Testowanie bezpieczeństwa - ujawnianie wrażliwych danych
Ponieważ aplikacje online zalewają internet z dnia na dzień, nie wszystkie aplikacje są zabezpieczone. Wiele aplikacji internetowych nie chroni odpowiednio poufnych danych użytkownika, takich jak dane kart kredytowych / informacje o koncie bankowym / dane uwierzytelniające. Hakerzy mogą w końcu ukraść słabo chronione dane w celu oszustwa związanego z kartami kredytowymi, kradzieży tożsamości lub innych przestępstw.
Pozwól nam zrozumieć agentów zagrożeń, wektory ataku, słabość zabezpieczeń, wpływ techniczny i skutki biznesowe tej usterki za pomocą prostego diagramu.
Przykład
Oto niektóre z klasycznych przykładów błędnej konfiguracji zabezpieczeń:
Witryna po prostu nie używa SSL dla wszystkich uwierzytelnionych stron. Umożliwia to napastnikowi monitorowanie ruchu sieciowego i kradzież sesyjnego pliku cookie użytkownika w celu przejęcia sesji użytkownika lub uzyskania dostępu do jego prywatnych danych.
Aplikacja przechowuje numery kart kredytowych w postaci zaszyfrowanej w bazie danych. Po pobraniu są odszyfrowywane, co umożliwia hakerowi wykonanie ataku polegającego na wstrzyknięciu kodu SQL w celu pobrania wszystkich poufnych informacji w postaci zwykłego tekstu. Można tego uniknąć, szyfrując numery kart kredytowych za pomocą klucza publicznego i zezwalając aplikacjom zaplecza na odszyfrowanie ich za pomocą klucza prywatnego.
Praktyczny
Step 1- Uruchom WebGoat i przejdź do sekcji „Niezabezpieczone przechowywanie”. Migawka tego samego jest wyświetlana poniżej.
Step 2- Wprowadź nazwę użytkownika i hasło. Nadszedł czas, aby nauczyć się różnych metod kodowania i szyfrowania, które omówiliśmy wcześniej.
Mechanizmy zapobiegawcze
Zaleca się, aby niepotrzebnie nie przechowywać danych wrażliwych i należy je jak najszybciej usunąć, jeśli nie są już potrzebne.
Ważne jest, aby zapewnić stosowanie silnych i standardowych algorytmów szyfrowania oraz właściwe zarządzanie kluczami.
Można tego również uniknąć, wyłączając autouzupełnianie w formularzach, które zbierają poufne dane, takie jak hasło, i wyłączając buforowanie stron zawierających poufne dane.