Разработка программного обеспечения сканера для выявления SQL-Injection и XSS
ВВЕДЕНИЕ
В настоящее время наблюдается широкое внедрение информационных технологий в различные отрасли экономики. Предприниматели, средний и крупный бизнес использует информационные ресурсы, в том числе веб-сайты для привлечения клиентов, хранения информации о товарах и услугах. Однако при хранении данных в сети Интернет возникает существенный минусы: сложность в обеспечение безопасности веб-приложений. Для повышения уровня безопасности необходимо тестировать сайты на web-уязвимости. При тестировании web-приложений следует отключать WAF или обходить его. Одним из методов обхода защиты является метод временных задержек. Однако тестировщики уделяют мало внимания такому методу.
Разработчики корпоративных информационных систем в редких случаях выполняют требования безопасности в разработке. Происходит это из-за нехватки опыта работы с информационными системами или из-за сосредоточенности разработчиков на других задачах, в следствии чего могут упустить какие-то моменты в разработке безопа
Оглавление
ВВЕДЕНИЕ7
1. ИССЛЕДОВАТЕЛЬСКИЙ РАЗДЕЛ9
1.1. Анализ и классификация существующих web-уязвимостей9
1.1.1.SQL-Injection9
1.1.2 XSS уязвимости11
1.1.3 Таблица сравнение SQL-Injection и XSS атак20
1.2.Анализ методов обнаружения уязвимостей20
1.2.1.Таблица сравнения методов”Белого ящика” и ”Черного ящика”.23
1.3. Методы обхода WAF24
1.3.1Таблица сравнения методов обхода WAF26
1.4. Обзор методов защиты от web-уязвимостей26
1.5. Анализ существующих web-сканеров27
1.5.1. Коммерческие сканеры27
1.5.2 Бесплатные сканеры28
1.5.3.Таблица сравнения сканеров33
Вывод36
2. Специальный раздел.37
2.1 Описание алгоритма работы программы.37
2.2. Описание алгоритма проверки на ошибки с помощью подстановки символов.45
2.3. Описание алгоритма проверки на ошибку с помощью задержки по времени.50
2.4. Описание алгоритма обхода защиты сайта.54
Вывод61
3. ТЕХНОЛОГИЧЕСКИЙ РАЗДЕЛ62
3.1 Реализация сканера на языке Python62
3.2. Описание программы66
3.3. Описание графического интерфейса программы69
3.4. Примеры работы программы71
Вывод73
4. ЭКОНОМИЧЕСКИЙ РАЗДЕЛ.74
4.1.Структура организации работы74
4.2 Составление сметы затрат на разработку75
4.3. Расчет себестоимости изделия78
4.4. Расчет экономической эффективности79
Вывод80
Заключение81
Список источников82
ПРИЛОЖЕНИЕ А84
Список источников
1 OWASP Top Ten [Электронный ресурс]. URL: https://owasp.org/www-project-top-ten/.2 SecuBat: A Web Vulnerability Scanner Stefan Kals, Engin Kirda, Chris- topher Kruegel, and Nenad Jovanovic.3 Выявления и эксплуатация SQL-инъекций [Электронный ресурс]. URL: https://npo-echelon.ru/doc/echelon-sql.pdf.4 Cross Site scripting [Электронный ресурс]. URL: http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting.5 Dom based XSS Prevention Cheat Sheet [Электронный ресурс]. URL: https://cheatsheetseries.owasp.org/cheatsheets/DOM_based_XSS_Prevention
_Cheat_Sheet.html.6 The Web Application Security Consortium Cross Site Scripting [Электронный ресурс]. URL: http://masters.donntu.org/2013/fknt/ilyenko/library/translate.htm.7 Полное пособие по межсайтовому скриптингу [Электронный ресурс]. URL: https://www.securitylab.ru/analytics/432835.php.8 Площадки по пентесту в 2021 году. Самый полный guide [Электронный ресурс]. URL: https://habr.com/ru/post/538766/.9 Носиров З. А., Ажмухамедов И. М. Обнаружение XSS-уязвимостей на основе анализа полной карты веб-приложения // Системы управления, связи и безопасности. 2018. № 1. С. 78–94. URL: http://sccs.intelgr.com/archive/2018- 01/03-Nosirov.pdf.10 24 смертных греха компьютерной безопасности М. Ховард, Д. Лебланк Дж. Вьега.11 GUI на Java [Электронный ресурс]. URL: https://xakep.ru/2014/09/10/java-gui/. 12 Blind SQL injection [Электронный ресурс]. URL: https://www.kalitutorials.net/2015/02/blind-sql-injection.html.13 Cross-site scripting (XSS) cheat sheet [Электронный ресурс]. URL: https://portswigger.net/web-security/cross-site-scripting/cheat-sheet.14 White/Black/Grey Box-тестирование [Электронный ресурс]. URL: https://yandex.ru/turbo/bugza.info/s/white-black-grey-box-testirovanie/.15 Как сформировать ссылку с XSS в POST-параметре [Электронный ресурс]. URL: https://clck.ru/Sqcv9.16 Уязвимости web-приложений и обеспечение их безопасности [Электронный ресурс]. URL: https://intuit.ru/studies/courses/942/462/le
-Работа с конкретным url, со списком целей из Burp proxy или WebScarab proxy, с текстовым файлом, содержащим HTTP запрос или же прямо из поисковой системы Google.
-Тестирование всех параметров, передаваемых методами GET и POST, через
cookie, в заголовках User-agent и Referer и попытка их эксплуатирования. Возможность задать определенный параметр для проверки.
-Опциональная многопоточность, с помощью которой ускоряется проведение слепых инъекций. Ограничение количества запросов на определенный промежуток времени. Имеет большое количество вариантов оптимизации.
-Возможность передавать cookie, что позволяет проходить авторизацию на тестируемом приложении или же тестировать cookie на SQL-Injection.
-Принимать и хранить в сессии cookie, которые были установлены самим приложением, пытаться их эксплуатировать.
-Аутентификация по протоколу HTTP basic, Digest, NTLM или с помощью сертификата.