К какому типу уязвимости можно отнести логические ошибки

     ГОСТ Р 56546-2015

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 Защита информации

 УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

 Классификация уязвимостей информационных систем

 Information protection. Vulnerabilities in information systems. The classification of vulnerabilities in information systems

ОКС 35.020

Дата введения 2016-04-01

 Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ

Приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 г. N 1181-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.

Правила применения настоящего стандарта установлены в

статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации» . Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

 Введение

Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем (ИС).

Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением и устранением уязвимостей ИС, при создании и эксплуатации ИС.

В настоящем стандарте принята классификация уязвимостей ИС исходя из области происхождения уязвимостей, типов недостатков ИС и мест возникновения (проявления) уязвимостей ИС.

      1 Область применения

Настоящий стандарт устанавливает классификацию уязвимостей информационных систем (ИС). Настоящий стандарт направлен на совершенствование методического обеспечения определения и описания угроз безопасности информации при проведении работ по защите информации в ИС.

Настоящий стандарт не распространяется на уязвимости ИС, связанные с утечкой информации по техническим каналам, в том числе уязвимости электронных компонентов технических (аппаратных и аппаратно-программных) средств ИС.

      2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ГОСТ Р 50922  Защита информации. Основные термины и определения

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

      3 Термины и определения

В настоящем стандарте применены термины по

ГОСТ Р 50922 , а также следующие термины с соответствующими определениями:

3.1 информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Примечание — Определение термина соответствует [

1 ].

3.2 компонент информационной системы: Часть информационной системы, включающая некоторую совокупность информации и обеспечивающих ее обработку отдельных информационных технологий и технических средств.

3.3 признак классификации уязвимостей: Свойство или характеристика уязвимостей, по которым производится классификация.

3.4 информационная технология [технология обработки (передачи) информации в информационной системе]: Процесс, метод поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов.

3.5 конфигурация информационной системы: Взаимосвязанные структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между компонентами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, а также с полномочиями субъектов доступа к объектам доступа информационной системы.

3.6 угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

3.7 уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.

3.8 уязвимость кода: Уязвимость, появившаяся в процессе разработки программного обеспечения.

3.9 уязвимость конфигурации: Уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) программного обеспечения и технических средств информационной системы.

3.10 уязвимость архитектуры: Уязвимость, появившаяся в процессе проектирования информационной системы.

3.11 организационная уязвимость: Уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы защиты информации информационной системы, требований организационно-распорядительных документов по защите информации и (или) несвоевременном выполнении соответствующих действий должностным лицом (работником) или подразделением, ответственным за защиту информации.

3.12 многофакторная уязвимость: Уязвимость, появившаяся в результате наличия нескольких недостатков различных типов.

3.13 язык программирования: Язык, предназначенный для разработки (представления) программного обеспечения.

3.14 степень опасности уязвимости: Мера (сравнительная величина), характеризующая подверженность информационной системы уязвимости и ее влияние на нарушение свойств безопасности информации (конфиденциальность, целостность, доступность).

      4 Основные положения

4.1 В основе классификации уязвимостей ИС используются следующие классификационные признаки:

— область происхождения уязвимости;

— типы недостатков ИС;

— место возникновения (проявления) уязвимости ИС.

Примечание — В качестве уязвимых компонентов ИС рассматриваются общесистемное (общее), прикладное, специальное программное обеспечение (ПО), технические средства, сетевое (коммуникационное, телекоммуникационное) оборудование, средства защиты информации.

4.2 Помимо классификационных признаков уязвимостей ИС используются поисковые признаки (основные и дополнительные). Поисковые признаки предназначены для организации расширенного поиска в базах данных уязвимостей.

4.3 К основным поисковым признакам уязвимостей ИС относятся следующие:

— наименование операционной системы (ОС) и тип аппаратной платформы;

— наименование ПО и его версия;

— степень опасности уязвимости.

4.4 К дополнительным поисковым признакам уязвимостей ИС относятся следующие:

— язык программирования;

— служба (порт), которая(ый) используется для функционирования ПО.

