通过该项目,进行了基于OWASP V.4方法的渗透测试设计,以评估Orfeo应用程序(文档管理系统)的安全性。
该项目是根据公认标准中定义的准则开发的,例如国际标准ISO 27002,国家网络安全政策准则和2016年网络防御CONPES 3854。
一旦确定了适用的监管框架,就对新时代支持小组中定义的程序和方法进行了当前诊断。分析参考信息以使用“灰箱”策略(开发设计中使用的测试类型)准备低渗透测试。最后,根据收集到的信息,在Pentest的文档编制阶段准备了两个最终报告,即执行报告和技术报告,这些报告将交付给新时代支持小组的管理人员。
术语索引:威胁,安全审核,网络安全,灰箱,渗透测试,漏洞。
介绍
在最近几年中,观察到组织的信息系统的Web应用程序中的安全性越来越受到恶意软件或计算机性质的攻击的危害,从而增加了管理错误和信息管理,例如例如:准备不充分的配置,人为错误,低效的安全策略以及攻击者可以利用以破坏信息系统的其他漏洞。攻击者可以是个人,一群黑客或一个国家。其最终目标是改变业务运营,禁用应用程序,服务器和网络之间的暂时或永久通信。
为了解决这个问题,组织必须定期进行渗透测试,众所周知,这种审计的成本太高,因为建议至少每6个月进行一次。因此,建议远程信息处理办公室-新时代支持小组协调办公室设计和开发安全渗透测试,该测试将由本组织的安全领域的成员进行。这些渗透测试是旨在确保Orfeo文档管理应用程序正常运行的基本特征之一,该应用程序管理New Age Support Group的所有人员的信息,并与另一个人力资源应用程序互连,因此,有必要获得组织的内部支持以保护业务的信息和运营,或者在组织出现以下任何事件时:
- 安全系统发现新威胁,添加了新的网络基础结构,更新了系统或安装了新软件。 D)配置了新的程序/策略最终用户。
因此,本项目专门针对为新时代支持小组准备的Pentesting设计。该办公室每天有150个工作站和大约500个用户连接到Orfeo。由于其作为机构的地位,该信息被认为是该国最敏感的信息之一,因此,必须保证该文档不会被第三方访问,因此有必要在网络安全级别上了解其当前状态,以便了解当前管理此主题的一部分,以指导他们了解之前必须考虑的场景,执行渗透测试所必须具备的最低要求以及其他机制应考虑的哪些方面(配置和过程的审查,审核应用,等)交付的报告对IT员工非常有用。
该项目是基于OWASP V.4方法论而开发的,该方法论分为四个阶段,例如:
- 信息收集扫描开发文档。
图2.-渗透测试的详细说明阶段
最后,根据调查结果,在Pentest文档阶段准备了两个最终报告,即执行报告和技术报告,这些报告将交付给新时代支持小组的管理人员。
二,方法论
Pentesting设计中使用的方法是基于定性研究和归纳性初始方法,提出了灵活的设计,并从头到尾发现了问题。
它包含一个整体的视角来研究Pentest项目研究的要素。基于访谈,在直接观察中,在分析提供的每个文档时。因此,它按阶段进行了分类,如图2所示。
图3.方法论中实现的阶段
A)阶段1:信息类型
从与Why有关的基本信息开始,以交错方式搜索信息。获得此信息后,我们将继续研究“什么和如何”作为搜索策略。
B)第二阶段:信息来源
为了达到这一阶段,需要考虑两个信息来源以获得可靠的结果。
- 人口:直接或间接地考虑了与Web应用程序有关的参与者,即与之交互的人以及与保护它免受可能的攻击的人。显示:为了确定人口要素,实施了渗透测试的第一阶段,该阶段包括收集信息并对干预Web应用程序的用户进行描述性分析,这些信息被作为Telematics Office的开发人员的个人参考。应用程序,学徒,备份管理员和名义管理员。因为他们是拥有有关应用程序体系结构的相关信息,并对工具如何工作有透彻了解的人。这些人员提供了有关应用程序手册,策略,网络体系结构以及最新执行的审核的信息。
C)阶段3:信息搜索工具
- Web应用程序调查的一般调查:该调查结果的目的是决定性的,以便在Telematics Office中启动我们的调查过程,我们需要拥有使我们更接近应用程序的数据,我们认为这对用户很重要。第一个过滤器是由管理层负责协作,此人向我们提供了初始信息,并确定了进行Pentest的必要性,以帮助他们依赖。设计了一个基本而简洁的调查表,涉及的是一般方面和某些业务角度,答案选项为(是-否),并且列出的时间以月为单位。它包含10个问题,可在本文结尾处作为附件找到。信息收集调查
Web应用程序技术:
此问卷中要求的信息提供了针对Web应用程序的数据,例如可用性数据,配置数据,基础结构数据和安全性数据。用于收集信息的技术是通过详细的调查表进行的,并且是在涉及应用程序操作的主要参与者,开发人员,备份管理员和主要管理员上进行的。他们提供了最相关的信息,表明了他们对渗透测试的期望,以便应用攻击技术,从而控制在此安全审核的开发过程中发现的漏洞。使用此采访技术的目的是以指标为衡量初始漏洞和可能威胁的起点。这些调查的目的是基于信息基线,即应用程序当前的控件。答案选项是描述性文字,可以自由地公开描述答案。结果是启动渗透测试并支持为远程信息处理办公室和我们开展这项工作的重要性的关键因素。允许以开放的方式自由描述答案。结果是启动渗透测试并支持为远程信息处理办公室和我们开展这项工作的重要性的关键因素。允许以开放的方式自由描述答案。结果是启动渗透测试并支持为远程信息处理办公室和我们开展这项工作的重要性的关键因素。
- 直接观察:之所以选择这种技术是因为它的有效性,因为它是一种以直接,动态的方式描述使用情况的技术,在应用程序开发人员的情况下,观察到主要参与者与应用程序进行了交互,以便为问题提供更清晰的答案。他的概念很简短,他不得不依靠该工具来解释更多答案,例如,在角色分配测试中,他通过级联菜单解释了如何创建用户以及如何分配权限,应用程序管理和控制的层次结构。使用此技术进行数据收集的好处在于,数据是真实的,因为它是从主要来源之一获得的。该技术对于初始过程最有效,并且非常易于应用,因为它提供了足够的数据以及已确定的使用应用程序的行为。分析收集到的信息:在针对每种信息的搜索和描述策略均已完成并合并到Pentest设计中后,便可以使用常规方法,使用Excel模板进行评估,然后将响应列表化并以图形方式进行解释性分析。
图4.基于调查的Orfeo应用程序的安全性百分比。
对于公开问题调查,它由参与者的数量以及他们对申请的了解和理解(即,如果他们知道申请及其组成)来合并。每个数据组包含5个问题,从这5个问题中选择参与者不了解的应用程序。根据表4,我们确定主要参与者并不完全了解安全性方面的应用程序,对于该角色所具有的重要性而言,索引太低。同样,观察到备份管理员对开发人员的了解,这表明参与者1对应用程序有更多了解,因此其角色在备份管理员角色之下。坦白地说,从该信息可以推断出,如果参与者3退出其角色,则主要管理员缺乏对备份管理员的培训是不足的,并且可能带来可怕的后果。
表1.参与调查的人
三,结果
为了评估Orfeo Web应用程序(文档管理系统)的安全性,设计了新时代支持小组,该小组基于OWASP V.4方法论进行了渗透测试。
如下图5所示。
图5.渗透测试阶段的测试概述
通过执行Pentesting验证了此设计,该测试在执行以下测试时检测到多个漏洞。
- 信息收集测试搜索引擎识别角色定义测试弱或非强制用户策略测试身份验证测试网络/基础架构配置测试跨部门目录测试遗漏授权方案测试架构测试会话管理测试暴露的会话变量镜像的跨站点脚本测试Clickjacking测试SQL注入测试明文密码测试用户输入或登录测试信息泄漏测试
对于分析,所描述的测试使用了“扫描-漏洞检测”工具和手动分析测试。结果获得了下表的风险。
表2.按严重性和信任度进行的漏洞分析
如我们所见,在设计中定义的53个测试中进行了35个测试,它显示了Orfeo应用程序中的安全漏洞,很明显,Orfeo中有30%受到威胁,并且证实了实施提议的设计的必要性。
四,讨论
提出此研究的目的是设计针对Web应用程序的渗透测试,除了指导基于一种方法论的新时代支持小组及其网络安全团队进行这些测试之外,开发或获取的应用程序中的信息。该项目的结果表明,保护系统免受最大数量的可能威胁以及由负责制定这些安全措施并使之保持活动和更新的人员至关重要。
这些结果与以前的研究(例如由开放式Web应用程序安全性(OWASP)项目在前十大漏洞中进行的研究)一致,这些漏洞在生产中的Web应用程序中经常出现。但是,OWASP方法论推荐的许多测试不足以检测漏洞,因此请教其他作者和技术。由于计算机攻击每天都在发展,并且在支持这些应用程序的基础结构中已经存在控制措施。
如发现的每个发现所描述的,这些结果有几种可能的解释。
- 没有错误管理和用户访问的安全策略;没有用户管理管理的安全策略;没有应用程序部署图的文档;没有应用程序源代码的技术手册。除了由Orfeogpl提供的版本(已过时)之外,没有RFC文档来控制对应用程序所做的更改,信息安全方面的经验不足。支持应用程序(例如Web应用程序服务器)的基础架构的配置效率低下,无法验证与第三方签订合同的应用程序或信息系统。在开发安全的Web应用程序时缺乏安全策略。
