بررسی کامنتها و سایر متادیتای صفحه وب برای نشتی اطلاعات
در این بخش از دوره آموزشی OWASP-OTG به اولین بخش از استاندارد OTG با شناسه OTG-INFO-005 می پردازیم که مربوط به بررسی کامنت ها و متادیتاهای صفحه وب می باشد.
خلاصه
افزودن کامنت و متادیتا در سورس اصلی یک برنامه، کار عادی و حتی پیشنهاد شده توسط برنامهنویسان است. با این حال، کامنتها و متادیتای واقع در سورس کد HTML میتواند اطلاعات محرمانه به یک نفوذگر بدهد. کامنتها و متادیتاها باید به دقت بررسی شوند تا از عدم نشت اطلاعات اطمینان حاصل کرد.
اهداف تست و ارزیابی
هدف از بخش OTG-INFO-005 ارزیابی بررسی دقیق کامنتها و متادیتای صفحات وب برای یافتن نشتی اطلاعات است.
چگونه تست کنیم؟
توسعه دهندگان از کامنتهای HTML برای یادداشت اطلاعات عیب یابی اپلیکیشن استفاده میکنند. بعضی اوقات وجود این کامنتها را فراموش کرده و در نسخه واقعی آنها را در جای خود نگه میدارند. ارزیابان امنیتی باید با دقت این کامنتها را بررسی کنند.
تست جعبه سیاه
سورس کد HTML را به منظور شناسایی کامنتهایی که میتوانند به نفوذگر اطلاعات حساس درباره اپلیکیشن بدهند، بررسی کنید. این کامنتها میتوانند حاوی اطلاعاتی مانند کد SQL، نام کاربری، رمز عبور، آدرس IP داخلی و اطلاعات عیب یابی باشد.
ارزیاب میتواند به اطلاعات حساس دیگری نیز دست بیاید:
نسخه HTML را بررسی کنید تا از شماره نسخه درست و آدرسهای DTD صحیح اطمینان حاصل فرمایید.
!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 4.01//EN” “http://www.w3.org/TR/html4/strict.dtd”
• “strict.dtd” — default strict DTD
• “loose.dtd” — loose DTD
• “frameset.dtd” — DTD for frameset documents
بعضی از تگها مانند تگ META نیز به طور مستقیم یک بردار حمله محسوب نمیشوند اما اطلاعات حساس و مهمی را فاش میکنند:
META name=”Author” content=”Andrew Muller”
بعضی از تگها مانند http-equiv نیز سرایند جوابهای HTTP را تغییر میدهند.
META http-equiv=”Expires” content=”Fri, 21 Dec 2012 12:34:56 GMT”
META http-equiv=”Cache-Control” content=”no-cache”
سرایند جواب HTTP تگهای فوق به صورت زیر خواهد بود:
Expires: Fri, 21 Dec 2012 12:34:56 GMT
Cache-Control: no-cache
تگ معروف دیگر refresh است:
META http-equiv=”Refresh” content=”15;URL=https://www.owasp.org/index.html”
تگ keywords برای مشخص نمودن کلمات خاصی است که موتورهای جست و جو از آنها برای ارتقا و بهبود کیفیت جست و جو خود استفاده میکنند:
META name=”keywords” lang=”en-us” content=”OWASP, security, sunshine, lollipops”
علی رغم اینکه بسیاری از وب سرورها با استفاده از فایل robots.txt ایندکیسنگ موتورهای جست و جو را مدیریت میکنند، این عمل را میتوان با استفاده تگهای متا نیز انجام داد. به عنوان مثال، تگ زیر رباتها را از ایندکس کردن و دنبال کردن لینکهای صفحه وب منع میکند:
META name=”robots” content=”none”
Platform for Internet Content Selection و Protocol for Web Description Resources زیر ساختی برای ارتباط بین تگها متا و محتوای اینترنت فراهم میکنند.
ابزار
ابزارهایی که برای تست OTG-INFO-005 مورد استفاده قرار می گیرند عبارتند از:
• Wget
• Browser “view source” function
• Eyeballs
• Curl
مطالب این بخش توسط جناب آقای امیر ثروتی تهیه شده است.