В рамках этого проекта был проведен дизайн Pentesting на основе методологии OWASP V.4 для оценки безопасности приложения Orfeo (системы управления документами).
Проект был разработан на основе руководящих принципов, определенных в признанных стандартах, таких как международный стандарт ISO 27002, национальные руководящие принципы для политики в области кибербезопасности и киберзащиты CONPES 3854 от 2016 года.
После того, как была определена применимая нормативно-правовая база, был сделан текущий диагноз процедур и методологий, определенных в Группе поддержки Новой Эры. Справочная информация была проанализирована для подготовки теста на низкое проникновение с помощью стратегии «Серого ящика», типа теста, используемого в разработанном проекте. И наконец, на основе собранной информации на этапе документации Пентеста готовятся два заключительных отчета: Исполнительный отчет и Технический отчет, которые передаются руководителям Группы поддержки Новой Эры.
Индекс терминов: Угроза, Аудит безопасности, Кибербезопасность, Серый ящик, Пентестинг, Уязвимость.
ВВЕДЕНИЕ
В последние годы наблюдается, что безопасность в веб-приложениях информационных систем организаций все больше подвергается риску либо из-за вредоносных программ, либо из-за компьютерных атак, что приводит к административным ошибкам и управлению информацией, таким как такие как: плохо подготовленные конфигурации, человеческие ошибки, неэффективные политики безопасности и другие уязвимости, которые могут быть использованы злоумышленником для повреждения информационной системы. Атакующий может быть отдельным лицом, группой хакеров или нацией. Его конечная цель - временно или навсегда изменить бизнес-операции, отключить приложения, серверы и сетевые коммуникации.
Чтобы противодействовать этой проблеме, организации должны проводить тесты на проникновение на регулярной основе, поскольку хорошо известно, что такие аудиты слишком дороги, поскольку рекомендуется проводить их как минимум каждые 6 месяцев. По этой причине Управление телематики - Координация группы поддержки новой эры консультируется по вопросам проектирования и разработки Пентеста безопасности, который будет проводиться членами зоны безопасности Организации. Эти тесты на проникновение являются одной из важнейших характеристик, которая призвана обеспечить работу приложения управления документами Orfeo. Это приложение управляет информацией всего персонала группы поддержки New Age и поэтому связано с другим приложением по управлению персоналом, поэтому,Для обеспечения защиты информации и функционирования бизнеса необходима внутренняя поддержка организации, а также в случае, если организация представляет любое из следующих событий:
- Система безопасности обнаруживает новые угрозы. Добавляется новая сетевая инфраструктура. Система обновляется или устанавливается новое программное обеспечение. D) Конечный пользователь новой программы / политики настроен.
Таким образом, настоящий проект сфокусирован на разработке Pentesting, подготовленного исключительно для группы поддержки New Era. В этом офисе 150 рабочих станций и около 500 пользователей, ежедневно подключающихся к Orfeo. Из-за своего статуса как учреждения, информация считается одной из самых конфиденциальных в стране, поэтому необходимо гарантировать, что этот документ не будет доступен третьим сторонам, поэтому необходимо знать его текущий статус на уровне кибербезопасности, чтобы знать, Часть текущего руководства по этой теме, которая направляет их на сценарии, которые должны быть рассмотрены ранее, минимальные требования, которые они должны предъявлять для выполнения теста на проникновение, и какие аспекты следует учитывать при использовании других механизмов (обзор конфигураций и процедур, аудит Приложения,и т.д.) что доставленные отчеты будут очень полезны для ИТ-персонала.
Проект разработан на основе методологии OWASP V.4, адаптированной в четыре этапа, таких как:
- Сбор информации Сканирование Эксплуатационная документация.
Рисунок 2. - Этапы разработки пентестинга
Наконец, и на основе полученных результатов на этапе подготовки документации Pentest готовятся два заключительных отчета: Исполнительный отчет и Технический отчет, которые будут переданы руководителям Группы поддержки Новой Эры.
II.METODOLOGÍA
Методология, используемая в дизайне Pentesting, основана на качественных исследованиях с индуктивным начальным подходом, гибкая конструкция представлена с результатами, найденными от начала до конца.
Он содержит целостную перспективу изучения элементов, которые окружают исследование проекта Pentest. На основе интервью, при непосредственном наблюдении, при анализе каждого предоставленного документа. По этой причине он был классифицирован по этапам, как показано на рисунке 2.
