Verkkosovellukset ovat ohjelmia, joiden avulla käyttäjät voivat olla vuorovaikutuksessa verkkopalvelinten kanssa. Ne suoritetaan verkkoselaimissa asiakas- ja palvelinpuolen komentosarjojen avulla.
Verkkosovellusarkkitehtuuri koostuu:
Asiakas- / esityskerros koostuu laitteista, joilla sovellus toimii. Tällaisia laitteita ovat kannettavat tietokoneet, tabletit, älypuhelimet jne.
Liikelogiikkakerroksella on kaksi kerrosta:
Web-palvelimen logiikkakerros, joka koostuu komponenteista, jotka käsittelevät pyyntöjä ja vastauksia, sekä koodauksen, joka lukee ja palauttaa tietoja selaimelle
Liikelogiikkakerros, joka sisältää sovellustiedot
Tietokantakerros koostuu B2B-kerroksesta ja tietokantapalvelimesta, johon organisaation tiedot on tallennettu.
OWASP on avoin yhteisö, jonka tehtävänä on antaa organisaatioille mahdollisuus suunnitella, kehittää, hankkia, käyttää ja ylläpitää luotettavia sovelluksia.
OWASP Top 10 -projekti tuottaa asiakirjan, joka kuvaa sovelluksen kymmenen parasta turvallisuusuhkaa.
Viimeisimmässä asiakirjassa luetellaan seuraavat 10 suosituinta turvallisuusuhkaa:
Injektiohyökkäys on hyökkäys, jossa hyökkääjä ruiskuttaa haitallista tietoa komentoihin ja kyselyihin, jotka sitten suoritetaan sovelluksessa.
Tämä hyökkäys kohdistuu sovelluksen syöttökenttiin tai alkupisteisiin ja antaa hyökkääjille mahdollisuuden poimia arkaluontoisia tietoja.
Yleisimmin käytetyt injektiohyökkäykset ovat:
Rikkinäinen todennus viittaa todennuksen ja istunnonhallinnan uhkiin ja haavoittuvuuksiin.
Hyökkääjät hyödyntävät näitä haavoittuvuuksia matkiakseen kohteitaan.
Joitakin nykyisiä haavoittuvuuksia ovat:
Arkaluontoisia tietojen altistumisuhkia esiintyy sovelluksissa, jotka käyttävät heikkoa salauskoodia tietojen salaamiseen ja tallentamiseen.
Tämän haavoittuvuuden avulla hyökkääjät voivat helposti murtaa salauksen ja varastaa tiedot.
XML External Entity -hyökkäys on hyökkäys, jossa hyökkääjä hyödyntää huonosti määritettyä XML-jäsennintä ja saa sovelluksen jäsentämään epäluotettavasta lähteestä tulevaa XML-syötettä.
Rikkinäinen kulunvalvonta tarkoittaa pääsynvalvonnassa esiintyviä uhkia ja haavoittuvuuksia. Hyökkääjät hyödyntävät näitä haavoittuvuuksia välttääkseen todennuksen ja hankkiakseen järjestelmänvalvojan oikeudet.
Turvallisuusvirheiden virheellisyys viittaa haavoittuvuuksiin sovelluksissa, joissa on huonosti määritetty sovelluspino.
Joitakin ongelmia, jotka aiheuttavat tietoturva-asetusten virheellisiä asetuksia, ovat:
Sivustojen välinen komentosarjahyökkäys on hyökkäys, jossa hyökkääjä ruiskuttaa komentosarjoja verkkosivustoille, jotka suoritetaan kohteen järjestelmässä.
Epävarmalla deserialisoinnilla tarkoitetaan haavoittuvuutta, jota hyökkääjät hyödyntävät ruiskuttamalla haitallista koodia sarjoitettuihin tietoihin, jotka sitten lähetetään kohteeseen.
Epävarman deserialisaatio-haavoittuvuuden vuoksi haitalliset sarjoitetut tiedot deserialisoidaan ilman haitallista koodia, mikä antaa hyökkääjälle luvan käyttää järjestelmää luvattomasti.
