Blog - Supermicro.pl

Blog tematyczny poświęcony nowościom technologicznym od Supermicro

Opublikowano dnia 17-10-2019 o godzinie 12:27:54

Crashtest Security Suite

Strony internetowe są bramą do biznesu w świecie online - i jednym z najpopularniejszych celów hakerów. Im bardziej interaktywna i dynamiczna jest strona internetowa, tym więcej potencjalnych słabych punktów. Śledzenie rzeczy jako administrator nie jest łatwe. Crashtest Security z Monachium oferuje skaner podatności na zagrożenia online, za pomocą którego firmy mogą sprawdzać swoje witryny pod lupą. Administrator IT wypróbował potężne narzędzie. Od dziesięcioleci przemysł motoryzacyjny stosuje testy zderzeniowe w celu zbadania swoich nowo opracowanych pojazdów pod kątem ich stabilności i bezpieczeństwa. To samo jest możliwe w IT, ponieważ administratorzy atakują swoje systemy jako test. Stają więc przed hakerami, którzy wykorzystują wcześniej niewykryte słabości użytych produktów lub ich konfiguracji. Strony internetowe są szczególnie widoczne, ponieważ od samego początku są swobodnie dostępne przez Internet i z czasem stają się coraz bardziej dynamiczne. Dlatego firmy powinny regularnie sprawdzać, czy na ich stronach nie ma luk w zabezpieczeniach, aby atakujący nie mieli żadnych punktów wejścia. Dzięki Crashtest Security Suite niemiecka firma Crashtest Security oferuje łatwą w obsłudze usługę online, która właśnie to robi. Administratorzy nie muszą więc zajmować się uciążliwymi lub kosztownymi aplikacjami, ale mogą po prostu zajrzeć na swoją stronę internetową za pomocą przeglądarki. Jednym z punktów orientacyjnych jest 10 najważniejszych luk w zabezpieczeniach „Open Web Application Security Project”, w skrócie OWASP.

Łatwy dostęp do deski rozdzielczej

Ale teraz przejdźmy do pakietu bezpieczeństwa. Można to osiągnąć pod adresem URL „https://www.crashtest.cloud”. Gdy użytkownicy logują się po raz pierwszy, widzą pusty pulpit nawigacyjny i mogą tam dodać swój pierwszy projekt - stronę internetową lub interfejs (REST API). Nawiasem mówiąc, deska rozdzielcza była w języku angielskim, nie znaleźliśmy sposobu na zmianę języka. Aby uzyskać znaczące wyniki podczas skanowania, dostawca dostarczył nam stronę demonstracyjną, którą mogliśmy sprawdzić pod kątem luk. Jako strona internetowa Crashtest definiuje „tradycyjną aplikację napisaną w języku programowania po stronie serwera”. Aby zeskanować interfejs API REST, użytkownicy nadal potrzebują pliku Swagger 2.0, który opisuje interfejs API do skanowania. Nawiasem mówiąc, strony jednostronicowe powinny być również tworzone jako projekty API. Ograniczyliśmy się do testowania wielostronicowej witryny. Stworzenie pierwszego projektu było łatwe. Musieliśmy więc ustawić nazwę projektu, zastosowany protokół (HTTP / HTTPS) i adres URL. Opcjonalnie użytkownicy mogą dodać opisowy tekst. Następnie należy określić zakres projektu. Tutaj możesz wybrać pomiędzy „Szybkim skanowaniem” i „Pełnym skanowaniem”. Szybkie skanowanie jest szczególnie odpowiednie dla produktywnych stron internetowych i działa nieinwazyjnie. W końcu administrator nie chce strzelać do własnej strony. Tyle mówi się o szybkim skanowaniu: ogranicza się to w zasadzie do pobierania odcisków palców serwera WWW, badania słabych punktów SSL / TLS, takich jak Heartbleed i Beast, a nawet słabych algorytmów. W programie znajduje się również portcancan. Pełne skanowanie, z którego użytkownicy powinni korzystać tylko w systemach testowych, idzie w parze. Na przykład wysyła wiele formularzy do zalania bazy danych lub aktywnie próbuje ujawnić serwer SQL i jego wrażliwe dane. Pełne skanowanie wykonuje testy szybkiego skanowania i próbuje dodatkowo prowadzić serwer za pomocą zastrzyków SQL, skryptów między witrynami, a nawet fuzzingu.