Рисунок 3. Этапы, реализованные в методологии
А) Стадия 1: Тип информации
Информация запрашивается в шахматном порядке, начиная с базовой информации, связанной с «Почему». Как только эта информация станет доступна, мы приступим к исследованию «Что и как» в качестве стратегии поиска.
Б) Стадия 2: источник информации
Чтобы достичь этой стадии, два источника информации были приняты во внимание, чтобы получить надежный результат.
- Население: участники, связанные с веб-приложением, принимались во внимание как прямо, так и косвенно, то есть те, кто взаимодействует с ним и защищает его от возможных атак. шоу:Чтобы определить элементы совокупности, реализован первый этап Пентестинга, который состоит из сбора информации и проведения описательного анализа пользователей, которые вмешиваются в работу с веб-приложением. Они были взяты в качестве личного ориентира в Телематическом офисе как разработчик приложение, ученик, резервный администратор и титульный администратор. Так как именно они располагают соответствующей информацией об архитектуре приложения и хорошо разбираются в работе инструмента. Эти люди предоставили информацию о руководствах по применению, о политиках, об архитектуре сети и о последнем проведенном аудите.
C) Стадия 3: инструменты поиска информации
- Общий обзор опроса веб-приложений. Цель этого опроса была решающей для того, чтобы начать наш следственный процесс в Телематическом офисе, нам нужно было иметь данные, которые приблизили бы нас к приложению, которое мы осознали важность этого для пользователей. Первый фильтр состоял в том, чтобы обеспечить совместную работу ответственного руководства, этот человек предоставил нам первоначальную информацию и определил необходимость проведения Пентеста в качестве помощи их зависимости. Базовая и краткая анкета была разработана по общим аспектам и по некоторым бизнес-перспективам, вариант ответа был (ДА-НЕТ) и время указано в месяцах. Он состоит из 10 вопросов, которые можно найти в приложении в конце данной работы.Опрос по сбору информации
Техника веб-приложений:
Информация, запрашиваемая в этом вопроснике, предоставляет данные, ориентированные на веб-приложение, такие как данные об удобстве использования, данные о конфигурации, данные об инфраструктуре и данные о безопасности. Методика, использованная для сбора информации, была разработана с помощью подробных вопросников и проводилась с участием основных действующих лиц, вовлеченных в работу приложения, разработчика, администратора резервного копирования и главного администратора. Они предоставили наиболее актуальную информацию, рассказав об ожиданиях, которые они имели в ходе Пентестинга, чтобы применить методы атаки и таким образом контролировать уязвимости, обнаруженные при разработке этого аудита безопасности.Цель использования этого метода интервью состоит в том, чтобы в качестве отправной точки использовать индикаторы для измерения исходных уязвимостей и возможных угроз. Цель этих опросов основана на том, чтобы иметь базовую информацию, текущие элементы управления, которые имеет приложение. Вариант ответа был описательный текст, который позволяет свободно описать ответ открыто. Результаты стали ключевым фактором для запуска теста на проникновение и поддержки важности проведения этой работы как для телематического бюро, так и для нас.что позволяет свободно описать ответ открытым способом. Результаты стали ключевым фактором для запуска теста на проникновение и поддержки важности проведения этой работы как для телематического бюро, так и для нас.что позволяет свободно описать ответ открытым способом. Результаты стали ключевым фактором для запуска теста на проникновение и поддержки важности проведения этой работы как для телематического бюро, так и для нас.
- Прямое наблюдение:Этот метод был выбран из-за его эффективности, так как именно он описывает использование в прямой и динамичной манере, наблюдались основные участники, взаимодействующие с приложением, чтобы дать более четкий ответ на вопросы, в случае разработчика приложения его концепции были короткими, и он должен был полагаться на инструмент, чтобы иметь возможность более подробно объяснить свой ответ, например, в тесте назначения ролей, он объяснил через каскадные меню, как создается пользователь и как назначаются разрешения, иерархия управления приложениями и контроля. Преимущество использования этого метода для сбора данных заключается в том, что данные являются достоверными, поскольку они получены из одного из основных источников.Этот метод был наиболее эффективным для начального процесса и очень прост в применении, так как он предоставляет адекватные данные и идентифицирует и точное поведение использования приложения.Анализ собранной информации: после того, как стратегии поиска и описания для каждой из них были завершены и объединены в проекте Pentest, оценка проводится с использованием обычного метода, с использованием шаблона Excel, ответы были сведены в таблицу и Интерпретирующий анализ был выполнен графически.
Рисунок 4. Процент безопасности приложения Orfeo на основе опроса.
