Ткаченко Л.О. Пархоменко
І.І.
Національний університет
біоресурсів та природокористування України
Тестування безпеки web –додатків
Під тестуванням безпеки будемо розуміти стратегію
тестування , спрямовану на виявлення вразливостей , притаманних інформаційній
системі (ІС) , які зловмисник потенційно зможе експлуатувати і реалізувати
певні загрози інформаційної безпеки ( ІБ) .
Під загрозою ІБ ( Threat ) розуміють
сукупність умов та факторів , які прямо або опосередковано можуть стати
причиною порушення цілісності , доступності або конфіденційності інформації в
ІС , або виходу з ладу елемента або всієї системи. Ці загрози також називають
базовими погрозами ІБ ( Base Threats ) .
Будь-яка загроза ІБ реалізується , з деякою мірою
«можливості» або ймовірності , через конкретну уразливість ( Vulnerability ) - деяке « невдале » властивість системи захисту інформації ( СЗІ) або
самої ІС
Три основних
джерела вразливостей інформації в ІС :
1 . Схильність фізичній
викривлення або знищення .
2 . Можливість
несанкціонованої , випадкової або навмисної , модифікації .
3 . Можливість
несанкціонованого , випадкового або навмисного , отримання інформації особами ,
для яких вона не призначена .
У
інформаційної безпеки захисту підлягають три властивості, притаманні інформації
та інформаційній системі :
• конфіденційність ,
• цілісність ,
• доступність.
За цими ж
напрямками пропонується проводити і тестування безпеки web -додатків , як один
з видів інформаційних систем . При цьому тестування web - додатку повинно
виконуватися в комплексі з тестуванням всієї мережевої структури, в якій
розгорнуто додаток .
Інструменти
для тестування безпеки
Для
автоматизації тестування безпеки застосовуються спеціалізовані засоби - сканери
безпеки :
1 . XSpider , Zenmap ,
Metasploit - мережеві сканери , для тестування вразливостей , притаманних
мережевій інфраструктурі .
2 . Acunetix Web
Vulnerability Scanner , XSpider , MaxPatrol , інструментарій OWASP Live CD -
спеціалізований набір інструментів для тестування безпеки і логіки роботи web
-додатки.
Для ручного
і напівавтоматичного тестування безпеки на стороні клієнта можуть бути
використані:
1 . Intercepter -NG ,
WinDump , WireShark та ін - сніффери для перехоплення і аналізу мережевого
трафіку.
2 . FireBug , Web
Developer - плагіни для Firefox , які можна використовувати для зміни логіки
роботи клієнтської частини програми .
3 . Selenium -тести для
підсистеми безпеки .
В даний час використовується класифікатор мережевих
вразливостей і погроз « The WASC Threat Classification v2.0
» ( The Web Application Security Consortium . Для перевірки їх реалізації можна використовувати сканери безпеки NMap , Acunetix WVS , Metasploit , XSpider , MaxPatrol та ін
Приклади
вразливостей
за
класифікатором WASC : Application Misconfiguration , Directory Indexing , Improper
Filesystem Permissions , Insecure Indexing , Insufficient Anti - automation ,
Insufficient Authentication / Authorization , Insufficient Password Recovery ,
Insufficient Session Expiration , Insufficient Transport Layer Protection ,
Server Misconfiguration та
ін
Приклади
загроз
за
класифікатором WASC : Abuse of Functionality , Brute Force , Buffer Overflow , Content
Spoofing , Credential / Session Prediction , Denial of Service , OS Commanding
, SQL Injection , Cross- Site Scripting та ін
Тестування безпеки
web -додатків за допомогою сканера Acunetix WVS.
За
результатами тестування безпеки формується звіт . Зазвичай його потрібно
попередньо проаналізувати , інтерпретувати відповідним чином і поставити
розробникам завдання щодо виправлення помилок. Тому найбільший інтерес
представляють результати роботи сканера Acunetix WVS , який дозволяє не тільки
формувати звіти різних рівнів деталізації ( короткий для керівництва ,
докладний для інженерів , порівняльний , за результатами попереднього
сканування і т.п.) , а й видає рекомендації щодо усунення вразливостей і
посилання на відповідні ресурси в Інтернеті.
Звіт сканера
безпеки Acunetix WVS містить :
• деталі сканування (
Scan details - дату , час , конфігурацію програми та сервера , профіль
тестування тощо);
• загальний рівень
загроз ( Threat level ) з коментарем ;
• узагальнену інформацію
про потенційних вразливості ( Alerts summary ) ;
• деталізовану технічну
інформацію про вразливості ( Alert details ) ;
• рекомендації щодо
усунення вразливостей ( Recommendation ) .
Література:
1. Технічні рішення щодо захисту web-серверівhttp://www.google.com.ua/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CC4QFjA&url=http%3A%2F%2Fwww.isofts.kiev.ua%2Fc%2Fdocument_library%2Fget_file%3Fp_l_id%3D15462%26folderId%3D15705%26name%3DDLFE-437.doc&ei=ZCR7U-faDuakyAPyoIHgDw&usg=AFQjCNH6HxO8y_5rDupBThn61wY6rjpbHQ&bvm=bv.67229260,d.bGQ
2. Инструменты тестирования безопасности web-приложений http://ts-soft.ru/blog/webap-secrity-test/
3. Тестирование безопасности http://www.protesting.ru/testing/types/securit.html