए / 1 "के रूप में भेजकर पासवर्ड को बायपास करने में सक्षम हैं।
Step 4 - शोषण के बाद, हम नेविल के रूप में लॉगिन करने में सक्षम हैं जो नीचे दिखाए गए अनुसार व्यवस्थापक है।
SQL इंजेक्शन को रोकना
SQL इंजेक्शन को रोकने के लिए बहुत सारे तरीके हैं। जब डेवलपर्स कोड लिखते हैं, तो उन्हें यह सुनिश्चित करना चाहिए कि वे अपने अनुसार विशेष वर्णों को संभालते हैं। ओडब्ल्यूएएसपी से धोखा पत्र / रोकथाम तकनीक उपलब्ध हैं जो निश्चित रूप से डेवलपर्स के लिए एक मार्गदर्शिका है।
- Parameterized क्वेरीज़ का उपयोग करना
- सभी उपयोगकर्ता पूरक इनपुट से बचना
- अंतिम उपयोगकर्ताओं के लिए डेटाबेस के लिए Least विशेषाधिकार सक्षम करें
जब एप्लिकेशन से संबंधित प्रमाणीकरण कार्य सही तरीके से लागू नहीं होते हैं, तो यह हैकर्स को पासवर्ड या सेशन आईडी से समझौता करने या अन्य कार्यान्वयन क्रेडेंशियल्स का उपयोग करके अन्य कार्यान्वयन खामियों का फायदा उठाने की अनुमति देता है।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
उदाहरण
An e-commerce application supports URL rewriting, putting session IDs in the URL −
http://example.com/sale/saleitems/jsessionid=2P0OC2JSNDLPSKHCJUN2JV/?item=laptop
साइट का एक प्रमाणित उपयोगकर्ता अपने दोस्तों को रियायती बिक्री के बारे में जानने के लिए URL को अग्रेषित करता है। वह उपर्युक्त लिंक को यह जाने बिना ई-मेल करता है कि उपयोगकर्ता सत्र आईडी भी दे रहा है। जब उसके दोस्त लिंक का उपयोग करते हैं, तो वे उसके सत्र और क्रेडिट कार्ड का उपयोग करते हैं।
व्यावहारिक व क्रियाशील
Step 1- Webgoat में लॉगिन करें और 'सत्र प्रबंधन फ़्लेव्स' अनुभाग पर जाएँ। हमें कुकी को ख़राब करके आत्मकथा को दरकिनार करना चाहिए। नीचे परिदृश्य का स्नैपशॉट है।
Step 2 - जब हम क्रेडेंशियल्स webgoat / webgoat का उपयोग करके लॉगिन करते हैं, तो हम Burp Suite से पाते हैं कि JSESSION ID C8F3177CCAFF380441ABF71090748F2E है, जबकि Authentookie = 65432ubphcfx सफल प्रमाणीकरण पर।
Step 3 - जब हम क्रेडेंशियल पहलू / पहलू का उपयोग करते हुए लॉगिन करते हैं, तो हम बर्प सूट से पाते हैं कि JSESSION ID C8F3177CCAFF380441ABF71090748F2E है जबकि AuthCookie - 65432udfqtb सफल प्रमाणीकरण पर।
Step 4- अब हमें AuthCookie पैटर्नों का विश्लेषण करने की आवश्यकता है। दोनों प्रमाणों के लिए पहली छमाही '65432' आम है। इसलिए अब हम ऑर्कुट्यूकी मूल्यों के अंतिम भाग का विश्लेषण करने में रुचि रखते हैं, जैसे - वेबगोैट उपयोगकर्ता के लिए ubphcfx और पहलू उपयोगकर्ता के लिए udfqtb।
Step 5- अगर हम AuthCookie के मूल्यों पर एक गहरी नज़र डालें, तो अंतिम भाग में उपयोगकर्ता नाम के समान लंबाई है। इसलिए यह स्पष्ट है कि उपयोगकर्ता नाम कुछ एन्क्रिप्शन विधि के साथ प्रयोग किया जाता है। परीक्षण और त्रुटियों / जानवर बल तंत्र पर, हम पाते हैं कि उपयोगकर्ता नाम, वेबगोट को उलटने के बाद; हम तोग्बे के साथ समाप्त होते हैं और फिर वर्णमाला वर्ण से पहले जो AuthCookie के रूप में इस्तेमाल किया जा रहा है। यानी ubphcfx।
Step 6- अगर हम इस कुकी मान को पास करते हैं और देखते हैं कि क्या होता है। उपयोगकर्ता webgoat के रूप में प्रमाणित करने पर, उपयोगकर्ता के ऐलिस को नकली मानने के लिए AuthCookie मान को बदलें और चरण # 4 और चरण # 5 का प्रदर्शन करके उसी के लिए AuthCookie खोजें।
तंत्रों को रोकना
एक मजबूत प्रमाणीकरण और सत्र प्रबंधन नियंत्रण विकसित करें जैसे कि यह OWASP के अनुप्रयोग सुरक्षा सत्यापन मानक में परिभाषित सभी प्रमाणीकरण और सत्र प्रबंधन आवश्यकताओं को पूरा करता है।
डेवलपर्स को यह सुनिश्चित करना चाहिए कि वे XSS दोषों से बचें, जिनका उपयोग सत्र आईडी चोरी करने के लिए किया जा सकता है।
क्रॉस-साइट स्क्रिप्टिंग (XSS) तब होती है जब कोई एप्लिकेशन अविश्वसनीय डेटा लेता है और क्लाइंट (ब्राउज़र) को सत्यापन के बिना भेजता है। यह हमलावरों को पीड़ित के ब्राउज़र में दुर्भावनापूर्ण लिपियों को निष्पादित करने की अनुमति देता है जिसके परिणामस्वरूप उपयोगकर्ता सत्र अपहरण हो सकते हैं, वेब साइटों को हटा सकते हैं या उपयोगकर्ता को दुर्भावनापूर्ण साइटों पर पुनर्निर्देशित कर सकते हैं।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
XSS के प्रकार
Stored XSS - संग्रहीत XSS को लगातार XSS के रूप में भी जाना जाता है जब उपयोगकर्ता इनपुट को डेटाबेस / संदेश मंच / टिप्पणी क्षेत्र आदि जैसे लक्ष्य सर्वर पर संग्रहीत किया जाता है, तब पीड़ित वेब एप्लिकेशन से संग्रहीत डेटा को पुनः प्राप्त करने में सक्षम होता है।
Reflected XSS - प्रतिबिंबित XSS को गैर-निरंतर XSS के रूप में भी जाना जाता है जब उपयोगकर्ता इनपुट को त्रुटि संदेश / खोज परिणाम या अनुरोध के भाग के रूप में उपयोगकर्ता द्वारा प्रदान किए गए इनपुट और स्थायी रूप से उपयोगकर्ता द्वारा प्रदान किए गए डेटा को संग्रहीत किए बिना इनपुट द्वारा तुरंत वापस कर दिया जाता है।
DOM Based XSS - DOM बेस्ड XSS, XSS का एक रूप है जब डेटा का स्रोत DOM में होता है, सिंक DOM में भी होता है, और डेटा फ्लो कभी भी ब्राउजर को नहीं छोड़ता है।
उदाहरण
आवेदन सत्यापन के बिना निर्माण में अविश्वसनीय डेटा का उपयोग करता है। विशेष पात्रों को बच जाना चाहिए।
http://www.webpage.org/task/Rule1?query=try
हमलावर अपने ब्राउज़र में क्वेरी पैरामीटर को संशोधित करता है -
http://www.webpage.org/task/Rule1?query=<h3>Hello from XSS"</h3>
व्यावहारिक व क्रियाशील
Step 1- Webgoat में लॉगिन करें और क्रॉस-साइट स्क्रिप्टिंग (XSS) अनुभाग पर नेविगेट करें। आइए हम एक संग्रहित क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले को अंजाम दें। नीचे परिदृश्य का स्नैपशॉट है।
Step 2- परिदृश्य के अनुसार, आइए टॉम को पासवर्ड 'टॉम' के रूप में लॉगिन करें जैसा कि परिदृश्य में ही उल्लेख किया गया है। 'प्रोफ़ाइल देखें' पर क्लिक करें और संपादन मोड में पहुँचें। चूँकि टॉम हमलावर है, इसलिए हम जावा स्क्रिप्ट को उन एडिट बॉक्स में इंजेक्ट करें।
<script>
alert("HACKED")
</script>
Step 3 - अपडेट खत्म होते ही, टॉम को "हैक किया गया" संदेश के साथ एक अलर्ट बॉक्स प्राप्त होता है, जिसका अर्थ है कि ऐप कमजोर है।
Step 4 - अब परिदृश्य के अनुसार, हमें जेरी (एचआर) के रूप में लॉगिन करने और यह जांचने की आवश्यकता है कि क्या जेरी इंजेक्टेड स्क्रिप्ट से प्रभावित है या नहीं।
Step 5 - जेरी के रूप में लॉग इन करने के बाद, 'टॉम' चुनें और नीचे दिखाए गए अनुसार 'प्रोफ़ाइल देखें' पर क्लिक करें।
जेरी के खाते से टॉम की प्रोफ़ाइल को देखने के दौरान, वह एक ही संदेश बॉक्स प्राप्त करने में सक्षम है।
Step 6 - यह संदेश बॉक्स केवल एक उदाहरण है, लेकिन वास्तविक हमलावर केवल संदेश बॉक्स प्रदर्शित करने की तुलना में बहुत अधिक प्रदर्शन कर सकता है।
निवारक तंत्र
डेवलपर्स को यह सुनिश्चित करना होगा कि वे HTML संदर्भ के आधार पर सभी अविश्वसनीय डेटा से बच जाएं, जैसे कि शरीर, विशेषता, जावास्क्रिप्ट, सीएसएस, या URL जिसे डेटा में रखा गया है।
उन अनुप्रयोगों के लिए जिन्हें इनपुट के रूप में विशेष वर्णों की आवश्यकता होती है, उन्हें मान्य इनपुट के रूप में स्वीकार करने से पहले मजबूत सत्यापन तंत्र होना चाहिए।
एक प्रत्यक्ष वस्तु संदर्भ तब होता है जब कोई डेवलपर किसी आंतरिक सत्यापन वस्तु के संदर्भ को उजागर करता है, जैसे कि कोई फ़ाइल, निर्देशिका या डेटाबेस कुंजी बिना किसी मान्यता तंत्र के जो कि हमलावरों को अनाधिकृत डेटा तक पहुंचने के लिए इन संदर्भों में हेरफेर करने की अनुमति देता है।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
उदाहरण
ऐप एक SQL कॉल में असत्यापित डेटा का उपयोग करता है जो खाता जानकारी तक पहुंच रहा है।
String sqlquery = "SELECT * FROM useraccounts WHERE account = ?";
PreparedStatement st = connection.prepareStatement(sqlquery, ??);
st.setString( 1, request.getParameter("acct"));
ResultSet results = st.executeQuery( );
व्यवस्थापक को इंगित करने के लिए हमलावर उनके ब्राउज़र में क्वेरी पैरामीटर को संशोधित करता है।
http://webapp.com/app/accountInfo?acct=admin
व्यावहारिक व क्रियाशील
Step 1- Webgoat में लॉगिन करें और नियंत्रण खामियों को दूर करने के लिए नेविगेट करें। लक्ष्य जहां यह स्थित है उस मार्ग पर नेविगेट करके tomcat-users.xml को पुनः प्राप्त करना है। नीचे परिदृश्य का स्नैपशॉट है।
Step 2 - फ़ाइल का पथ 'वर्तमान निर्देशिका' फ़ील्ड में प्रदर्शित होता है - C: \ Users \ userName $ \ "extract \ webapps \ WebGoat \ lesson_plans \ en और हम यह भी जानते हैं कि tomcat-users.xml फ़ाइल को नीचे रखा गया है। C: \ XAMPP \ बिल्ला \ conf
Step 3- हमें वर्तमान निर्देशिका से बाहर निकलने और C: \ Drive से नेविगेट करने की आवश्यकता है। हम Burp Suite का उपयोग करके ट्रैफ़िक को रोककर समान प्रदर्शन कर सकते हैं।
Step 4 - यदि प्रयास सफल होता है, तो यह "बधाई" संदेश के साथ tomcat-users.xml प्रदर्शित करता है। आपने इस पाठ को पूरा कर लिया है।
निवारक तंत्र
विकास के चरण के दौरान असुरक्षित प्रत्यक्ष वस्तु संदर्भ को रोकने के लिए डेवलपर्स एक गाइड के रूप में निम्नलिखित संसाधनों / बिंदुओं का उपयोग कर सकते हैं।
अप्रत्यक्ष वस्तु संदर्भों के लिए डेवलपर्स को केवल एक उपयोगकर्ता या सत्र का उपयोग करना चाहिए।
यह भी एक अविश्वसनीय स्रोत से प्रत्यक्ष वस्तु संदर्भ का उपयोग करने से पहले पहुँच की जाँच करने के लिए सिफारिश की है।
सुरक्षा मिसकॉन्फ़िगरेशन तब उत्पन्न होती है जब सुरक्षा सेटिंग्स को परिभाषित, कार्यान्वित और चूक के रूप में बनाए रखा जाता है। अच्छी सुरक्षा के लिए एप्लिकेशन, वेब सर्वर, डेटाबेस सर्वर और प्लेटफॉर्म के लिए परिभाषित एक सुरक्षित कॉन्फ़िगरेशन की आवश्यकता होती है। सॉफ्टवेयर का आज तक होना भी उतना ही जरूरी है।
उदाहरण
सुरक्षा मिसकॉन्फ़िगरेशन के कुछ क्लासिक उदाहरण दिए गए हैं -
यदि निर्देशिका सूची सर्वर पर अक्षम नहीं है और यदि हमलावर समान है तो हमलावर किसी भी फ़ाइल को खोजने और उसे निष्पादित करने के लिए निर्देशिकाओं को सूचीबद्ध कर सकता है। वास्तविक कोड आधार प्राप्त करना भी संभव है जिसमें आपके सभी कस्टम कोड शामिल हैं और फिर आवेदन में एक गंभीर खामियां खोजने के लिए।
ऐप सर्वर कॉन्फ़िगरेशन स्टैक निशान को उपयोगकर्ताओं को वापस करने की अनुमति देता है, संभवतः अंतर्निहित खामियों को उजागर करता है। हमलावर उन अतिरिक्त सूचनाओं को हड़प लेते हैं जो त्रुटि संदेश प्रदान करती हैं जो उन्हें भेदने के लिए पर्याप्त हैं।
ऐप सर्वर आमतौर पर सैंपल ऐप के साथ आते हैं जो अच्छी तरह से सुरक्षित नहीं होते हैं। यदि उत्पादन सर्वर से नहीं हटाया गया तो आपके सर्वर से समझौता हो जाएगा।
व्यावहारिक व क्रियाशील
Step 1- Webgoat लॉन्च करें और असुरक्षित कॉन्फ़िगरेशन अनुभाग पर जाएं और हमें उस चुनौती को हल करने का प्रयास करें। उसी का स्नैपशॉट नीचे दिया गया है -
Step 2- हम जितने विकल्प सोच सकते हैं उतने विकल्प आजमा सकते हैं। हम सभी को कॉन्फिगर फाइल का URL ढूंढना होगा और हम जानते हैं कि डिवेलपर फाइल्स फाइल्स के लिए तरह-तरह के नेमिंग कन्वेंशन का पालन करते हैं। यह नीचे सूचीबद्ध कुछ भी हो सकता है। यह आमतौर पर BRUTE बल तकनीक द्वारा किया जाता है।
- web.config
- config
- appname.config
- conf
Step 3 - विभिन्न विकल्पों की कोशिश करने पर, हम पाते हैं कि 'http://localhost:8080/WebGoat/conf' सफल है। यदि प्रयास सफल होता है तो निम्न पृष्ठ प्रदर्शित होता है -
निवारक तंत्र
सभी वातावरण जैसे विकास, क्यूए और उत्पादन वातावरण को प्रत्येक वातावरण में उपयोग किए जाने वाले विभिन्न पासवर्डों का उपयोग करके आसानी से हैक नहीं किया जा सकता है।
सुनिश्चित करें कि एक मजबूत अनुप्रयोग वास्तुकला को अपनाया जा रहा है जो घटकों के बीच प्रभावी, सुरक्षित अलगाव प्रदान करता है।
यह स्वचालित स्कैन चलाकर और समय-समय पर ऑडिट करके इस हमले की संभावना को कम कर सकता है।
जैसे कि ऑनलाइन एप्लिकेशन दिन-ब-दिन इंटरनेट को भरते रहते हैं, सभी एप्लिकेशन सुरक्षित नहीं होते हैं। कई वेब एप्लिकेशन संवेदनशील उपयोगकर्ता डेटा जैसे क्रेडिट कार्ड की जानकारी / बैंक खाता जानकारी / प्रमाणीकरण क्रेडेंशियल्स को ठीक से संरक्षित नहीं करते हैं। हैकर्स क्रेडिट कार्ड धोखाधड़ी, पहचान की चोरी, या अन्य अपराधों का संचालन करने के लिए उन कमजोर संरक्षित डेटा को चोरी कर सकते हैं।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
उदाहरण
सुरक्षा मिसकॉन्फ़िगरेशन के कुछ क्लासिक उदाहरण दिए गए हैं -
एक साइट बस सभी प्रमाणित पृष्ठों के लिए एसएसएल का उपयोग नहीं करती है। यह एक हमलावर को नेटवर्क ट्रैफिक की निगरानी करने और उपयोगकर्ता सत्र को हाईजैक करने के लिए, उपयोगकर्ता सत्र को हाईजैक करने या उनके निजी डेटा तक पहुंचने में सक्षम बनाता है।
एक आवेदन एक डेटाबेस में एक एन्क्रिप्टेड प्रारूप में क्रेडिट कार्ड नंबर संग्रहीत करता है। पुनर्प्राप्ति पर उन्हें डिक्रिप्ट किया गया हैकर एक स्पष्ट पाठ में सभी संवेदनशील जानकारी को पुनः प्राप्त करने के लिए एसक्यूएल इंजेक्शन हमले करने की अनुमति देता है। सार्वजनिक कुंजी का उपयोग करके क्रेडिट कार्ड नंबर एन्क्रिप्ट करने से इसे रोका जा सकता है और बैक-एंड एप्लिकेशन को उन्हें निजी कुंजी के साथ डिक्रिप्ट करने की अनुमति दी जाती है।
व्यावहारिक व क्रियाशील
Step 1- WebGoat लॉन्च करें और "असुरक्षित संग्रहण" अनुभाग पर जाएं। उसी का स्नैपशॉट नीचे प्रदर्शित किया गया है।
Step 2- यूजरनेम और पासवर्ड डालें। यह विभिन्न प्रकार के एन्कोडिंग और एन्क्रिप्शन तरीकों को सीखने का समय है, जिनके बारे में हमने पहले चर्चा की थी।
निवारक तंत्र
यह सलाह दी जाती है कि संवेदनशील डेटा को अनावश्यक रूप से संग्रहीत न करें और यदि आवश्यक नहीं है, तो इसे जल्द से जल्द स्क्रैप किया जाना चाहिए।
यह सुनिश्चित करना महत्वपूर्ण है कि हम मजबूत और मानक एन्क्रिप्शन एल्गोरिदम का उपयोग करें और उचित कुंजी प्रबंधन जगह में है।
यह उन रूपों पर स्वत: पूर्ण को अक्षम करने से भी बचा जा सकता है जो संवेदनशील डेटा इकट्ठा करते हैं जैसे पासवर्ड और संवेदनशील डेटा वाले पृष्ठों के लिए कैशिंग अक्षम करें।
अधिकांश वेब एप्लिकेशन उपयोगकर्ता के लिए उस कार्यक्षमता को सुलभ बनाने से पहले फ़ंक्शन स्तर पहुंच अधिकारों को सत्यापित करते हैं। हालाँकि, यदि समान एक्सेस कंट्रोल चेक सर्वर पर नहीं किए जाते हैं, तो हैकर्स उचित प्राधिकरण के बिना एप्लिकेशन में घुसने में सक्षम हैं।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
उदाहरण
यहाँ गुम समारोह स्तर अभिगम नियंत्रण का एक उत्कृष्ट उदाहरण है -
हैकर बस यूआरएल को लक्षित करता है। आमतौर पर व्यवस्थापक एक्सेस को प्रमाणीकरण की आवश्यकता होती है, हालांकि, यदि एप्लिकेशन एक्सेस सत्यापित नहीं है, तो कोई अनहोनी उपयोगकर्ता व्यवस्थापक पृष्ठ तक पहुंच सकता है।
' Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage
' A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page
व्यावहारिक व क्रियाशील
Step 1 - पहले उपयोगकर्ताओं की सूची और उनके उपयोग विशेषाधिकार के माध्यम से जाकर खाता प्रबंधक के रूप में लॉगिन करें।
Step 2 - विभिन्न संयोजनों की कोशिश करने पर हम यह पता लगा सकते हैं कि लैरी के पास संसाधन खाता प्रबंधक तक पहुंच है।
निवारक तंत्र
प्रमाणीकरण तंत्र को डिफ़ॉल्ट रूप से सभी पहुंच से इनकार करना चाहिए, और प्रत्येक फ़ंक्शन के लिए विशिष्ट भूमिकाओं तक पहुंच प्रदान करना चाहिए।
वर्कफ़्लो आधारित अनुप्रयोग में, किसी भी संसाधन तक पहुँचने की अनुमति देने से पहले उपयोगकर्ताओं की स्थिति सत्यापित करें।
CSRF हमला एक प्रमाणित उपयोगकर्ता (पीड़ित) को एक जाली HTTP अनुरोध भेजने के लिए मजबूर करता है, जिसमें एक कमजोर वेब अनुप्रयोग के लिए पीड़ित का सत्र कुकी भी शामिल है, जो हमलावर को पीड़ित के ब्राउज़र को अनुरोध उत्पन्न करने के लिए मजबूर करने की अनुमति देता है, जैसे कि कमजोर ऐप वैध अनुरोधों के रूप में मानता है। पीड़ित।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
उदाहरण
यहाँ CSRF का एक उत्कृष्ट उदाहरण है -
Step 1 - बता दें, कमजोर एप्लिकेशन किसी भी एन्क्रिप्शन के बिना एक सादे पाठ के रूप में एक राज्य बदलने का अनुरोध भेजता है।
http://bankx.com/app?action=transferFund&amount=3500&destinationAccount=4673243243
Step 2 - अब हैकर एक अनुरोध का निर्माण करता है जो पीड़ित के खाते से हमलावर के खाते में पैसे ट्रांसफर करता है, जो उस छवि में अनुरोध को एम्बेड करता है जो हमलावर के नियंत्रण में है -
<img src = "http://bankx.com/app?action=transferFunds&amount=14000&destinationAccount=attackersAcct#"
width = "0" height = "0" />
व्यावहारिक व क्रियाशील
Step 1- एक छवि में एक जावा स्क्रिप्ट एम्बेड करके एक CSRF जालसाजी करते हैं। समस्या का स्नैपशॉट नीचे सूचीबद्ध है।
Step 2 - अब हमें 1x1 इमेज में ट्रांसफर को मॉक करने और पीड़ित को उसी पर क्लिक करने की जरूरत है।
Step 3 - संदेश सबमिट करने पर, संदेश को नीचे हाइलाइट किया गया है।
Step 4- अब यदि पीड़ित निम्नलिखित URL पर क्लिक करता है, तो स्थानांतरण निष्पादित किया जाता है, जिसे burp सुइट का उपयोग करके उपयोगकर्ता कार्रवाई को बाधित करते हुए पाया जा सकता है। हम नीचे दिखाए गए संदेश के अनुसार इसे स्थानान्तरण करके देख सकते हैं -
Step 5 - अब ताज़ा पर क्लिक करने पर, पाठ पूरा होने का निशान दिखाया गया है।
