FixVibe
Covered by FixVibemedium

Automatizēto drošības skeneru salīdzināšana: iespējas un darbības riski

Automatizēti drošības skeneri ir būtiski, lai identificētu kritiskas ievainojamības, piemēram, SQL injekciju un XSS. Tomēr tie var netīšām sabojāt mērķa sistēmas, izmantojot nestandarta mijiedarbību. Šajā pētījumā profesionālie DAST rīki tiek salīdzināti ar bezmaksas drošības novērošanas centriem un izklāstītas paraugprakses drošai automatizētai testēšanai.

CWE-79CWE-89CWE-352CWE-611CWE-22CWE-918

Ietekme

Automātiskie drošības skeneri var identificēt kritiskas ievainojamības, piemēram, SQL injekciju un starpvietņu skriptēšanu (XSS), taču tie arī rada risku sabojāt mērķa sistēmas to nestandarta mijiedarbības metožu [S1] dēļ. Nepareizi konfigurēta skenēšana var izraisīt pakalpojuma darbības traucējumus, datu bojājumus vai neparedzētu darbību neaizsargātā vidē. [S1]. Lai gan šie rīki ir ļoti svarīgi, lai atrastu kritiskas kļūdas un uzlabotu drošības stāvokli, to izmantošana prasa rūpīgu pārvaldību, lai izvairītos no darbības ietekmes [S1].

Galvenais cēlonis

Primārais risks izriet no DAST rīku automatizētā rakstura, kas pārbauda lietojumprogrammas ar derīgo slodzi, kas var izraisīt malas gadījumus pamatā esošajā loģikā [S1]. Turklāt daudzas tīmekļa lietojumprogrammas nespēj ieviest pamata drošības konfigurācijas, piemēram, pareizi nostiprinātas HTTP galvenes, kas ir būtiskas aizsardzībai pret izplatītiem tīmekļa draudiem [S2]. Tādi rīki kā Mozilla HTTP Observatory izceļ šīs nepilnības, analizējot atbilstību noteiktajām drošības tendencēm un vadlīnijām [S2].

Atklāšanas iespējas

Profesionālie un kopienas līmeņa skeneri koncentrējas uz vairākām ļoti ievainojamības kategorijām:

  • Injekcijas uzbrukumi: SQL injekcijas un XML ārējās entītijas (XXE) injekcijas noteikšana. [S1].
  •  Manipulācija ar pieprasījumu: servera puses pieprasījuma viltošanas (SSRF) un vairāku vietņu pieprasījuma viltošanas (CSRF) [S1] identificēšana.
  • Piekļuves kontrole: Kataloga apgūšanas pārbaude un citas autorizācijas apiet [S1].
  • Konfigurācijas analīze: HTTP galveņu un drošības iestatījumu novērtēšana, lai nodrošinātu atbilstību nozares paraugpraksei [S2].

Betona labojumi

  •  Pirmsskenēšanas autorizācija: nodrošiniet, lai visas automatizētās pārbaudes būtu pilnvarojis sistēmas īpašnieks, lai pārvaldītu iespējamo bojājumu risku. [S1].
  • Vides sagatavošana: pirms aktīvās ievainojamības skenēšanas dublējiet visas mērķa sistēmas, lai nodrošinātu atkopšanu atteices gadījumā [S1].
  • Galvenes ieviešana: izmantojiet tādus rīkus kā Mozilla HTTP Observatory, lai pārbaudītu un ieviestu trūkstošās drošības galvenes, piemēram, satura drošības politiku (CSP) un Strict-Transport-Security (HSTS) [S2].
  • Instalācijas testi: veiciet augstas intensitātes aktīvās skenēšanas izolētās iestudēšanas vai izstrādes vidēs, nevis ražošanā, lai novērstu darbības ietekmi. [S1].

Kā FixVibe to pārbauda

FixVibe jau atdala ražošanai drošas pasīvās pārbaudes no aktīvajām zondēm, kurām nepieciešama piekrišana. Pasīvais headers.security-headers modulis nodrošina observatorijas tipa galvenes pārklājumu, nenosūtot lietderīgās kravas. Lielākas ietekmes pārbaudes, piemēram, active.sqli, active.ssti, active.blind-ssrf un saistītās pārbaudes, tiek veiktas tikai pēc domēna īpašumtiesību verifikācijas un skenēšanas sākuma atestācijas, un tās izmanto ierobežotas nesagraujošas slodzes ar viltus pozitīvo slodzi.