FixVibe
Covered by FixVibemedium

ການປຽບທຽບເຄື່ອງສະແກນຄວາມປອດໄພອັດຕະໂນມັດ: ຄວາມສາມາດແລະຄວາມສ່ຽງຕໍ່ການດໍາເນີນງານ

ເຄື່ອງສະແກນຄວາມປອດໄພອັດຕະໂນມັດເປັນສິ່ງຈໍາເປັນສໍາລັບການກໍານົດຈຸດອ່ອນທີ່ສໍາຄັນເຊັ່ນ SQL injection ແລະ XSS. ຢ່າງໃດກໍ່ຕາມ, ພວກເຂົາສາມາດທໍາລາຍລະບົບເປົ້າຫມາຍໂດຍບໍ່ໄດ້ຕັ້ງໃຈໂດຍຜ່ານການໂຕ້ຕອບທີ່ບໍ່ແມ່ນມາດຕະຖານ. ການຄົ້ນຄວ້ານີ້ປຽບທຽບເຄື່ອງມື DAST ທີ່ເປັນມືອາຊີບກັບຜູ້ສັງເກດການຄວາມປອດໄພຟຣີ ແລະອະທິບາຍການປະຕິບັດທີ່ດີທີ່ສຸດສໍາລັບການທົດສອບອັດຕະໂນມັດທີ່ປອດໄພ.

CWE-79CWE-89CWE-352CWE-611CWE-22CWE-918

ຜົນກະທົບ

ເຄື່ອງສະແກນຄວາມປອດໄພແບບອັດຕະໂນມັດສາມາດກໍານົດຈຸດອ່ອນທີ່ສໍາຄັນເຊັ່ນ: ການສີດ SQL ແລະ Cross-Site Scripting (XSS), ແຕ່ພວກມັນຍັງມີຄວາມສ່ຽງທີ່ຈະທໍາລາຍລະບົບເປົ້າຫມາຍເນື່ອງຈາກວິທີການປະຕິສໍາພັນທີ່ບໍ່ແມ່ນມາດຕະຖານ [S1]. ການສະແກນທີ່ຖືກຕັ້ງຄ່າບໍ່ຖືກຕ້ອງສາມາດນໍາໄປສູ່ການຂັດຂວາງການບໍລິການ, ຂໍ້ມູນເສຍຫາຍ, ຫຼືພຶດຕິກໍາທີ່ບໍ່ໄດ້ຕັ້ງໃຈໃນສະພາບແວດລ້ອມທີ່ມີຄວາມສ່ຽງ [S1]. ໃນຂະນະທີ່ເຄື່ອງມືເຫຼົ່ານີ້ແມ່ນສໍາຄັນສໍາລັບການຊອກຫາຂໍ້ບົກພ່ອງທີ່ສໍາຄັນແລະການປັບປຸງທ່າທາງຄວາມປອດໄພ, ການນໍາໃຊ້ຂອງມັນຮຽກຮ້ອງໃຫ້ມີການຄຸ້ມຄອງຢ່າງລະມັດລະວັງເພື່ອຫຼີກເວັ້ນຜົນກະທົບດ້ານການດໍາເນີນງານ [S1].

ສາເຫດ

ຄວາມສ່ຽງຕົ້ນຕໍແມ່ນມາຈາກລັກສະນະອັດຕະໂນມັດຂອງເຄື່ອງມື DAST, ເຊິ່ງ probe ຄໍາຮ້ອງສະຫມັກທີ່ມີ payloads ທີ່ອາດຈະເຮັດໃຫ້ເກີດກໍລະນີແຂບໃນເຫດຜົນພື້ນຖານ [S1]. ນອກຈາກນັ້ນ, ຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ຈໍານວນຫຼາຍບໍ່ສາມາດປະຕິບັດການຕັ້ງຄ່າຄວາມປອດໄພຂັ້ນພື້ນຖານ, ເຊັ່ນ: ຫົວ HTTP ແຂງຢ່າງຖືກຕ້ອງ, ເຊິ່ງເປັນສິ່ງຈໍາເປັນເພື່ອປ້ອງກັນໄພຂົ່ມຂູ່ຕໍ່ເວັບໄຊທ໌ທົ່ວໄປ [S2]. ເຄື່ອງມືເຊັ່ນ Mozilla HTTP Observatory ຊີ້ໃຫ້ເຫັນຊ່ອງຫວ່າງເຫຼົ່ານີ້ໂດຍການວິເຄາະການປະຕິບັດຕາມແນວໂນ້ມຄວາມປອດໄພແລະຄໍາແນະນໍາ [S2].