निवारक तंत्र
CSRF को एक छिपे हुए फ़ील्ड में एक अद्वितीय टोकन बनाकर टाला जा सकता है, जिसे एक URL के बजाय HTTP अनुरोध के शरीर में भेजा जाएगा, जिसके संपर्क में आने का खतरा अधिक है।
CSRF की सुरक्षा के लिए उपयोगकर्ता को फिर से प्रमाणित करने या यह साबित करने के लिए मजबूर करना कि वे उपयोगकर्ता हैं। उदाहरण के लिए, कैप्चा।
इस तरह का खतरा तब होता है जब एप्लिकेशन के भीतर उपयोग किए जाने वाले लाइब्रेरी और फ्रेमवर्क जैसे घटक लगभग हमेशा पूर्ण विशेषाधिकार के साथ निष्पादित होते हैं। यदि एक असुरक्षित घटक का शोषण किया जाता है, तो यह हैकर के काम को गंभीर डेटा हानि या सर्वर टेकओवर करने में आसान बनाता है।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
उदाहरण
निम्नलिखित उदाहरण ज्ञात कमजोरियों वाले घटकों का उपयोग कर रहे हैं -
हमलावर किसी भी वेब सेवा को पूर्ण पहचान के साथ एक पहचान टोकन प्रदान करने में विफल होने पर आह्वान कर सकते हैं।
एक्सप्रेशन भाषा इंजेक्शन भेद्यता के साथ रिमोट-कोड निष्पादन जावा आधारित ऐप्स के लिए स्प्रिंग फ्रेमवर्क के माध्यम से पेश किया गया है।
निवारक तंत्र
सभी घटकों और उन संस्करणों को पहचानें जो वेबपेजों में उपयोग किए जा रहे हैं न कि केवल डेटाबेस / फ्रेमवर्क तक सीमित।
सभी घटकों जैसे सार्वजनिक डेटाबेस, प्रोजेक्ट मेलिंग सूची आदि को अद्यतित रखें।
घटकों के आसपास सुरक्षा आवरण जोड़ें जो प्रकृति में कमजोर हैं।
इंटरनेट पर अधिकांश वेब एप्लिकेशन अक्सर उपयोगकर्ताओं को अन्य पृष्ठों या अन्य बाहरी वेबसाइटों पर पुनर्निर्देशित करते हैं। हालांकि, उन पृष्ठों की विश्वसनीयता को सत्यापित किए बिना, हैकर्स पीड़ितों को फ़िशिंग या मैलवेयर साइटों पर पुनर्निर्देशित कर सकते हैं, या अनधिकृत पृष्ठों तक पहुंचने के लिए आगे का उपयोग कर सकते हैं।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
उदाहरण
Unvalidated Redirects और Forwards के कुछ क्लासिक उदाहरण निम्नानुसार हैं -
बता दें कि एप्लिकेशन में एक पेज है - redirect.jsp, जो एक पैरामीटर को रीडायरेक्ट करता है । हैकर एक दुर्भावनापूर्ण URL जोड़ता है जो उन उपयोगकर्ताओं को पुनर्निर्देशित करता है जो फ़िशिंग करते हैं / मैलवेयर इंस्टॉल करते हैं।
http://www.mywebapp.com/redirect.jsp?redirectrul=hacker.com
सभी वेब एप्लिकेशन साइट के विभिन्न हिस्सों में उपयोगकर्ताओं को अग्रेषित करने के लिए उपयोग किए जाते हैं। उसी को प्राप्त करने के लिए, कुछ पृष्ठ यह इंगित करने के लिए एक पैरामीटर का उपयोग करते हैं कि उपयोगकर्ता को पुनर्निर्देशित किया जाना चाहिए यदि कोई ऑपरेशन सफल होता है। हमलावर ने एक URL तैयार किया है जो एप्लिकेशन के एक्सेस कंट्रोल चेक को पास करता है और फिर हमलावर को प्रशासनिक कार्यक्षमता के लिए अग्रेषित करता है जिसके लिए हमलावर को एक्सेस नहीं मिला है।
http://www.mywebapp.com/checkstatus.jsp?fwd=appadmin.jsp
निवारक तंत्र
रीडायरेक्ट और फॉरवर्ड के उपयोग से बचना बेहतर है।
यदि यह अपरिहार्य है, तो इसे गंतव्य को पुनर्निर्देशित करने में उपयोगकर्ता मापदंडों को शामिल किए बिना किया जाना चाहिए।
अतुल्यकालिक जावास्क्रिप्ट और एक्सएमएल (AJAX) नवीनतम तकनीकों में से एक है जो एक समृद्ध समृद्ध अनुभव देने के लिए वेब एप्लिकेशन इनवर्टर को विकसित करने के लिए उपयोग किया जाता है। चूंकि यह एक नई तकनीक है, ऐसे कई सुरक्षा मुद्दे हैं जिन्हें अभी स्थापित किया जाना बाकी है और नीचे AJAX में कुछ सुरक्षा मुद्दे हैं।
हमले की सतह अधिक है क्योंकि सुरक्षित होने के लिए अधिक इनपुट हैं।
यह अनुप्रयोगों के आंतरिक कार्यों को भी उजागर करता है।
प्रमाणीकरण सूचना और सत्र की सुरक्षा में विफलता।
क्लाइंट-साइड और सर्वर-साइड के बीच एक बहुत ही संकीर्ण रेखा है, इसलिए सुरक्षा गलतियों को करने की संभावनाएं हैं।
उदाहरण
यहाँ AJAX सुरक्षा के लिए एक उदाहरण है -
2006 में, एक कृमि संक्रमित याहू मेल सेवा जो XSS और AJAX का उपयोग करती थी, जो याहू मेल के ऑनलोड लोड हैंडलिंग में भेद्यता का लाभ उठाती थी। जब एक संक्रमित ईमेल खोला गया, तो कृमि ने अपने जावास्क्रिप्ट को निष्पादित किया, जो संक्रमित उपयोगकर्ता के सभी याहू संपर्कों को एक प्रतिलिपि भेज रहा था।
व्यावहारिक व क्रियाशील
Step 1- हमें XML इंजेक्शन का उपयोग करके अपने अनुमत सेट के लिए अधिक पुरस्कार जोड़ने की कोशिश करने की आवश्यकता है। नीचे परिदृश्य का स्नैपशॉट है।
