Melyek a leggyakoribb WEB-es sérülékenységek?
- Cross-Site Scripting (XSS)
- SQL / Command Injection
- Session kezelési- és hitelesítési problémák
- Hibásan megvalósított direkt objektumhivatkozás
- Cross Site Request Forgery (CSRF)
- Rosszindulatú állomány-feltöltés
- URL hozzáférés szabályozás
- Nem megfelelő szállítási réteg védelem
A web-alkalmazás, mint veszélyforrás
Web-alkalmazásnak azt a programot nevezzük, ami a felhasználóval interaktív kapcsolatot tart a weben, mint hordozó közegen keresztül. A WEB - programozás az erős piaci verseny miatt nagy fejlesztési sebességet igényel, ezért a fejlesztés során az ellenőrzés gyakran háttérbe szorul. A programhibákat fel kell tárni és ki kell javítani, ha ez nem történik meg, a webhely könnyen támadás áldozatául esik, ennek következménye lehet: adatvesztés, a szolgáltatás leállása, vagy végső esetben az ellenőrzés teljes átvétele a webhely, illetve a szervezet teljes hálózata felett. A kockázatok csökkentésére a web-alkalmazásokat üzembe állítás előtt, vagy módosítások után ellenőrzés alá kell vonni. A leggyakoribb és a legsúlyosabb hibákat, mint például az átszkriptelés (cross-site scripting), kódinjektálás, könyvtár átjárás; automatikus vizsgálattal is szükséges ellenőrizni.Web-alkalmazás sérülékenység vizsgálat
Az automatikus vizsgálat speciális célberendezéssel (appliance) történik, ami a megfelelően kialakított, és a jelenleg elfogadott nemzetközi tapasztalatra épülő tesztsorozatot automatikusan hajtja végre egyszerre több alkalmazáson is. Természetesen ez a módszer nem tud annyira kifinomult támadásokat kivitelezni, mint egy etikus hacker, aki a kontextusokból képes olyan következtetéseket levonni, amelyek a nem triviális támadások kialakítását teszik lehetővé.Az alap biztonsági szint ellenőrzésére az automatikus mérés felel meg. Az automatikus mérés nem azt jelenti, hogy nincs szükség szakértői jelenlétre, továbbra is szakértő állítja be a mérést. A kiértékelés és az eredmények ellenőrzése ugyancsak szakértői feladat, mivel a sérülékenység különböző súlyosságú problémákat okozhat. Nem mindegy például, hogy kihasználásával a felhasználó a weboldal megjelenését tudja módosítani, vagy érzékeny adatokhoz fér hozzá jogtalanul.
QualysGuard WEB Application Scanner
Az automatizált WEB- sérülékenység vizsgálat a Qualys cég WEB Application Scanner szolgáltatása révén történik. A felhasználók igényei szerint egyedi vizsgálatok, illetve rendszeres mérések elvégzésére kerül sor.Javasolt a mérések legalább negyedévenként történő elvégzése, de a kritikusabb WEB alkalmazások esetén a havi rendszeresség ajánlott.
