Bezpečnost webové aplikace – penetrační test

Marně hledám penetrační test (ideálně online a zdarma), kterým bych nechal projet webovou aplikaci, zda je v pořádku zejména z hlediska zabezpečení autentizace - např. aplikaci ukázkově prolomila a/nebo rovnou doporučila, co je potřeba udělat.  Nesetkal se někdo s něčím podobným? Doporučte, prosím.

https://theses.cz/id/tj2mdi/STAG87541.pdf - zdarma ;) jinak spousta firem dělá penetrační testy webových aplikací, ale ne zdarma samozřejmě

asi nejlepší základ je využít owasp, např. v podobě https://www.zaproxy.org. Nikdy to ale nedělej na produkční aplikaci, vždy pro ty účely udělej neveřejnou instanci a tu podrob testům.Nelze ale snadno bez znalosti vyhodnotit výsledky. Pokročilejší nástroje jsou placené a to nemalou částkou, proto asi nemůžeš nic moc najít. Moc nepočítej s lidsky čitelným výstupem, spousty false positive i false negative zjištění jsou běžné, ty open source nástroje jsou zase někdy až příliš složité na pochopení a ovládání.Základní sken vypadá tedy tak, že skontrolujeme verze SW (a ověříme z veřejných CVE databází zranitelnosti), verze SSL/TLS (a to že je nasazeno na všech částech), skontrolujeme otevřené porty, spustíme základní owaspy a pak se pokračuje podle objednávky s pokročilejšími nástroji nebo se dělají custom věci podle typu testovaných aplikací.Bezpečnost totiž není o ANO - NE, ale o míře a riziku. Postupně odstraňuješ obecné nebezpečné části (např. aktualizace na poslední verze všech komponent) chování a doufáš, že tam už nic není schované. Je to stejné jako s úklidem chodníku v zimě, aby na něm nikdo neuklouzl. Neumíš udělat chodít neklouzavý, ale víš, že když odstraníš na spadané listy, shrneš sníh, zajistíš, odstraníš kaluže a zajistíš odtok vody, zmrzlý chodník posypeš, riziko, že někdo uklouzne výrazně snížíš.

Napsal czloviczek;1657373

Marně hledám penetrační test (ideálně online a zdarma), kterým bych nechal projet webovou aplikaci, zda je v pořádku zejména z hlediska zabezpečení autentizace - např. aplikaci ukázkově prolomila a/nebo rovnou doporučila, co je potřeba udělat. 

Nesetkal se někdo s něčím podobným?

Doporučte, prosím.

Pro začátek zkuste observatory.mozilla.org, kde se dozvíte, jak si váš web stojí z pohledu dodržení  bezpečnostních standardů, šifrování atd. a to nejen z pohledu webové aplikace, ale i serveru, na kterém je hostována. Je to dobrý výchozí bod ke zvýšení celkového zabezpečení. 

Na automatizované penetrační testy používám ZAP a některé nástroje z linuxové distribuce Kali (např. nikto).

Napsal Cuchulain;1657388

Na automatizované penetrační testy používám ZAP a některé nástroje z linuxové distribuce Kali (např. nikto).

btw, nikdy jsem nepochopil oblíbenost kali linuxu, nikto tady byl mnohem dříve než kali a je to samostatný nástroj, nainstaluješ ho skoro všude, je ve výchozích repositářích většiny distribucí. Kali neumí o moc více než debian samotný a vlastně nevím, proč bych ho měl použít místo debianu, akorát mi dělá problémy s vlastními cestami.Mám raději samostatné specializované nástroje, většinu testů potřebuje i podrobně logovat, pro potřeby klientů, tak i naše, stejně tak to často spouštíme z CI jobů, tam je kali vyloženě nevhodný, blbě se s ním automatizuje. Často potřebujeme opakovat průběh se shodným nastavením i po několika měsících, způsob jak jsou řešený deb balíčky je na tohle dost problematický.

Napsal TomášX;1657390

btw, nikdy jsem nepochopil oblíbenost kali linuxu, nikto tady byl mnohem dříve než kali a je to samostatný nástroj, nainstaluješ ho skoro všude, je ve výchozích repositářích většiny distribucí. Kali neumí o moc více než debian samotný a vlastně nevím, proč bych ho měl použít místo debianu, akorát mi dělá problémy s vlastními cestami.