      5 Классификация

5.1 Уязвимости ИС по области происхождения подразделяются на следующие классы:

— уязвимости кода;

— уязвимости конфигурации;

— уязвимости архитектуры;

— организационные уязвимости;

— многофакторные уязвимости.

Примечание — В целях выявления и оценки уязвимостей информационных систем могут выделяться подклассы уязвимостей.

5.2 Уязвимости ИС по типам недостатков ИС подразделяются на следующие:

— недостатки, связанные с неправильной настройкой параметров ПО.

Примечание — Неправильная настройка параметров ПО заключается в отсутствии необходимого параметра, присвоении параметру неправильных значений, наличии избыточного числа параметров или неопределенных параметров ПО;

— недостатки, связанные с неполнотой проверки вводимых (входных) данных.

Примечание — Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверки значений, избыточном количестве значений, неопределенности значений вводимых (входных) данных;

— недостатки, связанные с возможностью прослеживания пути доступа к каталогам.

Примечание — Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной строке/составному имени) и получении доступа к предыдущему/корневому месту хранения данных;

— недостатки, связанные с возможностью перехода по ссылкам.

Примечание — Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на сторонние ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются символьные ссылки и возможности прослеживания по ним нахождения ресурса, доступ к которому ограничен;

— недостатки, связанные с возможностью внедрения команд ОС.

Примечание — Внедрение команд ОС заключается в возможности выполнения пользователем команд ОС (например, просмотра структуры каталогов, копирование, удаление файлов и другие команды);

— недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).

Примечание — Межсайтовый скриптинг обычно распространен в веб-приложениях и позволяет внедрять код в веб-страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя;

— недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки.

Примечание — Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удаления и другие) или разметки в исходный код веб-приложения;

— недостатки, связанные с внедрением произвольного кода.

Примечание — Недостатки связаны с внедрением произвольного кода и части кода, которые могут приводить к нарушению процесса выполнения операций;

— недостатки, связанные с переполнением буфера памяти.

Примечание — Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из-за неправильной работы с данными, полученными извне, и памятью, при отсутствии защиты со стороны среды программирования и ОС. В результате переполнения буфера могут быть испорчены данные, расположенные следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение или зависание ПО. Отдельные виды переполнений буфера (например, переполнение в стековом кадре) позволяют нарушителю выполнить произвольный код от имени ПО и с правами учетной записи, от которой она выполняется;

— недостатки, связанные с неконтролируемой форматной строкой.

Примечание — Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым числом параметров. Ее значение в момент вызова функции определяет фактическое количество и типы параметров функции. Ошибки форматной строки потенциально позволяют нарушителю динамически изменять путь исполнения программы, в ряде случаев — внедрять произвольный код;

— недостатки, связанные с вычислениями.

Примечание — К недостаткам, связанным с вычислениями, относятся следующие:

— некорректный диапазон, когда ПО использует неверное максимальное или минимальное значение, которое отличается от верного на единицу в большую или меньшую сторону;

— ошибка числа со знаком, когда нарушитель может вводить данные, содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число;

— ошибка усечения числа, когда часть числа отсекается (например, вследствие явного или неявного преобразования или иных переходов между типами чисел);

— ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битов (например, обратный и прямой порядок битов), что приводит к неверному числу в содержимом, имеющем критическое значение для безопасности;

— недостатки, приводящие к утечке/раскрытию информации ограниченного доступа.

Примечание — Утечка информации — преднамеренное или неумышленное разглашение информации ограниченного доступа (например, существуют утечки информации при генерировании ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раскрытию информации ограниченного доступа, могут возникать вследствие наличия иных ошибок (например, ошибок, связанных с использованием скриптов);

— недостатки, связанные с управлением полномочиями (учетными данными).

Примечание — К недостаткам, связанным с управлением полномочиями (учетными данными) относятся, например, нарушение политики разграничения доступа, отсутствие необходимых ролей пользователей, ошибки при удалении ненужных учетных данных и другие;

— недостатки, связанные с управлением разрешениями, привилегиями и доступом.