Что касается опроса по открытым вопросам, он был объединен по количеству участников, а также знаниям и восприятию, которое они имеют о заявке, то есть знают ли они заявку и как она составлена. Каждая из групп данных содержит 5 вопросов, из этих пяти вопросов выбираются те, которые актер не знает о приложении. В соответствии с таблицей 4 мы определяем, что главные действующие лица не полностью знают приложение в вопросах безопасности, индекс слишком низок для важности той роли, которую он играет. Аналогично, знание того, что администратор резервного копирования имеет в отношении разработчика, указывает на то, что участник 1 знает больше о приложении, поэтому его роль ниже роли администратора резервного копирования. В последствииИсходя из этой информации, можно сделать вывод, что отсутствие подготовки со стороны главного администратора к администратору резервного копирования является недостатком и может иметь тяжелые последствия в случае отказа участника 3 от его роли.
Таблица 1. Участники опроса
III.RESULTS
Для оценки безопасности веб-приложения Orfeo (системы управления документами), New Era Support Group, был разработан Pentesting, основанный на методологии OWASP V.4.
Описано на следующем рисунке 5.
Рисунок 5. Общее описание тестов на этапе тестирования
Эта конструкция была подтверждена посредством реализации Pentesting, в которой было обнаружено несколько уязвимостей при выполнении следующих тестов.
- Тесты по сбору информации Тестирование роли распознавания в поисковой системе Тест на слабость или неисполнение политики пользователя Тесты для проверки подлинности Тесты для проверки конфигурации сети / инфраструктуры Тест на перекрестные каталоги Тест авторизации Схема авторизации Тест схемы тестирования управление сеансами Тестирование открытых переменных сеанса Зеркальные межсайтовые скриптовые тесты Тесты Clickjacking Тесты SQL-инъекций Тест открытого текста пароля Тест ввода или входа пользователя Тест на утечку информации
Для анализа описанных тестов использовались инструменты для сканирования - обнаружения уязвимостей и ручного анализа тестов. Где в результате получается следующая таблица рисков.
Таблица 2. Анализ уязвимости по степени серьезности и доверия
Как видно из 35 тестов, выполненных из 53, определенных в проекте, он показывает уязвимости безопасности в приложении Orfeo, очевидно, что 30% Orfeo находится под угрозой, и необходимость реализации предложенного проекта подтверждается.
IV ОБСУЖДЕНИЕ
Это исследование было предложено с целью разработки Pentesting для веб-приложения, в дополнение к руководству Группы поддержки New Age, основанной на методологии, и ее группе по кибербезопасности при проведении этих тестов, качеству безопасности информация из ваших Приложений, разработанных или приобретенных. Результаты этого проекта показывают, что жизненно важно защитить ваши системы от как можно большего числа возможных угроз, а также иметь людей, которые отвечают за установление этих мер безопасности и поддержание их активности и обновления.
Эти результаты согласуются с результатами, полученными в предыдущих исследованиях, таких как те, которые проводились в рамках проекта Open Web Application Security (OWASP) в отношении 10 уязвимостей, часто встречающихся в веб-приложениях, запущенных в производство. Однако многих из тестов, рекомендованных Методологией OWASP, было недостаточно для выявления уязвимостей, поэтому были проведены консультации с другими авторами и методами. Потому что компьютерные атаки развиваются каждый день, и в инфраструктурах, поддерживающих эти приложения, уже есть средства управления.
Есть несколько возможных объяснений этих результатов, как описано в каждом из найденных результатов.
- Нет политики безопасности для управления ошибками и доступа пользователей. Нет политики безопасности для управления пользователями. Нет документации по схемам развертывания приложений. Нет технических руководств для исходного кода приложения. кроме того, который предоставлен Orfeogpl, который устарел. Нет документации RFC о контроле изменений, внесенных в приложение. Неопытный персонал в области информационной безопасности. Неэффективная конфигурация инфраструктуры, поддерживающей приложения, такие как серверы веб-приложений. Нет проверки приложений или информационных систем, которые они заключают с третьими сторонами. отсутствие политик безопасности при разработке безопасных веб-приложений.
Учитывая небольшой размер выборки, следует соблюдать осторожность при выполнении интерпретаций, поскольку анализируется только 35% всех разработанных тестов, и следует также учитывать, что Orfeo был протестирован с использованием приложения с открытым исходным кодом, код разработки был Он публикуется в Интернете, что создает большую уязвимость в его реализации. И поэтому должны быть приняты более строгие меры безопасности. Общее количество уязвимостей, классифицированных как Высокие, позволяет предположить, что во время реализации 53 разработанных и предложенных тестов их может быть гораздо больше. Предполагается, что в будущих исследованиях по этой теме будут рассмотрены этапы жизненного цикла разработки веб-приложений, поскольку многие из этих результатов основаны на разработке и реализации веб-приложений.
