Lorsque la portée d'un test de pénétration application de sécurité, ou suggèrent donc que vous vous rappelez ce qui suit:
Le principal objectif de ces essais devraient sur l'application testée. Cela signifie que la vulnérabilité de l'environnement n'est pas soumis à l'essai, ni pour Internet par exemple face à un pare-feu, sauf dans leur relation à la demande. Par conséquent, il serait approprié pour le vendeur de confirmer que le pare-feu sont configurés correctement pour cette application et qu'aucune ports inutiles sont autorisées à traverser. Inversement, le vendeur doit être déconseillé pour tester votre pare-feu au-delà.
L'essai devrait inclure un examen sur papier de la conception architecturale, avant l'essai début. L'examen devrait valider l'emplacement physique des composants de réseau différents serveurs, et identifier les problèmes potentiels ou les failles de sécurité.
Il devrait être laissé au vendeur d'utiliser leur jugement quant aux tests sont particulièrement pertinents pour une application particulière. Il existe deux exceptions à cela.
* Si l'on peut voir que les vendeurs proposé le test n'est pas assez complet, le projet devrait insister sur l'extension du champ d'application à des domaines supplémentaires de tests.
* Si l'avis de projet, les critères proposés auraient un effet indésirable sur les infrastructures de production ou des applications. Dans ce cas, des mesures doivent être prises pour atteindre les mêmes tests via une autre forme. Par exemple, cela peut impliquer l'utilisation d'équipements de récupération des applications en cas de catastrophe.
Alors que ses difficile de prévoir précisément quels tests conviennent à n'importe quel ensemble générique d'applications, en principe, vous devriez considérer les points suivants le cas échéant:
* Mot de passe fissuration scan des fichiers de mot de passe sur les serveurs.
* Une boîte en rechercher les failles de sécurité.
* L'examen de l'application côté client pour obtenir des renseignements qui révèle l'information sur la façon dont les fonctions d'application qui pourraient être utilisés pour une attaque plus ciblée.
* Examen de code côté client et stockés localement des informations telles que les cookies et séance d'information. Cela devrait inclure des modifications à ces informations dans le but de:
- De contourner le contrôle d'authentification - établir les limites du recours serveur sur les champs de données client - test pour d'autres résultats inattendus et potentiellement accès aux informations confidentielles.
* Bounds vérification et de validation de demande des deux accidentelles et malveillantes d'entrée. L'essai devrait s'assurer que les demandes correctement répondre aux imprévus formats de données ou de tailles.
* Possibilité pour les dépassements de mémoire tampon.
* Examen de l'interaction d'application à application entre les ressources telles que le service Web et de données back-end se nourrit. Des tentatives sont faites pour accéder à des ressources d'application se faisant passer pour d'autres fonctions système ou des sources.
* L'examen de la circulation au niveau des applications en passant entre les systèmes hôtes différents mots de passe, paramètres CGI, et d'autres données qui pourraient être réutilisés dans le cadre d'une tentative d'exploitation.
* Conduite de l'utilisateur authentifié d'essai pour voir si elles peuvent abuser du système en tant que "client".
* Escalade permission tentative, par exemple, des composants d'application de référencement avec des autorisations côté serveur supérieur, ou l'exploitation des conditions de course afin d'identifier l'autorisation ou le contrôle d'authentification laxiste.
* La sensibilité de la demande à l'attaque replay et de l'homme dans les attaques du milieu.
* D'autres attaques orientées session, y compris une analyse des réponses du système à de telles données.
* La sensibilité de la demande de livraison des paquets spécialement conçus indépendamment de l'examen de la demande avant.
* Enquête sur la robustesse et la résilience des mécanismes d'authentification d'application.
* Un logiciel spécifique exploits fabricant reconnu
* Vulnérabilités Partage de contenu
* Présence de vulnérabilités processus de déploiement
* Présence de vulnérabilités processus d'activation
* Vulnérabilités processus de demande
* Fichier et les vulnérabilités permission de l'utilisateur
* Vulnérabilités connectivité de grappe
* Accumulation excessive et les faiblesses de configuration
* Application des correctifs de sécurité applicables, les correctifs et mises à jour
* Legacy faiblesses application de code de développement
* Faiblesses injection SQL
* Des vulnérabilités de script inter-
* Possibilité de fraude à l'application
* vulnérabilités de chiffrement et d'authentification
* Dégradation des faiblesses
* Vulnérabilités Redirections
* Les droits d'administration et de contrôle
* Vulnérabilités attaque Sniffer
Certaines applications peuvent avoir un certain nombre de composants identiques dans l'architecture, par exemple, une application web peut avoir permis à des serveurs Web 4 en parallèle pour des raisons de chargement. Dans ces cas, le projet doit veiller à ce que le vendeur met à l'essai toutes les instances de composants. Extension du serveur web par exemple encore, cela signifierait que chaque système d'exploitation serveurs web devraient être testés pour s'assurer que tout durcissement des processus entrepris a été réalisé sur chacun des serveurs.
Cela ne signifie pas que chaque instance du code de l'application réelle en cours d'exécution sur chaque serveur Web est soumis à tous les tests. En d'autres termes il devrait être suffisant pour effectuer des tests de validation des données, contre seulement 1 sur les serveurs
Il arrive plus souvent qu'on pourrait le croire, mais il ya eu de nombreux cas, des tests de pénétration de lancer des attaques contre les réseaux qui ne sont pas autorisés pour les essais. Par conséquent, le projet doit assurer le vendeur connaît les limites qu'ils travaillent moins. Il convient de se demander ce que le vendeur méthodes qu'ils utilisent pour limiter les dommages involontaires à votre réseau.
Enfin, le vendeur doit être rappelé par le projet que tous les renseignements recueillis doivent être traitées de façon confidentielle, et qu'ils doivent prendre les mesures appropriées pour s'assurer que toutes les données conservées par eux est sécurisé et détruits en toute sécurité lorsqu'il n'est plus nécessaire.
cet article est traduisé en francais
l'origine de cet article (en anglai): http://ezinearticles.com/?Effectively-Scoping-Application-Security-Penetration-Testing-and-Ethical-Hacking&id=2452661
mercredi 21 juillet 2010
0 commentaires
Enregistrer un commentaire