دوره SEC542 – بخش دوم

دوره آموزشی SEC542

به دوره SEC542 خوش آمدید. در بخش دوم از مجموعه SEC542 به اهمیت متدولوژی در تست نفوذ وب می پردازیم.

Characteristics of a Solid Web App Pen Test Methodology
تست نفوذگران وب موفق، یک متدولوژی اثبات شده را دنبال می کنند. بدون استفاده از چنین متدولوژی، شما ممکن است برخی از آسیب پذیری ها را از دست بدهید و نتوانید تست خود را تکمیل نمایید. متدولوژی که در ادامه به آن می پردازیم، به صورت خاصی طراحی شده است تا نیاز های تست نفوذگران را برآورده سازد. این متدولوژی دارای ویژگی های زیر است:
اثبات شده یا Proven: این متدولوژِی برای سال ها توسط تست نفوذگران استفاده شده است. این تست نفوذگران نشان داده اند که با پیروی از این متدولوژی، آن ها توانسته اند تا مشکلات و آسیب پذیری های وب سایت ها را شناسایی نموده و آن ها را Exploit نمایند.
قابلیت تکرار یا Repeatable: یکی از بزرگترین مشکلات تست های امنیتی، مشکل False Positive می باشد. این موضوع با داشتن تست قابل تکرار، حل می گردد. اگر یک مورد یافت شده مشکوک به نظر برسد و یا اینکه اگر شما بخواهید آن را تنها به مدیریت نشان دهید، داشتن یک تست قابل تکرار یا Repeatable Test بسیار مهم می باشد. همچنین توسعه دهندگان و تست نفوذگران می توانند نتایج ما را تکثیر نمایند و از آن استفاده کنند تا ضریب خطا کاهش یابد.
قابل توضیح یا Explainable: قطعا شما با فرد متخصصی کار کرده اید که می تواند یک مشکل را پیدا نموده و آن را Fix نماید ولی وی نمی تواند توضیح دهد که چگونه آن را پیدا کرده است. اگر ما قصد داشته باشیم تا در زمینه امنیت رشد نموده و در آینده بتوانیم به سیستم های سازمان خود و دیگران کمک کنیم، به توانایی توضیح و تشریح آن چه انجام داده ایم نیاز خواهیم داشت. این متدولوژی این نیاز را برآورده می سازد. در واقع ما باید مشکلات و آسیب پذیری های کشف شده را به گونه ای قابل فهم بیان کنیم.

OWASP Testing Guide
در ساختار تست نفوذ، هدف ما مشابه یک هکر نیست و ما باید سعی در بهبود وضعیت امنیتی سازمان داشته باشیم. در سناریوهای مربوط به هک، هنگامی که نفوذگر یک آسیب پذیری را از هدف کشف می کند، آن را Exploit نموده و حتی اقدام به بالا بردن دسترسی می نماید اما در فرآیند تست نفوذ شما باید تمام آسیب پذیری های موجود را کشف کنید. بدین منظور استفاده از یک راهنمای تست بسیار مفید می باشد. OWASP یک راهنمای تست را بدین منظور ارائه داده است که با عنوان OWASP Testing Guide یا به اختصار OTG شناخته می شود.
OTG دارای مزایای فراوانی می باشد. از این راهنما می توان به عنوان یک چک لیست در فرآیند تست نفوذ استفاده نمود.البته ممکن است عناصر موجود در OTG برای تست نفوذ تمام برنامه ها مناسب نباشد ولی برای شروع بسیار مناسب می باشد. یکی از مزایای مهم بکارگیری OTG، استفاده از آن به منظور کشف آسیب پذیری، مستندسازی و هدایت سازمان هدف به فعالیت های مربوط به بازسازی مشکلات می باشد.

لیست سرفصل های مربوط به راهنمای تست نفوذ OWASP به صورت زیر می باشد:

Information Gathering (INFO)
Configuration and Deployment Management (CONFIG)
Identity Management (IDENT)
Authentication (AUTHN)
Authorization (AUTHZ
Session Management (SESS)
Input Validation (INPVAL)
Error Handling (ERR)
Cryptography (CRYPST)
Business Logic (BUSLOGIC)
Client Side (CLIENT)

در بخش های بعدی بیشتر به این متدولوژی می پردازیم و برخی از بخش های آن را بررسی خواهیم کرد.

حالا که با متدولوژی و اهمیت آن آشنا شدید اشاره به دو نکته زیر خالی از لطف نیست:

Knowledge of Tools
آگاهی از ابزارهای مورد نیاز جهت تست نفوذ، از اهمیت بالایی برخوردار است. نیازی نیست که گزینه های مربوط به Command-Line و یا پارامترهای مربوط به هر ابزار را به خاطر بسپارید. صفحات Manual یا بخش Help ابزارها بدین منظور طراحی شده اند که ما از آن ها استفاده نماییم. شما باید با ابزارهای موجود مورد استفاده در تست نفوذ آشنا بوده و قابلیت های آن ها را بشناسید تا بتوانید از آن ها به صورت مناسبی استفاده نمایید. البته در این کتاب نیز با برخی از ابزارهای مورد نیاز جهت تست نفوذ وب آشنا خواهید شد.
Permission to Test
به منظور انجام عملیات تست نفوذ، شما باید مجوزهای لازم و ترجیحا کتبی را از شرکت مورد نظر اخذ نمایید. این مهمترین بخشی است که باید در تست نفوذ به آن توجه نمایید. قوانین زیادی برای هک و مجازات های مرتبط با آن وجود دارد که می تواند در صورت عدم کسب مجوز از شرکت یا سازمان مربوطه، گریبان ما را بگیرد. همچنین برخی از سازمان ها از سامانه های مانیتورینگ استفاده می کنند و در صورت بروز مشکل می توانند از ما شکایت نمایند. به عنوان مثال شما نمی توانید بگویید که من به صورت اتفاقی آسیب پذیری SQL Injection را در سایت شما کشف کردم. قطعا هیچ کس به صورت تصادفی از عبارت or 1=1—در ورودی های سامانه خدمات بانکداری الکترونیکی استفاده نمی نماید. (به خصوص متخصصان امنیتی آموزش دیده)
پس تا زمانی که مجوزهای لازم را اخذ ننموده اید، اقدام به تست نفوذ نکنید.

با ما در بخش های بعدی این دوره آموزشی همراه باشد.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید