• { it статьи }

Самостоятельное тестирование веб-приложения на уязвимость

Основными причинами уязвимости или некорректной работы любого приложения являются неправильно написанный разработчиками программный код.

Причинами появления таких приложений могут быть множество причин:

1. Невнимательность программистов.
2. Спешка в написании кода, (вытекает из пункта 1).
3. Непрофессионализм или просто слабая квалификация.
4. Ну и конечно, актуальное в последнее время, создание vulnerable приложений для обучения специалистов в сфере информационной безопасности.

Такие приложения, как правило, не используют для публичных проектов. Хотя этот пункт (4) можно было и не учитывать, но все же...

Итак, после написания нашего веб-приложения и частичного тестирования на локальной машине, мы переносим его на хостинг, для публикации в этом замечательном мире "всемирной паутины".

Но как быть, если мы по случайности попали в один из вышеуказанных пунктов 1-3?..

Или нас миновал этот список и мы не попали в него, а вот администратор нашего с Вами хостинга, сам того не ведая, настроил сервер так, что даже "сверх защищенное" приложение можно будет скомпрометировать из-за дыры в настройках этого самого сервера)))

Но что делать чтобы быть уверенным в безопасности нашего сайта?

Ну естественно, нам скажут прожженные специалисты из мира it, что мол, нет неуязвимых приложений! И тут нам придется с ними согласиться - ибо так и есть!
Защититься от хакера у нас может выйти лишь при круглосуточном мониторинге нашего ресурса, да и то не всегда!

Но как же быть, спросите Вы?

Есть пара простых действий для защиты от таких неприятных ситуаций:

1. Резервное копирование всех данных на сменный носитель или в место отличное от нашего сервера, а не в одну из директорий сервера, и уж тем более директорию приложения с названием backup.
2. Регулярное обновление, если Вы арендуете выделенный сервер, если же обычный хостинг, за обновлением должен следить ваш хостинг-провайдер.
3. И конечно же, самостоятельное тестирование приложения на уязвимости, желательно на начальном этапе. То есть когда Вы только перенесли приложение, а не когда у Вас уже 1000 пользователей в день, так как при тестировании в некоторых случаях могут возникнуть проблемы с работой Вашего ресурса!

Какие инструменты бесплатные (или ознакомительные версии) можно использовать для тестирования безопасности приложения?

Я представляю Вам 3 одних из лучших инструмента пентестинга, с возможностью тестирования веб-приложений:

1. Nessus
2. OWASP ZAP
3. Metasploit (данный инструмент является многофункциональным и применяется для тестирования далеко не одних только веб-приложений)

Все эти программы вы можете скачать для ознакомления или личного пользования (зависит от выбранной Вами версии) совершенно бесплатно и установить их на любую операционную систему, как обычную программу без всяких сложностей.

Краткие инструкции и ссылки для скачивания и установки данных инструментов.

Nessus:

Переходим по ссылке выбираем версию "Home", нажимаем "Download", выбираем версию операционной системы, принимаем пользовательское соглашение, запускаем установщик, регистрируемся, ключ активации придет на указанный Вами e-mail.
У программы интуитивно понятный интерфейс.

OWASP ZAP:

Скачиваем, запускаем 
Данная программа русифицирована и так же имеет интуитивно понятный интерфейс, может понадобиться установка javaruntime.

Metasploit:

Страница загрузки.
Данный инструмент заслуживает отдельной статьи и ни одной.
Инструмент платный и в бесплатной версии "Community Edition " нет возможности тестирования веб-приложений, но можно попросить ознакомительную "Pro" версию на 2 недели.
Единственный критерием для получения ключа является уникальный адрес электронной почты, т.е. такой адрес и домен, с которого еще не было запроса на ознакомительную версию.
Это значит, что Вам не пришлют лицензию на публичный сервис электронной почты такой как mail.ru gmail.com и т.д..

Не  стоит одновременно запускать все тесты веб-приложения,

дабы избежать отказа от обслуживания нашего сайта.

На этом рассмотрение некоторых из инструментов для бесплатного тестирования безопасности веб-приложения закончен.

Удачных и "неуязвимых" Вам проектов!

КОММЕНТАРИИ

Михаил 3 июня 2015 г. 18:59:57 / Ответить

Стоит тестировать обязательно. Хотя бы от Script kiddie, защититься)))

Elina 2 июня 2015 г. 22:33:43 / Ответить

Спасибо! Все получилось, вот только на 3. metasploit так и не нашла подходящую почту для ознакомительной версии((( А так ошибки нашла некоторые, ссылку на сайт не буду публиковать)))

admin 2 июня 2015 г. 22:36:15 / Ответить

Всегда пожалуйста! :)

Комментировать

Рубрики