V. ВЫВОДЫ
В заключение этой статьи давайте помним о важности проведения тестов Pentesting для веб-приложений в контексте информационной безопасности, поскольку эти тесты дают организации представление о том, какой тип безопасности они внедрили, и если какой-то аспект должен быть улучшен, это было ограничено. Если политики безопасности будут целенаправленными, то пробелы в жизненном цикле разработки будут меньше в ваших веб-приложениях.
В этом проекте было предложено разработать Pentesting для оценки безопасности веб-приложения Orfeo (системы управления документами) посредством проектирования Pentesting на основе методологии OWASP V.4. Это было приятно, продемонстрировав в предварительном исследовании, что в приложении Orfeo есть уязвимости и что те же самые угрозы могут существовать в других системах, которые есть в Телематическом офисе группы поддержки New Age.
На выводы этого отчета распространяются как минимум 5 ограничений: во-первых, политики безопасности, ограничивающие доступ к некоторым системным ресурсам, размер выборки для тестирования. Предлагается принять меры по обеспечению безопасности веб-приложений не только для тех приложений, которые находятся в производственной среде, но и для тех, которые находятся на стадии разработки и тестирования.
Наконец, поскольку Orfeo является веб-приложением с открытым исходным кодом, любому субъекту, желающему реализовать свой код с открытым исходным кодом, рекомендуется вносить коррективы в кодирование и реализацию инфраструктуры для снижения рисков безопасности, которые оно представляет.
ПИЛА. БЛАГОДАРНОСТЬ
Руководителям, которые вмешались в ориентацию этой работы, которая позволила нам двигаться вперед, учителям, оставившим свой след в ходе этой специализации, особенно инженеру Хайро Э. Маркесу Д., за то, что он вдохновил нас следовать линии Пентестинга, за его страсть к тому, что он делает через обучение и вклад, сделанный через его предмет.
Аналогично, людям, которые были заинтересованы в этом расследовании, таким как инженер Фабиан Бланко за их советы и помощь, которые позволили нам завершить наше расследование.
VII. БИБЛИОГРАФИЧЕСКИЕ ССЫЛКИ
Веб-страница:
- Фернандо Кэндл (2017). Руководство по тестированию V.4 см. На испанском языке. Восстановлено из https: // www. OWASP V.4.org/index.php/Over_ OWASP V.4 ISECOM (2.017). Руководство по методологии тестирования безопасности с открытым исходным кодом OSSTMM. Восстановлено из: http://www.isecom.org/home.html и http://www.isecom.org/mirror/OSSTMM.3.pdf OS (2.013). Хотите быть спрятанным в Интернете? Восстановлено с http://anonym-url.com/index.html. Ограничения проникновения. (2016). Зачем ручное тестирование? Почему важно тестирование на проникновение? Восстановлено по http://www.pen-tests.com/tag/penetration-testing Тест на проникновение (III). (2007). Информатик рядом со злом. Последнее обновление (2.015). Восстановлено: http://www.elladodelmal.com/2015/03/test-de-intrusin-iii-de-vi.html Сбор информации. (2,011). Сообщество DragonJar. Восстановлено из: https: // Issue.com / dragonjar / docs / information_gathering__gu_a_de_pentesting Национальный открытый и дистанционный университет. Инструменты для тестирования и оценки. (2015). Восстановлено: http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_30_herr amientas_para_pruebas_y_evaluacin.html
Статьи интернет-журнала:
- Порталфолио Журнал. (2014). Портфолио Бизнес Секция. Богота, Колумбия. Портфель. Восстановлено: http://www.portafolio.co/negocios/empresas/colombia-principal-fuenteciberataques-latinoamerica-50768). Глава из книги Тори Карлос (2008). «Методы вторжения в системы, методологии проверки безопасности и реальные примеры. В мастроянни (ред.). Внедрение кода SQL (стр. 164-172). Росарио, Аргентина. Ким Питер (2015). The Hacker Playbook 2 Практическое руководство по тестированию на проникновение в Северный Чарльстон. На планете MHID (ред.). Межсайтовый скриптинг и межсайтовый запрос (стр. 149-155). Видео о Южной Каролине: http://www.youtube.com/watch?v=sQe7d_2WG30