Szczegóły projektu i automatyzacja

Jeśli projekt został utworzony, można zdefiniować dalsze ustawienia. W ten sposób można określić dla „robota”, czy te pola wprowadzania powinny zajmować tylko raz pod lupą, nawet jeśli występują one kilka razy na stronie internetowej lub na podstronach. Jeśli te same pola wejściowe są zawsze przetwarzane w ten sam sposób dla wyszukiwania, pojedyncze badanie jest wystarczające. Jeśli jednak przetwarzanie różni się dla tego samego pola wejściowego na różnych podstronach, należy je przeanalizować indywidualnie. Użytkownicy mogą również korzystać z tak zwanego „ograniczania”, aby określić liczbę żądań na sekundę wysyłanych do serwera. Jeśli administratorzy nie chcą przeprowadzić ataku na blackboksa, ale należy założyć, że hakerzy mają już dostęp do strony internetowej, można je również zdeponować w celu przeprowadzenia odpowiedniej procedury za pomocą testu zderzeniowego. Możliwe jest uwierzytelnianie podstawowe HTTP, uwierzytelnianie parametrów za pomocą adresu URL lub plików cookie, a także logowanie do aplikacji za pomocą adresu URL, nazwy użytkownika i hasła. Mówiąc o logowaniu: można to również zabezpieczyć Crashtest Security Suite na żądanie przez uwierzytelnianie 2-czynnikowe, dzięki czemu użytkownicy mogą korzystać z Google Authenticator lub podobnej aplikacji TOTP. Ponadto administrator może użyć haczyków internetowych, aby zainicjować skanowanie, wywołując podany tam adres URL bez konieczności logowania się do pulpitu nawigacyjnego. Tutaj możliwa jest bardziej rozbudowana i elastyczna automatyzacja, na przykład za pomocą skryptów.

Szczegółowe skany i raporty

Po stworzeniu naszego projektu przeszliśmy teraz do skanowania na desce rozdzielczej. Jak wspomniano, dostawca dostarczył nam stronę testową, którą możemy wykorzystać w celu wykrycia luk w zabezpieczeniach poprzez pełne skanowanie. Badanie zostało zainicjowane przez mały symbol w przeglądzie projektu. Zgodnie z oczekiwaniami badanie zajęło trochę czasu - łącznie godzinę i pięćdziesiąt minut. W końcu po zakończeniu przeglądu otrzymaliśmy wiadomość e-mail z podsumowaniem głównych wyników. Szczegółowa lista wyników na desce rozdzielczej była również imponująca. Tutaj producent naprawdę stworzył niejednolitą stronę demonstracyjną. Znalezienia są sortowane według ważności CVSS, w naszym przykładzie 9,8 na 10 oznaczało najwyższy wynik. Kliknięcie wyników powoduje wyświetlenie szczegółów i, co jest najbardziej przydatne, linku do strony informacyjnej na temat tego, jak wypełnić lukę. Tak więc użytkownik nie kończy swoich skanów w deszczu na końcu. Oczywiście wyniki można również wyeksportować jako plik XML JUnit i plik PDF, które sprawdzały się w naszym teście. Jednak to, co zaoferowano nam podczas otwierania pliku PDF, zrobiło na nas duże wrażenie. Spodziewaliśmy się uzyskać pulpit nawigacyjny w formacie PDF. Ale daleko od tego. Zamiast tego otrzymaliśmy kompleksowy, profesjonalnie sformatowany raport zawierający treść na 50 stronach z naszymi (demo) podatnościami oraz ich znaczeniem i tłem dla protokołów, których dotyczy problem. Nawet na liście kontrolnej programiści pomyśleli, że osoba odpowiedzialna za IT może zaznaczyć, które ze zgłoszonych luk zostały zauważone, a które pomyślnie usunięte. Dzięki tym i szczegółowym informacjom raport stanowi solidne podstawy do dalszej pracy zespołu ds. Bezpieczeństwa.

Wniosek

Crashtest Security Suite zapewnia łatwy w użyciu interfejs sieciowy do okresowego skanowania stron internetowych i interfejsów REST API. Monitoruje kierowników działów IT pod kątem stanu bezpieczeństwa ich obecności w Internecie. Na szczególną uwagę zasługuje intuicyjny pulpit nawigacyjny jako centralny punkt kontaktu, którego można używać w sposób oczywisty. Własne projekty są szybko tworzone i konfigurowane. Niezależnie od tego, czy poziom szczegółowości naprawdę spełnia twoje wymagania, każdy administrator musi sam zdecydować o swoich wymaganiach. Jednak raport PDF był bardzo wyczerpujący i pomocny. Pełny skan był bardzo ostrożny i zwrócił wiele wyników w naszym teście. Oto kilka innych ustawień dla profesjonalistów, takich jak pożądane wyłączenie niektórych testów. W międzyczasie szczególnie spodobały nam się elastyczne możliwości automatyzacji testów, a także dalsze wskazówki dotyczące znalezionych słabych punktów. Podsumowując, Crashtest Security Suite jest bardzo dobrze przemyślany, co powinno być oczekiwaniem na cenę.