Tunnettujen haavoittuvuuksien omaavien komponenttien käyttö antaa hyökkääjille mahdollisuuden hyödyntää niitä ja suorittaa hyökkäyksiä.
Riittämätön kirjaaminen ja valvonta tapahtuu, kun sovellus ei kirjaa haitallisia tapahtumia ja toimintoja. Tämä aiheuttaa vaikeuksia havaita järjestelmään kohdistuvia hyökkäyksiä.
Verkkosovellusten hakkerointimenetelmä tarjoaa hyökkääjille vaiheet, joita on noudatettava onnistuneen hyökkäyksen suorittamiseksi.
Nämä vaiheet ovat:
Verkkoinfrastruktuurin jalanjälkien ottaminen auttaa hyökkääjää keräämään tietoa kohde-verkkoinfrastruktuurista ja tunnistamaan haavoittuvuudet, joita voidaan hyödyntää.
Tässä prosessissa hyökkääjä suorittaa:
Jalanjälkivaiheessa kerätyt tiedot antavat hakkereille mahdollisuuden analysoida niitä, löytää haavoittuvuuksia hyödyntää ja käyttää erilaisia tekniikoita hyökkäysten käynnistämiseen palvelimelle.
Hyökkääjät analysoivat kohdesovelluksen tunnistaakseen sen haavoittuvuudet ja hyödyntääkseen niitä.
Hakkeroidakseen sovelluksen hyökkääjien on:
Hyökkääjät yrittävät ohittaa asiakaspuolen hallinnan käyttäjän panoksista ja vuorovaikutuksesta.
Ohittaakseen asiakaspuolen ohjaimet hyökkääjät yrittävät:
Hyökkääjät yrittävät hyödyntää todennusmekanismeissa olevia haavoittuvuuksia.
Hyökkääjät voivat hyödyntää tällaisia haavoittuvuuksia:
Valtuutushyökkäys on hyökkäys, jossa hyökkääjä käyttää sovellusta laillisen tilin kautta, jolla on rajoitetut käyttöoikeudet, ja käyttää sitten kyseistä tiliä oikeuksien laajentamiseen.
Suorittaa valtuutushyökkäyksen hyökkääjä käyttää seuraavia lähteitä:
Hyökkääjät analysoivat kohdesivuston yrittäessään oppia yksityiskohdista toteutetusta kulunvalvonnasta.
Tämän prosessin aikana hyökkääjät yrittävät oppia siitä, kenellä on pääsy mihin tietojoukoihin, kenellä käyttöoikeustaso ja kuinka oikeuksia voidaan laajentaa.
Hyökkääjät käyttävät todentamisen ja istuntojen hallinnan haavoittuvuuksia matkiakseen kohteiksi.
Kelvollisen istuntotunnuksen luominen koostuu kahdesta vaiheesta:
Voimassa olevan tunnuksen avulla hyökkääjät voivat suorittaa hyökkäyksiä, kuten MITM, istunnon kaappaus ja istunnon uusinta.
Hyökkääjät hyödyntävät validoimattomia lomakesyöttöjä injektoidakseen haitallisia kyselyitä ja komentoja.
Huono koodaustaito voi tehdä sovelluksesta haavoittuvan sen logiikkavirheiden vuoksi. Jos hyökkääjä onnistuu tunnistamaan tällaiset puutteet, he pystyvät hyödyntämään niitä ja käynnistämään hyökkäyksen.
Hyökkääjät hyökkäävät tietokantayhteyteen saadakseen hallinnan tietokantaan ja pääsemään siten arkaluontoisiin tietoihin.
Hyökkääjät kohdistavat verkkosovellukseen integroidut verkkopalvelut etsimään ja hyödyntämään sovelluksen liiketoimintalogiikan heikkouksia.
Sitten he käyttävät erilaisia tekniikoita hyökätä sovellukseen.