Kali je fajn jako live distribuce. Pokud chci mít na penetrační testy samostatné prostředí, nemusím si ho vytvářet a instalovat ručně hromadu nástrojů, ale prostě stáhnu Kali a funguju.

díky, jsem si říkal jak si představuješ to spouštění, protože nainstalovat kali někde na serveru už je lehce složitější úloha proti instalaci daného balíčku na debianu. To asi může být dobrý na takový to zkoušení v lokální síti, to chápu, ale používat to pro webovou aplikaci, která mi běží na hostingu už taková zábava být nemusí a proto jsem nerozuměl proč jsi ho zmiňoval, hosting nebo ISP mě mohou často velice rychle zablokovat, řada těch nástrojů generuje provoz, který se nedá moc rozeznat od útoků, zmíněný zap nebo nikto patří mezi takové.To mě dochází, že jsem dostatečně nezůdoraznil, že nikto, ZAP a podobné nástroje by se neměli spouštět ze svého počítače přes veřejný internet na ostrý web, tím si člověk zadělává na problémy, že tě někdo po cestě identifikuje jako útočníka, velcí operátoři to tak dělají a umí velice rychle blokovat, jsou to pak zbytečné starosti a člověk pak tu aplikaci ani nemusí správně otestovat. Další důvod je, že při penetračních testech můžeš aplikaci opravdu zpenetrovat, pak hrozí, že zobrazíš důvěrné informace na webu pro všechny návštěvníky a může dojít k úniku, s GDPR a jeho pokutami to není sranda, stejně tak tím může otevřít dveře útočníkovi, který toho hned zneužije. Penetrační testy se musí provádět na oddělené síti proti neveřejné verzi aplikace, proti hostingu jen po domluvě s hostingem (řada z nich má také různé aplikační firewally a rádi blokují a posílají výhružné emaily). Běžné je spustit aplikaci na serveru, tam se připojit přes vpn a přes tohle spojení spouštět testy a skeny.Zmíněný observatory.mozilla.org je spíše takový očuchávač, o toho to moc nevadí, že běží přes internet, zatímco nikto nebo i zap mohou zkoušet různé typy útoků a to už může někdo vyhodnotit špatně.

Napsal TomášX;1657394

To mě dochází, že jsem dostatečně nezůdoraznil, že nikto, ZAP a podobné nástroje by se neměli spouštět ze svého počítače přes veřejný internet na ostrý web, tím si člověk zadělává na problémy, že tě někdo po cestě identifikuje jako útočníka, velcí operátoři to tak dělají a umí velice rychle blokovat, jsou to pak zbytečné starosti a člověk pak tu aplikaci ani nemusí správně otestovat.

To mi připomnělo, že nejen na internetu. Jednou jsem potřeboval na noťasu udělat u klienta (jeden nejmenovaný mobilní operátor) něco, co v předinstalovaných Windows nešlo, tak jsem si řekl, že v linuxu pohoda a nabootoval jsem z USB Kali. Na noťasu, který byl připojený i interní síti. To byl fofr, jak po mě z IT-sec šli :-)

Všichni tři naši velcí operátoři (a nejen oni) mají na interní síti IDS/IPS systémy, proxy brány a jinou bižutérii, tak nějak v těch implementacích mám prsty. To už muselo být asi před nějakou dobou, dnes se u žádného běžně nepřihlásíš z jiného OS do sítě (jako zaměstanec i jako externista), musíš být součástí domény, a to už je spousta let co to všichni zavedli. Na ad-hoc přístup mají captive portály (jeden třeba přes sms, další ti dávají lístečky na recepci), tam máš ale dost omezené porty, na které můžeš a jakýkoliv pokus o sql injection či skenování vede skoro k okamžitému bloku. Dokonce nám to někdy i omezuje běžnou práci, protože vývoj a security často jdou proti sobě.Provozovat firemní síť bez nějakých guard nástrojů dnes již nelze v nějaké větším měřítku. Hlavní cíl je aby se minimalizovalo šíření různých malwerů, aby se minimalizovalo riziko, že jeden napadený počítač to roznese dál a bude znásobovat útok a penetrační testy jsou formou útoku. Hlavní motivace kupodivu není bezpečnost, ale reputace, pro firmu je velký PR problém, když se ukáže, že někdo řádil v jejich síti a nemohou si takovou věc dovolit, zejména pokud taková firma spravuje data, peníze či ještě patří ke kritické infrastruktuře.Byly doby, kdy jsem si naivně sednul do kavárny a dělal penetrační testy pro klienty, často jsem při tom prostřelil i něco jiného co bylo po cestě. Dnes na tyhle aktivity máme opravdu izolované prostředí. Poměrně hojně se používá cloud, jde tam snadno zajistit oddělit síť a více prostředí, ale také pořád mám oblíbené fyzické servery, na kterých probíhají testy, výhoda je, že test může běžet opravdu hodně rychle, přeci jen je rozdíl jestli na owasp čekáme 4 hodiny nebo 10 min, u různých bruteforce útoků, permutací různých injection to běžně může běžet i dny a není problém vytížit 10GBE sítě, u cloudů se tohle dá dělat jen masivní paralizací a tam ta cena rostě příliš rychle nahoru.

Podle mě je nejsmysl představovat si, že dáte adresu webu do nějakého testeru a ten Vám odhalí zranitelnosti. Jinak by to dělal každý, aby našel zranitelnosti. Vzhledem k tomu kolik je zranitelných webů v ČR, tak to očividně nikdo nedělá. AI tak daleko nebude ještě dlouho a pokud něco takového chcete, tak musíte někomu zaplatit.