鉴于样本量较小,在解释时应谨慎行事,因为仅分析了总设计测试的35%,并且还必须牢记,Orfeo是使用开放源代码应用程序进行测试的,开发代码为它在网络上发布,在其实施中会产生更大的漏洞。因此,必须采取更大的安全措施。归类为“高”的漏洞总数表明,在实施53个设计和建议的测试时可能还会更多。建议对这个主题进行进一步的研究,以解决Web应用程序开发中生命周期的各个阶段,因为许多这些发现都源于Web应用程序的设计和实现。
五,结论
总结本文,让我们牢记在信息安全的背景下对Web应用程序进行渗透测试的重要性,因为这些测试使组织可以了解其已实施的安全类型以及如果某些方面需要改进,那就受到限制。如果安全策略的针对性很强,则Web应用程序中开发生命周期中的差距将较小。
在该项目中,提出了一种基于OWASP V.4方法的Pentesting设计,以设计一个Pentesting来评估Orfeo Web应用程序(文档管理系统)的安全性。令人欣喜的是,通过探索性研究表明,Orfeo应用程序中存在漏洞,并且新时代支持小组远程信息处理办公室拥有的其他系统中可能也存在这些相同的威胁。
该报告中的发现至少受5个限制:首先,安全策略限制对某些系统资源的访问,即测试的样本量。建议不仅在生产环境中使用那些应用程序,而且还在开发和测试阶段中使用的Web应用程序的安全性都应采取措施。
最后,由于Orfeo是开源Web应用程序,因此建议任何希望实现其开源代码的实体对基础结构的编码和实现进行调整,以减轻其带来的安全风险。
锯。致谢
对于那些干预这项工作的方向的经理们(这使我们向前迈进了一步),在本专业课程中留下自己印记的老师们,特别是工程师Jairo E.MárquezD,鼓舞了我们遵循Pentesting路线,以他的热情他通过教学所做的事情以及通过他的学科所做的贡献。
同样,向对这项调查感兴趣的人们(例如Eng。FabiánBlanco)提供建议和帮助,以使我们能够完成我们的调查。
七。参考书目
网页:
- 费尔南多·蜡烛(2017)。测试指南V.4参见西班牙语版本。从https中恢复:// www。 OWASP V.4.org/index.php/Over_ OWASP V.4 ISECOM(2.017)。 OSSTMM开源安全性测试方法手册。从以下站点恢复:http://www.isecom.org/home.html和http://www.isecom.org/mirror/OSSTMM.3.pdf OS(2.013)。想要隐藏在互联网中?从http://anonym-url.com/index.html恢复。渗透测试的局限性。 (2016)。为什么要进行笔测试?为什么渗透测试很重要?从http://www.pen-tests.com/tag/penetration-testing入侵测试(III)中恢复。 (2007)。邪恶的计算机科学家。最近更新(2.015)。从以下站点恢复:http://www.elladodelmal.com/2015/03/test-de-intrusin-iii-de-vi.html收集信息。 (2,011)。 DragonJar社区。从以下网址恢复:https:// issuu。com / dragonjar / docs / information_gathering__gu_a_de_pentesting国家公开大学。测试和评估工具。 (2015)。从以下站点恢复:http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_30_herr amientas_para_pruebas_y_evaluacin.html
在线杂志文章:
- 投资组合杂志。(2014)。投资组合业务科。波哥大哥伦比亚。公文包。摘自:http://www.portafolio.co/negocios/empresas/colombia-principal-fuenteciberataques-latinoamerica-50768)。托里·卡洛斯(Tori Carlos)(2008)的一章。“系统中的入侵技术,安全检查方法和实际示例。在C Mastroianni(Ed。)。SQL代码注入(第164-172页)。阿根廷罗萨里奥。金·彼得(2015)。The Hacker Playbook 2渗透测试实用指南,北查尔斯顿。在MHID Planet(Ed。)。跨站点脚本和跨站点请求(pp.149-155)。南卡罗来纳州视频:http://www.youtube.com/watch?v=sQe7d_2WG30