Step 2- सुनिश्चित करें कि हम बर्प सूट का उपयोग करके अनुरोध और प्रतिक्रिया दोनों को रोकते हैं। उसी की सेटिंग्स जैसा कि नीचे दिखाया गया है।
Step 3- परिदृश्य में दिए गए अनुसार खाता संख्या दर्ज करें। हम उन सभी पुरस्कारों की सूची प्राप्त करने में सक्षम होंगे जिनके लिए हम पात्र हैं। हम 5 में से 3 पुरस्कारों के लिए पात्र हैं।
Step 4- अब 'Submit' पर क्लिक करें और देखें कि हमें रिस्पॉन्स XML में क्या मिलता है। जैसा कि हम पात्र हैं तीन पुरस्कारों के नीचे दिखाया गया है कि हमें XML के रूप में पारित किया गया है।
Step 5 - अब हम उन XML को संपादित करते हैं और अन्य दो पुरस्कार भी जोड़ते हैं।
Step 6- अब सभी पुरस्कारों का चयन करने के लिए उपयोगकर्ता को प्रदर्शित किया जाएगा। हमने जो जोड़ा है उसे चुनें और 'सबमिट' पर क्लिक करें।
Step 7 - निम्नलिखित संदेश यह कहते हुए दिखाई देता है, "* बधाई। आपने इस पाठ को सफलतापूर्वक पूरा कर लिया है।"
निवारक तंत्र
ग्राहक पक्ष -
- .InnerHtml के बजाय .innerText का उपयोग करें।
- Eval का उपयोग न करें।
- सुरक्षा के लिए ग्राहक के तर्क पर भरोसा न करें।
- सीरियल कोड लिखने से बचें।
- XML को गतिशील बनाने से बचें।
- ग्राहक को कभी भी रहस्य न भेजें।
- क्लाइंट साइड कोड में एन्क्रिप्शन न करें।
- ग्राहक पक्ष पर सुरक्षा प्रभावकारी तर्क न दें।
सर्वर साइड -
- CSRF सुरक्षा का उपयोग करें।
- सीरियल कोड लिखने से बचें।
- उपयोगकर्ताओं द्वारा सीधे सेवाओं को कॉल किया जा सकता है।
- XML को हाथ से बनाने से बचें, फ्रेमवर्क का उपयोग करें।
- हाथ से JSON के निर्माण से बचें, एक मौजूदा ढांचे का उपयोग करें।
आधुनिक वेब-आधारित अनुप्रयोगों में, वेब सेवाओं का उपयोग अपरिहार्य है और वे हमलों के लिए भी प्रवण हैं। चूंकि वेब सेवा कई वेबसाइटों से लाने का अनुरोध करती है, इसलिए हैकर्स द्वारा किसी भी तरह के प्रवेश से बचने के लिए डेवलपर्स को कुछ अतिरिक्त उपाय करने पड़ते हैं।
व्यावहारिक व क्रियाशील
Step 1- वेबगोट के वेब सेवा क्षेत्र पर नेविगेट करें और डब्ल्यूएसडीएल स्कैनिंग पर जाएं। अब हमें कुछ अन्य खाता संख्या का क्रेडिट कार्ड विवरण प्राप्त करना होगा। परिदृश्य का स्नैपशॉट नीचे उल्लिखित है।
Step 2 - यदि हम पहले नाम का चयन करते हैं, तो 'getFirstName' फ़ंक्शन कॉल SOAP अनुरोध xml के माध्यम से किया जाता है।
Step 3- डब्लूएसडीएल को खोलकर, हम देख सकते हैं कि क्रेडिट कार्ड की जानकारी प्राप्त करने के लिए एक विधि है और साथ ही 'getCreditCub'। अब हम नीचे दिखाए गए अनुसार बर्प सूट का उपयोग करते हुए इनपुट से छेड़छाड़ करते हैं -
Step 4 - अब नीचे दिए गए अनुसार बर्प सूट का उपयोग करते हुए इनपुट्स को संशोधित करते हैं -
Step 5 - हम अन्य उपयोगकर्ताओं के क्रेडिट कार्ड की जानकारी प्राप्त कर सकते हैं।
निवारक तंत्र
चूंकि SOAP संदेश XML- आधारित होते हैं, इसलिए सभी उत्तीर्ण क्रेडेंशियल को टेक्स्ट फॉर्मेट में बदलना होगा। इसलिए संवेदनशील जानकारी को पारित करने में बहुत सावधानी बरतनी पड़ती है जिसे हमेशा एन्क्रिप्ट करना पड़ता है।
पैकेट की अखंडता को सुनिश्चित करने के लिए लागू चेकसम जैसे तंत्रों को लागू करके संदेश अखंडता की रक्षा करना।
संदेश की गोपनीयता की रक्षा - सममित सत्र कुंजियों की सुरक्षा के लिए असममित एन्क्रिप्शन लागू किया जाता है, जो कई कार्यान्वयन में केवल एक संचार के लिए मान्य होते हैं और बाद में छोड़ दिए जाते हैं।
एक बफर ओवरफ्लो तब उत्पन्न होता है जब कोई प्रोग्राम एक अस्थायी डेटा स्टोरेज एरिया (बफर) में अधिक डेटा स्टोर करने की कोशिश करता है, जितना कि इसे रखने का इरादा था। चूंकि बफ़र्स को डेटा की एक सीमित मात्रा में बनाने के लिए बनाया गया है, अतिरिक्त जानकारी आसन्न बफ़र्स में ओवरफ्लो कर सकती है, इस प्रकार उनमें मौजूद वैध डेटा को दूषित कर सकती है।
उदाहरण
यहाँ बफर अतिप्रवाह का एक उत्कृष्ट उदाहरण है। यह एक साधारण बफर अतिप्रवाह को प्रदर्शित करता है जो पहले परिदृश्य के कारण होता है जिसमें बाहरी डेटा पर निर्भर करता है ताकि उसके व्यवहार को नियंत्रित किया जा सके। उपयोगकर्ता द्वारा दर्ज किए गए डेटा की मात्रा को सीमित करने का कोई तरीका नहीं है और प्रोग्राम का व्यवहार इस बात पर निर्भर करता है कि उपयोगकर्ता ने कितने पात्रों को अंदर डाला है।
...
char bufr[BUFSIZE];
gets(bufr);
...