Примечание — К недостаткам, связанным с управлением разрешениями, привилегиями и доступом, относятся, например, превышение привилегий и полномочий, необоснованное наличие суперпользователей в системе, нарушение политики разграничения доступа и другие;

— недостатки, связанные с аутентификацией.

Примечание — К недостаткам, связанным с аутентификацией, относятся возможность обхода аутентификации, ошибки логики процесса аутентификации, отсутствие запрета множественных неудачных попыток аутентификации, отсутствие требования аутентификации для выполнения критичных функций;

— недостатки, связанные с криптографическими преобразованиями (недостатки шифрования).

Примечание — К недостаткам, связанным с криптографическими преобразованиями, относятся ошибки хранения информации в незашифрованном виде, ошибки при управлении ключами, использование несертифицированных средств криптографической защиты информации;

— недостатки, связанные с подменой межсайтовых запросов.

Примечание — Подмена межсайтового запроса заключается в том, что используемое ПО не осуществляет или не может осуществить проверку правильности формирования запроса;

— недостатки, приводящие к «состоянию гонки».

Примечание — «Состояние гонки» — ошибка проектирования многопоточной системы или приложения, при которой функционирование системы или приложения зависит от порядка выполнения части кода. «Состояние гонки» является специфической ошибкой, проявляющейся в случайные моменты времени;

— недостатки, связанные с управлением ресурсами.

Примечание — К недостаткам управления ресурсами относятся недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, и отсутствие очистки ресурса и процессов от сведений ограниченного доступа перед повторным использованием и другие;

— иные типы недостатков.

Примечание — По результатам выявления уязвимостей ИС перечень типов недостатков может дополняться.

5.3 Уязвимости ИС по месту возникновения (проявления) подразделяются на следующие:

— уязвимости в общесистемном (общем) ПО.

Примечание — К уязвимостям в общесистемном (общем) ПО относятся уязвимости ОС (уязвимости файловых систем, уязвимости режимов загрузки, уязвимости, связанные с наличием средств разработки и отладки ПО, уязвимости механизмов управления процессами и другие), уязвимости систем управления базами данных [уязвимости серверной и клиентской частей системы управления базами данных, уязвимости специального инструментария, уязвимости исполняемых объектов баз данных (хранимые процедуры, триггеры) и другие], уязвимости иных типов общесистемного (общего) ПО;

— уязвимости в прикладном ПО.

Примечание — К уязвимостям в прикладном ПО относятся уязвимости офисных пакетов программ и иных типов прикладного ПО (наличие средств разработки мобильного кода, недостатки механизмов контроля исполнения мобильного кода, ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации, и другие уязвимости);

— уязвимости в специальном ПО.

Примечание — К уязвимостям в специальном ПО относятся уязвимости ПО, разработанного для решения специфических задач конкретной ИС (ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации, недостатки механизмов разграничения доступа к объектам специального ПО и другие уязвимости);

— уязвимости в технических средствах.

Примечание — К уязвимостям в технических средствах относятся уязвимости ПО технических средств (уязвимости микропрограмм в постоянных запоминающих устройствах, уязвимости микропрограмм в программируемых логических интегральных схемах, уязвимости базовой системы ввода-вывода, уязвимости ПО контроллеров управления, интерфейсов управления и другие уязвимости), иные уязвимости технических средств;

— уязвимости в портативных технических средствах.

Примечание — К уязвимостям в портативных технических средствах относятся уязвимости ОС мобильных (портативных) устройств, уязвимости приложений для получения с мобильного устройства доступа к Интернет-сервисам, уязвимости интерфейсов беспроводного доступа, иные уязвимости портативных технических средств;

— уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании.

Примечание — К уязвимостям в сетевом (коммуникационном, телекоммуникационном) оборудовании относятся уязвимости маршрутизаторов, коммутаторов, концентраторов, мультиплексоров, мостов и телекоммуникационного оборудования иных типов (уязвимости протоколов и сетевых сервисов, уязвимости средств и протоколов управления телекоммуникационным оборудованием, недостатки механизмов управления потоками информации, недостатки механизмов разграничения доступа к функциям управления телекоммуникационным оборудованием, другие уязвимости);

— уязвимости в средствах защиты информации.