ຄວາມສາມາດໃນການກວດຫາ

ເຄື່ອງສະແກນລະດັບມືອາຊີບ ແລະຊຸມຊົນເນັ້ນໃສ່ຫຼາຍປະເພດທີ່ມີຄວາມສ່ຽງທີ່ມີຜົນກະທົບສູງ:

  • ການໂຈມຕີດ້ວຍການສັກຢາ: ກວດພົບການສັກຢາ SQL ແລະ XML External Entity (XXE) ການສັກຢາ [S1].
  • ການ​ຈັດ​ການ​ຄໍາ​ຮ້ອງ​ສະ​ຫມັກ​: ການ​ກໍາ​ນົດ​ການ​ຮ້ອງ​ຂໍ​ຂ້າງ​ເຊີບ​ເວີ (SSRF​) ແລະ​ການ​ຮ້ອງ​ຂໍ​ຂ້າມ​ສະ​ຖານ​ທີ່ (CSRF​) [S1]​.
  • ການ​ຄວບ​ຄຸມ​ການ​ເຂົ້າ​ເຖິງ​: ການ​ທົດ​ສອບ​ສໍາ​ລັບ​ການ​ຜ່ານ​ລະ​ບົບ​ແລະ​ການ​ອະ​ນຸ​ຍາດ​ອື່ນໆ bypasses [S1]​.
  • ການວິເຄາະການຕັ້ງຄ່າ: ການປະເມີນສ່ວນຫົວ HTTP ແລະການຕັ້ງຄ່າຄວາມປອດໄພເພື່ອຮັບປະກັນການປະຕິບັດຕາມການປະຕິບັດທີ່ດີທີ່ສຸດຂອງອຸດສາຫະກໍາ [S2].

ແກ້ໄຂຄອນກີດ

  • ການ​ອະ​ນຸ​ຍາດ​ກ່ອນ​ການ​ສະ​ແກນ​: ໃຫ້​ແນ່​ໃຈວ່​າ​ການ​ທົດ​ສອບ​ອັດ​ຕະ​ໂນ​ມັດ​ທັງ​ຫມົດ​ແມ່ນ​ອະ​ນຸ​ຍາດ​ໂດຍ​ເຈົ້າ​ຂອງ​ລະ​ບົບ​ການ​ຄຸ້ມ​ຄອງ​ຄວາມ​ສ່ຽງ​ຂອງ​ຄວາມ​ເສຍ​ຫາຍ​ທີ່​ອາດ​ຈະ [S1]​.
  • ການ​ກະ​ກຽມ​ສະ​ພາບ​ແວດ​ລ້ອມ​: ສໍາ​ຮອງ​ຂໍ້​ມູນ​ຂອງ​ລະ​ບົບ​ເປົ້າ​ຫມາຍ​ທັງ​ຫມົດ​ກ່ອນ​ທີ່​ຈະ​ເລີ່ມ​ຕົ້ນ​ການ​ສະ​ແກນ​ຊ່ອງ​ໂຫວ່​ເພື່ອ​ຮັບ​ປະ​ກັນ​ການ​ຟື້ນ​ຕົວ​ໃນ​ກໍ​ລະ​ນີ​ຂອງ​ຄວາມ​ລົ້ມ​ເຫຼວ [S1]​.
  • ການຈັດຕັ້ງປະຕິບັດສ່ວນຫົວ: ໃຊ້ເຄື່ອງມືເຊັ່ນ Mozilla HTTP Observatory ເພື່ອກວດສອບ ແລະປະຕິບັດສ່ວນຫົວຄວາມປອດໄພທີ່ຂາດຫາຍໄປ ເຊັ່ນ: ນະໂຍບາຍຄວາມປອດໄພຂອງເນື້ອຫາ (CSP) ແລະ Strict-Transport-Security (HSTS) [S2].
  • ການທົດສອບຂັ້ນຕອນ: ດໍາເນີນການສະແກນການເຄື່ອນໄຫວທີ່ມີຄວາມເຂັ້ມຂຸ້ນສູງໃນຂັ້ນຕອນທີ່ໂດດດ່ຽວຫຼືສະພາບແວດລ້ອມການພັດທະນາແທນທີ່ຈະເປັນການຜະລິດເພື່ອປ້ອງກັນຜົນກະທົບດ້ານການດໍາເນີນງານ [S1].

ວິທີການ FixVibe ທົດສອບສໍາລັບມັນ

FixVibe ແລ້ວແຍກການກວດສອບຕົວຕັ້ງຕົວຕີທີ່ປອດໄພໃນການຜະລິດອອກຈາກການສຳຫຼວດທີ່ເຮັດວຽກທີ່ມີການຍິນຍອມ. ໂມດູນ headers.security-headers passive ໃຫ້ການຄຸ້ມຄອງຫົວແບບ Observatory ໂດຍບໍ່ມີການສົ່ງ payloads. ການກວດສອບຜົນກະທົບທີ່ສູງຂຶ້ນເຊັ່ນ active.sqli, active.ssti, active.blind-ssrf, ແລະການສືບສວນທີ່ກ່ຽວຂ້ອງພຽງແຕ່ດໍາເນີນການຫຼັງຈາກການກວດສອບຄວາມເປັນເຈົ້າຂອງໂດເມນແລະການຢັ້ງຢືນເລີ່ມຕົ້ນການສະແກນ, ແລະພວກເຂົາໃຊ້ payloads ທີ່ບໍ່ມີການທໍາລາຍທີ່ມີ false.-positive.