व्यावहारिक व क्रियाशील
Step 1- इंटरनेट एक्सेस पाने के लिए हमें नाम और कमरे के नंबर के साथ लॉगिन करना होगा। यहाँ परिदृश्य स्नैपशॉट है।
Step 2 - हम नीचे दिखाए गए अनुसार बर्प स्वीट में "अनहाइड हिडन फॉर्म फील्ड्स" भी सक्षम करेंगे -
Step 3- अब हम नाम और कमरा नंबर क्षेत्र में एक इनपुट भेजते हैं। हम कोशिश भी करते हैं और रूम नंबर फ़ील्ड में एक बहुत बड़ी संख्या इंजेक्ट करते हैं।
Step 4- छिपे हुए फ़ील्ड नीचे दिखाए गए अनुसार दिखाए गए हैं। हम शर्तें स्वीकार करते हैं।
Step 5 - हमला इस तरह सफल है कि बफर ओवरफ्लो के परिणामस्वरूप, यह आसन्न मेमोरी स्थानों को पढ़ना शुरू कर दिया और उपयोगकर्ता को नीचे दिखाया गया है।
Step 6- अब हमें प्रदर्शित डेटा का उपयोग करके लॉगिन करें। लॉग करने के बाद, निम्न संदेश प्रदर्शित होता है -
निवारक तंत्र
- कोड की समीक्षा
- डेवलपर प्रशिक्षण
- संकलक उपकरण
- सुरक्षित कार्यों का विकास करना
- समय-समय पर स्कैनिंग
डेनियल ऑफ सर्विस (DoS) हमला हैकर्स द्वारा नेटवर्क संसाधन को अनुपलब्ध बनाने का एक प्रयास है। यह आमतौर पर मेजबान को अस्थायी या अनिश्चित काल तक बाधित करता है, जो इंटरनेट से जुड़ा होता है। ये हमले आम तौर पर मिशन महत्वपूर्ण वेब सर्वर जैसे कि बैंक, क्रेडिट कार्ड भुगतान गेटवे पर होस्ट की गई सेवाओं को लक्षित करते हैं।
DoS के लक्षण
- असामान्य रूप से धीमा नेटवर्क प्रदर्शन।
- किसी विशेष वेब साइट की अनुपलब्धता।
- किसी भी वेब साइट तक पहुँचने में असमर्थता।
- प्राप्त स्पैम ईमेलों की संख्या में नाटकीय वृद्धि।
- वेब या किसी भी इंटरनेट सेवाओं तक पहुंच का दीर्घकालिक खंडन।
- किसी विशेष वेबसाइट की अनुपलब्धता।
व्यावहारिक व क्रियाशील
Step 1- WebGoat लॉन्च करें और 'सेवा की अस्वीकृति' अनुभाग पर जाएँ। परिदृश्य का स्नैपशॉट नीचे दिया गया है। हमें अधिकतम DB थ्रेड पूल आकार को तोड़कर कई बार वहां लॉगिन करना होगा।
Step 2- पहले हमें वैध लॉगिन की सूची प्राप्त करने की आवश्यकता है। हम इस मामले में SQL इंजेक्शन का उपयोग करते हैं।
Step 3 - यदि प्रयास सफल है, तो यह उपयोगकर्ता के लिए सभी वैध क्रेडेंशियल्स प्रदर्शित करता है।
Step 4- अब DoS हमले को सफल बनाने के लिए कम से कम 3 अलग-अलग सत्रों में इनमें से प्रत्येक उपयोगकर्ता के साथ लॉगिन करें। जैसा कि हम जानते हैं कि DB कनेक्शन केवल दो थ्रेड्स को संभाल सकता है, सभी लॉगिन का उपयोग करके यह तीन थ्रेड बनाएगा जो हमले को सफल बनाता है।
निवारक तंत्र
पूरी तरह से इनपुट सत्यापन करें।
अत्यधिक सीपीयू खपत वाले कार्यों से बचें।
सिस्टम डिस्क से डेटा डिस्क को अलग करना बेहतर है।
डेवलपर्स अक्सर सीधे फ़ाइल के साथ संभावित रूप से असुरक्षित इनपुट का उपयोग या संक्षिप्त करते हैं या मानते हैं कि इनपुट फाइलें वास्तविक हैं। जब डेटा को ठीक से जाँच नहीं किया जाता है, तो इससे वेब सर्वर द्वारा संसाधित या मंगाई जा सकने वाली असुरक्षित सामग्री हो सकती है।
उदाहरण
क्लासिक उदाहरणों में से कुछ में शामिल हैं -
- वेब ट्री में .jsp फ़ाइल अपलोड करें।
- अपलोड .gif का आकार बदला जाना है।
- विशाल फाइलें अपलोड करें।
- टैग युक्त फ़ाइल अपलोड करें।
- वेब पेड़ में .exe फ़ाइल अपलोड करें।
व्यावहारिक व क्रियाशील
Step 1- WebGoat लॉन्च करें और दुर्भावनापूर्ण फ़ाइल निष्पादन अनुभाग पर जाएँ। परिदृश्य का स्नैपशॉट नीचे दिया गया है -
Step 2 - इस पाठ को पूरा करने के लिए, हमें ऊपर दिए गए स्थान पर guest.txt अपलोड करना होगा।
Step 3- हमें एक jsp फाइल बनाते हैं जैसे कि jsp को निष्पादित करने पर Guest.txt फाइल बनाई जाती है। Jsp के नामकरण की इस संदर्भ में कोई भूमिका नहीं है क्योंकि हम jsp फ़ाइल की सामग्री को निष्पादित कर रहे हैं।
<HTML>
<% java.io.File file = new
java.io.File("C:\\Users\\username$\\.extract\\webapps\\WebGoat\\mfe_target\\guest.txt");
file.createNewFile(); %>
</HTML>
Step 4- अब jsp फाइल अपलोड करें और अपलोड होने के बाद उसी के लिंक लोकेशन को कॉपी करें। अपलोड एक छवि की उम्मीद कर रहा है, लेकिन हम एक jsp अपलोड कर रहे हैं।
Step 5 - jsp फ़ाइल में नेविगेट करने से, उपयोगकर्ता को कोई संदेश नहीं मिलेगा।
Step 6 - अब उस सत्र को रीफ्रेश करें जहां आपने jsp फाइल अपलोड की है और आपको यह संदेश मिलेगा कि "* बधाई। आपने सफलतापूर्वक पाठ पूरा कर लिया है"।
निवारक तंत्र
- वेबसाइट अनुमतियों का उपयोग करके सुरक्षित वेबसाइट।
- वेब एप्लिकेशन सुरक्षा के लिए काउंटरमेशर्स अपनाएं।
- IIS 7.0 में अंतर्निहित उपयोगकर्ता और समूह खातों को समझें।