Примечание — К уязвимостям в средствах защиты информации относятся уязвимости в средствах управления доступом, средствах идентификации и аутентификации, средствах контроля целостности, средствах доверенной загрузки, средствах антивирусной защиты, системах обнаружения вторжений, средствах межсетевого экранирования, средствах управления потоками информации, средствах ограничения программной среды, средствах стирания информации и контроля удаления информации, средствах защиты каналов передачи информации, уязвимости в иных средствах защиты информации (ошибки программирования, недостатки, связанные с возможностью обхода, отключения, преодоления функций безопасности, другие уязвимости).

 Библиография

Текст ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

Уязвимости сайта — недостатки в системе, позволяющие злоумышленнику навредить работе сайта или похитить персональные данные пользователей.

Соответственно, уязвимости можно разделить на два основных типа:

• атаки непосредственно на систему;
• атаки на клиентов веб-приложений.

Это атаки, осуществляемые на систему непосредственно, без всякого участия «сторонних» программ.

• 
  SQL-инъекция.
  
  

  Внедрение SQL-кода (англ. SQL injection) — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.

  Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.

  Атака типа внедрения SQL может быть возможна из-за некорректной обработки входных данных, используемых в SQL-запросах.

  Разработчик прикладных программ, работающих с базами данных, должен знать о таких уязвимостях и принимать меры противодействия внедрению SQL.
  
  Подробнее…

  
  
  
  Один из самых частых и действенных способов атаки, связанный с недостаточной фильтрацией данных, используемых в SQL-запросах. Эта критическая уязвимость приводит к тому, что злоумышленник может выполнить произвольные SQL-запросы к базе данных. В рамках «философии программирования» в Bitrix Framework запрещено обращаться непосредственно к базе. Но разработчики сайтов иногда отходят от этого принципа.

• Внедрение в имя файла. Уязвимость связана с использованием в качестве части имени файла недостаточно фильтруемого значения, принятого от пользователя. Нападающий может изменить имя файла таким образом, чтобы включить и выполнить на уязвимом сайте произвольный PHP-файл.
• Выполнение системных команд. Уязвимость связана с недостаточной фильтрацией данных. С помощью инъекции в класс системных функций можно выполнить произвольные команды на целевом сервере в контексте пользователя, от которого работает php.
  
  Примеры опасных команд такого рода: system, passthru, exec, и.т.д.

• Подбор реквизитов доступа. Нападающий может подобрать простые пароли.
• Логические ошибки в коде. Данный тип ошибок особенно тяжело диагностируется и имеет наибольшее разнообразие. Логическая ошибка в коде возникает, когда при некоторых ситуациях код работает не так, как предполагается.

Это атаки на веб-систему, которые проходят через других пользователей веб-приложения. Например, через администраторов форума.

• 
  Межсайтовый скриптинг.
  
  

  XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки «внедрение кода».

  Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя.

  Для термина используют сокращение «XSS», чтобы не было путаницы с каскадными таблицами стилей, использующими сокращение «CSS».
  
  Подробнее…

  
  
  
  Уязвимость возникает тогда, когда данные, принятые от пользователя, выводятся в браузер без надлежащей фильтрации. Уязвимость может быть использована для изменения вида HTML-страниц уязвимого сайта в контексте браузера целевого пользователя, похищения cookie данных браузера целевого пользователя с последующим внедрением в его сессию под его учетной записью.

• 
  Межсайтовая подделка запроса.
  
  

  CSRF (англ. Сross Site Request Forgery — «межсайтовая подделка запроса», также известна как CSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP.

  Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника).

  Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
  
  Подробнее…

  
  
  
  Если каким-либо образом заставить браузер пользователя сделать запрос к уязвимому серверу, браузер сделает этот запрос с текущими cookie данного пользователя.

• 
  Социальная инженерия.
  
  

  Социальная инженерия — совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии.

  Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Если рассматривать современную профессиональную социальную инженерию, то область её применения вполне законна — например, она помогает достичь изначально недостижимый результат, или «программировать» для совершения позитивных и полезных действий конкретного человека или группу людей.

  Конечно, сегодня социальную инженерию зачастую используют в интернете для получения закрытой информации или информации, которая представляет большую ценность. Но современные соц-инженеры используют свои навыки для повышения результатов в бизнесе и жизни.
  
  Подробнее…

  
  
  
  Злоумышленник может представиться администратором сайта и попросить пароль у пользователя, или изменить пароль на какой-то заданный, или узнать «любимое блюдо» и т. п.

• 
  Фишинг.
  
  

  Фишинг (англ. phishing от fishing «рыбная ловля, выуживание») — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

  Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом.

  После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
  
  Подробнее…

  
  
  
  Создается подставной веб-сайт, который повторяет дизайн целевого сайта и имеет похожий URL. Например, lc-bitrix.ru (здесь первый символ — «эль», а не «один»), на него заманивается пользователь в надежде, что он введет свои логин и пароль, которые будут доступны злоумышленникам. Уязвимость может быть использована совместно с XSS и CSRF.

Логическая лазейка

Применение логических уязвимостей во всех аспектах в основном основано на различных логических уязвимостях, вызванных несовместимостью приложения. Например, финансовые веб-сайты, интернет-сайты и торговые сайты используют совершенно разные методы для выявления уязвимостей логики. Так что эта статья — вершина айсберга, чтобы дать вам популярную науку!

Общие уязвимости

Логические уязвимости относятся к тому факту, что логика программы не является строгой или логика слишком сложна, что приводит к тому, что некоторые логические ветви не могут нормально обрабатывать или обрабатывать ошибки. Обычно они проявляются в следующих аспектах:

• Любая модификация пароля (без проверки старого пароля)
• Не авторизованный доступ
• восстановить пароль
• Сумма оплаты транзакции
• ……

Можно ли обойти код проверки для формирования библиотеки при входе в систему

Основные точки присутствия

• В пакете возврата есть проверочный код
• На скрытой странице есть код подтверждения
• Некоторые другие URL для входа не требуют кода подтверждения
• Код подтверждения не изменяется, код подтверждения не имеет полного запроса на обслуживание, изменяется только при обновлении URL
• Первый пакет запроса проверяет правильность кода проверки, второй запрос не требует проверки
• Перехватить запрос на обновление кода проверки при входе в систему, первый код проверки не является недействительным, можно обойти
• Независимо от того, были ли введены код подтверждения, имя пользователя и пароль одновременно
• Публичный аккаунт, приложение без проверки

Пример обратного взрыва уязвимости

После того, как мы получили соответствующую информацию, мы можем определить зашифрованный пароль как фиксированный элемент путем усечения и обработать другую информацию о пользователе в виде книги паролей.

168168Получите следующую строку после шифрования и попытайтесь успешно войти

08E304A899D50BC4ACDBFB56D0EBFD1E303FD10D1A37BB45547CB5D98323191003EBC244F8480D9110B403E621B40327B3E41B96D0FD87D803DFC176E0B580C81BE9A0F7455F2DCE8D416E67CEE6822E2887B1A348953CD3EFF279222F08786E7D547E2423D9CA102AED6867DA0059D89FE83AAC753894313B0B881A43847458073E

Когда мы фиксируем пароль и используем проверку системы, чтобы обойти лазейку, мы можем взорвать номер банка. Как мы все знаем, пароль банковской карты состоит из 6 цифр, и есть много123456Для слабых паролей, вы можете использовать метод шифрования других систем для шифрования общих паролей, а затем выполнить взрывную проверку.

