65.9K
CodeProject 正在变化。 阅读更多。
Home

解释漏洞评估结果:如何在 Web 应用程序安全测试中关注重要内容

Caleb Sima
starIconstarIconstarIconstarIcon
emptyStarIcon
starIcon

4.20/5 (2投票s)

2007 年 3 月 7 日

CPOL

6分钟阅读

viewsIcon

15505

对Web应用程序进行全面漏洞评估的结果初看可能范围很广。然而,此评估发现的许多Web应用程序安全漏洞可能对组织的具体情况并不重要。了解如何筛选这些发现。

本文由Kevin Beaver(CISSP)和Caleb Sima合著。

引言

与许多其他业务分析问题一样,在查看Web应用程序安全测试时,故事有三个方面:您的,漏洞评估的发现,以及真相。无论您使用的是商业还是开源扫描器,您无疑都会收集到大量信息并发现漏洞。问题是,其中许多Web应用程序安全漏洞并不像看起来那么严重。无论任何营销噱头或预设的安全策略和报告如何,您的组织的网络、业务需求和风险承受能力决定了在筛选漏洞评估结果时,真正重要的是什么。

Web应用程序安全测试工具非常精明,能够在几分钟内找出世界上最优秀的黑客需要数小时、数月甚至更长时间才能发现的漏洞。问题在于,您必须获取工具结果并确定在您的环境中实际重要的内容。我们见过经验不足的Web应用程序安全顾问、托管安全服务提供商和审计员运行漏洞评估扫描,然后将结果交给客户,声称他们有一堆需要修复的问题。同样,我们也见过网络管理员在看到他们的Web应用程序安全测试工具发现了十几个或更多的漏洞时完全吓坏了。他们认为天要塌下来了,立刻跑去管理层要求更多预算来购买更多技术来解决问题。

如果您希望人们认真对待您的Web应用程序安全测试(尤其是经理和开发人员),就不应该这样,也不必这样。您必须退后一步,从大局出发,才能真正理解漏洞评估的哪些结果在您组织的具体情况下是重要的。这可能意味着从不同的角度看待这些发现(例如,从防火墙内部而不是仅仅从外部),在登录状态下(或通过各种角色登录),或手动执行漏洞利用。

底线是,除非您的Web应用程序安全测试工具已经利用了漏洞并将结果轻松地呈现给您,否则您将需要深入研究漏洞评估的结果并验证问题是否确实存在。

以下是一些在测试各种Web应用程序时发现的真实世界Web应用程序安全漏洞示例。将它们标记为误报、疏忽、偏执或其他什么——底线是它们表面上看起来很严重,但最终却无关紧要。

  • 漏洞评估发现:发现SQL注入可能导致数据库访问。
    最终结果:后台进行了充分的用户输入验证,实际上无法提取任何数据。

  • 漏洞评估发现:登录页面上不存在SSL,允许会话ID和登录凭据以明文形式发送,这可能导致捕获、劫持等。
    最终结果:管理员尚未在服务器上加载数字证书。

  • 漏洞评估发现:Web服务器软件中存在缓冲区溢出漏洞,可被利用以在服务器上获取远程命令提示符。
    最终结果:启用了信任的防火墙和IDS规则,允许所有流量进入Web服务器。

  • 漏洞评估发现:发现了Microsoft FrontPage虚拟目录、FTP目录等,可能导致利用。
    最终结果:存在正确的目录权限,阻止了实际访问。

  • 漏洞评估发现:发现了带有*.old扩展名的备份文件,可能导致源代码泄露和利用。
    最终结果:这些文件是可执行文件、文档和主页文件,与应用程序几乎没有关系,也对其安全性没有影响。

  • 漏洞评估发现:安装了过时的Apache Web服务器版本,其中包含多个已知漏洞,可被利用并导致未经授权的系统访问。
    最终结果:系统上根本没有Apache。

  • 漏洞评估发现:在Google Hacking Database (GHDB) 中发现了泄露敏感信息的文件、链接和电子邮件地址。
    最终结果:这些文件、链接和电子邮件地址对于Web应用程序的正常运行是必需的。

  • 漏洞评估发现:Macromedia Dreamweaver远程数据库脚本可访问,可能导致攻击者执行任意SQL查询。
    最终结果:这些文件只有在以经理/管理员账户登录Web应用程序时才能访问,这是设计使然。

其中一些漏洞可能看起来无害,但任何脱离上下文看待它们的人都可能小题大做。这些类型的问题可能决定了一个相对安全的Web应用程序是安全可用,还是一个失败的Web应用程序安全审计,引发不必要的争议,导致在补救措施上仓促花费时间、精力和金钱。

在Web应用程序安全测试和修复方面,请关注您环境中的紧急和重要事项。也就是说,找出在您的具体情况下,攻击者在典型工作场景中可以利用的漏洞。现在到下周之间需要解决什么?什么可以等一个月左右?什么甚至不值得努力?底线是,关注上下文。我们并不是说要忽略漏洞评估中出现的其他问题。我们只是说,在考虑Web应用程序安全时,您可能面临更重要的问题,而不是担心可能永远不会被发现的随机漏洞,即使被发现,被利用并导致任何有价值后果的可能性也非常小。

无论您的Web应用程序安全有多牢固,总会有人在某个地方找到攻击应用程序的方法。这就是为什么您必须拥有分层的故障安全控制措施,例如防火墙、IPS、输入验证、坚固的身份验证要求、最低必要的访问控制、加固的Web服务器和底层操作系统、系统监控等等。当一个控制失败时,您还有其他半打措施来保护系统。

将漏洞评估结果置于透视中,而不是对扫描器发现的每个问题都大惊小怪,这将有助于将您的Web应用程序安全测试提升到新的水平。您不仅将向管理层表明您理解平衡强大的Web应用程序安全与现实的业务方面,而且,也许最重要的是,您将为自己、您的团队和您的开发人员减少工作量,以便每个人都可以专注于真正重要的事情。

历史

  • 2007年3月7日:首次发布

关于Caleb Sima

Caleb Sima是SPI Dynamics的联合创始人,这是一家Web应用程序安全产品公司。他目前担任SPI Labs(SPI Dynamics的研发安全团队)的首席技术官和总监。在联合创立SPI Dynamics之前,Caleb是Internet Security Systems精英X-Force研发团队的成员,并曾担任S1 Corporation的安全工程师。Caleb是Web应用程序安全测试方法的常客演讲者和媒体资源,并为《(IN)Secure Magazine》、《Baseline Magazine》撰稿,并被美联社报道。

关于Kevin Beaver

Kevin Beaver是亚特兰大Principle Logic, LLC的独立信息安全顾问、演讲者和专家证人。他在IT领域拥有超过19年的经验,专门从事围绕合规性和IT治理的信息安全评估。Kevin撰写/合著了六本关于信息安全的书籍,包括《Hacking For Dummies》和《Hacking Wireless Networks For Dummies》(Wiley),以及《The Practical Guide to HIPAA Privacy and Security Compliance》(Auerbach)。他还是《Security On Wheels》有声书系列的创始人。可以通过kbeaver ~at~ principlelogic.com联系Kevin。

© . All rights reserved.