किसी एप्लिकेशन के सुरक्षा परीक्षण करने के लिए विभिन्न उपकरण उपलब्ध हैं। कुछ उपकरण हैं जो एंड-टू-एंड सुरक्षा परीक्षण कर सकते हैं, जबकि कुछ सिस्टम में एक विशेष प्रकार की खामी के लिए समर्पित हैं।
ओपन सोर्स टूल्स
कुछ खुले स्रोत सुरक्षा परीक्षण उपकरण दिए गए हैं -
क्र.सं. | उपकरण का नाम |
---|---|
1 | Zed Attack Proxy सुरक्षा खामियों को दूर करने के लिए स्वचालित स्कैनर्स और अन्य उपकरण प्रदान करता है। https://www.owasp.org |
2 | OWASP WebScarab Http और Https अनुरोधों के विश्लेषण के लिए जावा में विकसित। https://www.owasp.org/index.php |
3 | OWASP Mantra बहुभाषी सुरक्षा परीक्षण ढांचे का समर्थन करता है https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
4 | Burp Proxy इंटरसेप्टिंग और मोदिफिंग ट्रैफिक के लिए टूल और कस्टम एसएसएल सर्टिफिकेट के साथ काम करता है। https://www.portswigger.net/Burp/ |
5 | Firefox Tamper Data HTTP / HTTPS हेडर और पोस्ट मापदंडों को देखने और संशोधित करने के लिए टेम्परडेटा का उपयोग करें https://addons.mozilla.org/en-US |
6 | Firefox Web Developer Tools वेब डेवलपर एक्सटेंशन ब्राउज़र में विभिन्न वेब डेवलपर टूल जोड़ता है। https://addons.mozilla.org/en-US/firefox |
7 | Cookie Editor कुकीज़ को जोड़ने, हटाने, संपादित करने, खोजने, सुरक्षित रखने और ब्लॉक करने के लिए उपयोगकर्ता की सुविधा देता है https://chrome.google.com/webstore |
विशिष्ट उपकरण सेट
निम्नलिखित उपकरण प्रणाली में एक विशेष प्रकार की भेद्यता को देखने में हमारी मदद कर सकते हैं -
क्र.सं. | संपर्क |
---|---|
1 | DOMinator Pro − Testing for DOM XSS https://dominator.mindedsecurity.com/ |
2 | OWASP SQLiX − SQL Injection https://www.owasp.org/index.php |
3 | Sqlninja − SQL Injection http://sqlninja.sourceforge.net/ |
4 | SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/ |
5 | sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/ |
6 | SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools |
7 | THC-Hydra − Brute Force Password https://www.thc.org/thc-hydra/ |
8 | Brutus − Brute Force Password http://www.hoobie.net/brutus/ |
9 | Ncat − Brute Force Password https://nmap.org/ncat/ |
10 | OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/ |
1 1 | Spike − Testing Buffer Overflow https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
12 | Metasploit − Testing Buffer Overflow https://www.metasploit.com/ |
वाणिज्यिक ब्लैक बॉक्स परीक्षण उपकरण
यहां कुछ वाणिज्यिक ब्लैक बॉक्स परीक्षण उपकरण दिए गए हैं जो हमें उन अनुप्रयोगों में सुरक्षा समस्याओं को सुलझाने में मदद करते हैं जो हम विकसित करते हैं।
S.No | साधन |
---|---|
1 | NGSSQuirreL https://www.nccgroup.com/en/our-services |
2 | IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/ |
3 | Acunetix Web Vulnerability Scanner https://www.acunetix.com/ |
4 | NTOSpider https://www.ntobjectives.com/products/ntospider.php |
5 | SOAP UI https://www.soapui.org/Security/getting-started.html |
6 | Netsparker https://www.mavitunasecurity.com/netsparker/ |
7 | HP WebInspect http://www.hpenterprisesecurity.com/products |
फ्री सोर्स कोड एनालाइजर
S.No | साधन |
---|---|
1 | OWASP Orizon https://www.owasp.org/index.php |
2 | OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform |
3 | SearchDiggity https://www.bishopfox.com/resources/tools |
4 | FXCOP https://www.owasp.org/index.php/FxCop |
5 | Splint http://splint.org/ |
6 | Boon https://www.cs.berkeley.edu/~daw/boon/ |
7 | W3af http://w3af.org/ |
8 | FlawFinder https://www.dwheeler.com/flawfinder/ |
9 | FindBugs http://findbugs.sourceforge.net/ |
वाणिज्यिक स्रोत कोड एनालाइज़र
ये विश्लेषक स्रोत कोड की कमजोरियों की जांच, पता लगाते हैं, और रिपोर्ट करते हैं, जो कमजोरियों की संभावना है -
S.No | साधन |
---|---|
1 | Parasoft C/C++ test https://www.parasoft.com/cpptest/ |
2 | HP Fortify http://www.hpenterprisesecurity.com/products |
3 | Appscan http://www-01.ibm.com/software/rational/products |
4 | Veracode https://www.veracode.com |
5 | Armorize CodeSecure http://www.armorize.com/codesecure/ |
6 | GrammaTech https://www.grammatech.com/ |