OWASP WEB SECURITY TESTING - ПОЛІПШЕННЯ ЗАХИЩЕНОСТІ WEB ЗАСТОСУНКІВ
09.12.2022 19:53
[1. Information systems and technologies]
Author: Гречмак Дмитро Вікторович, студент, Харківський національний університет радіоелектроніки, м Харків
Open Web Application Security Project (OWASP) - одна з найвідоміших організацій, метою якої є покращення захищеності додатків.
WSTG фокусується на етапі розгортання та, зокрема, тестуванні на проникнення. У різних сценаріях для пошуку вразливостей пропонуються різні методи тестування (т.зв. «білого», «сірого» та «чорного ящика»), проте червоною ниткою проходить думка про необхідність збалансованого підходу, що поєднує все перераховане, тому що кожен метод має свою сферу застосування, переваги та недоліки.
WSTG охоплює такі області тестування:
● Збір інформації: отримання інформації про web-сервер, додаток та його архітектуру.
● Тестування керування конфігураціями та розгортанням: визначення конфігурації мережі та програм, що використовуються HTTP-методи, а також відносно нові сценарії, такі як захоплення піддомену та хмарні сховища.
● Тестування управління ідентифікацією: визначення ролей (RBAC), реєстрацію користувачів та інвентаризацію облікових записів.
● Тестування аутентифікації: виявлення облікових даних за промовчанням, блокування користувача, парольна політика, МФА та ін.
● Тестування контролю вхідних даних: XSS-атаки, різні типи ін'єкцій, включаючи SQL (з урахуванням специфіки СУБД), XML, SSTI, LFI/RFI, SSRF та інших.
● Тестування криптографії: TLS та шифрування.
● Тестування бізнес-логіки: пошук порушень у бізнес-логіці.
● Тестування API: GraphQL.
WSTG являє собою структуроване джерело інформації у форматі wiki, призначене для того, щоб знизити ймовірність вразливостей у коді та забезпечити кіберстійкість програми після розгортання. Усунення дефектів на ранніх стадіях є проблемою, з якою стикаються всі розробники. На шляху до створення захищених програм з'явився цілий ряд технологій автоматизації тестування. Використання інструментів статичного аналізу коду (SAST) дозволяє виявляти вразливості у вихідному коді програм (white box). Динамічне тестування додатків (DAST) забезпечує погляд на запущену програму «зовні» (black box) до її виведення в експлуатацію. Інтерактивне тестування (IAST) як симбіоз SAST та DAST, застосовується для аналізу дефектів у працюючих додатках у режимі реального часу за допомогою вбудованих у додаток сенсорів (агентів), та проводить автотести у середовищі розробки.
Література
1. V Tkachov Cellular Technology Based Overlay Networks for the Secure Control of Intelligent Mobile Objects: Models and Numerical Study/ V Tkachov, A Kovalenko, V Kharchenko, M Hunko // ICTERI 2021: Information and Communication Technologies in Education, Research, and Industrial Applications. – Kherson, Ukraine, October 2, 2021. – Pp. 42-63.
2. V Tkachov Cellular Technology Based Overlay Networks for the Secure Control of Intelligent Mobile Objects/ V Tkachov, A Kovalenko, V Kharchenko, M Hunko // ICTERI 2021: Information and Communication Technologies in Education, Research, and Industrial Applications. – Kherson, Ukraine, October 2, 2021. – Pp. 480-490.
3. M Hunko. Application Architecture For Obtaining Data From Scientometric Databases / M Hunko, V Tkachov, O Liashenko, J Rabčan // 2022 IEEE 3rd KhPI Week on Advanced Technology (KhPIWeek). – Kharkiv, 2022.
4. Tkachov V. Principles of Constructing an Overlay Network Based on Cellular Communication Systems for Secure Control of Intelligent Mobile Objects / Vitalii Tkachov, Andriy Kovalenko, Mykhailo Hunko and Kateryna Hvozdetska // Информационные технологии и безопасность. Материалы XIX Международной научно-практической конференции ИТБ-2020. – К.: ООО "Инжиниринг", 2020. – С. 51-55.
5. Hunko M. A. The software tool for identifying the cellular network status of a mobile device under the Android operating system / M. A. Hunko, K. A. Voropaeva // Радіоелектроніка та молодь у ХХІ столітті : матеріали 25-го Міжнародн. молодіжн. форуму, 20-22 квітня 2021 р. – Харків : ХНУРЕ, 2021. – Т. 5, секція 4. – С. 102-103.