восстановить пароль

• Код подтверждения возврата
• Проверка кода занимает много времени, и он может быть обработан без ошибок (словарь может удалить все из них с более чем одним повторением)
• Измените пароль, измените номер мобильного телефона, который вы хотите изменить, чтобы управлять вами,
• Подтверждение электронной почты можно угадать
• Если вам нужно получить 4 части, последняя часть имеет пользовательские параметры, используйте вашу учетную запись, чтобы перейти к третьей части, а четвертая часть изменяет логику реализации пользователя.
• Вы можете вернуться назад, чтобы найти его (прямой доступ к странице)
• Локальная проверка, измените возвращаемое значение
• Проверка сервера пуста, удалите код подтверждения прямо из пакета
• Индивидуальные коды подтверждения все 0 можно обойти
• Управляемая генерация токенов (два примера wooyun)
• наложение печенья
• Удалить проверочный код подтверждения, обход

Сброс пароля почтового ящика реального сайта-NetEase

Зарегистрируйтесь первым126Email тестовый аккаунт

Затем он перейдет к запросу безопасности, привязанному к мобильному телефону.

Обратите внимание на параметры этой ссылки, там есть uid, измените uid на учетную запись NetEase для взлома

Введите номер мобильного телефона, которым вы можете управлять, и отправьте обратно код подтверждения

Нажмите OK и введите почтовый ящик. В настоящее время целевой почтовый ящик NetEase был незаконно привязан к секретному телефону безопасности.
Затем следуйте обычному процессу восстановления пароля и обнаружите, что у этого почтового ящика есть дополнительный способ восстановить его через мобильный телефон, и последний номер этого мобильного телефона — это мобильный телефон, который я только что связал!

Сброс пароля выполнен успешно! !

Доказательство уязвимости:

Оплатить

• Модификация суммы фрахта
• Изменить bxprice, можно изменить на любую отрицательную сумму
• Запросить повтор, разместить несколько заказов
• Параллелизм (блокировка работы базы данных)
• Загрязнение параметра Запросить параметр без параметра, но вернуть параметр можно запросить возвращаемое значение параметра загрязнения

Несанкционированная логическая лазейка

Уязвимости несанкционированного доступа можно разделить на уязвимости горизонтального несанкционированного доступа и уязвимости вертикального несанкционированного доступа.

Уязвимость горизонтального несанкционированного доступа

Относится к несанкционированному доступу между двумя пользователями с равными правами.
Например, обычный пользователь A обычно может только добавлять, удалять и изменять часть своей собственной информации, но из-за халатности программиста он не выносит суждения при добавлении, удалении и изменении информации, чтобы определить, принадлежит ли информация, необходимая для операции, соответствующей Следовательно, пользователь заставляет пользователя А манипулировать информацией других людей.

Пример 51 Социальное обеспечение превысило полномочия на просмотр произвольной уязвимости в информации пользователя

Производитель динсюэ
Проблемы

/shebao/fillinfomation?insurance_location_id=6&employee_id=203§66§&person_id=*&action=zr01

Описание опасности

• Обход разрешения для просмотра личной информации любого пользователя, имени, удостоверения личности и т. Д.
• Причины уязвимостей
• Параметр не отфильтрован
• Процесс тестирования

Посетите Weibohttp://***.***.**.***:8015/， Зарегистрируйтесь и войдите, заполните личную информацию,
Существует несанкционированный доступ к информации застрахованного,employee_idПараметры могут быть пройдены:

Пакет данных выглядит следующим образом:

GET /shebao/fillinfomation?insurance_location_id=6&employee_id=***§66§&person_id=***&action=zr01 HTTP/1.1
Host: ***.***.**.***:8015
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Referer: http://101.200.47.130:8015/insuranceGoods/InsuredCity?employee_id=20367&person_id=1906&action=zr01&ppkstr=23a0c06b&sign=2ab6c3cc61823741e21c0c16b1535640
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: PHPSESSID=38472b126ad61367accf611ee2177868; sensorsdata_is_new_user=true; mediav=%7B%22eid%22%3A%22247642%22%2C%22ep%22%3A%22%22%2C%22vid%22%3A%22J%3C7.725%28S%5B%3A%23s%5BD.lsmc%22%2C%22ctn%22%3A%22%22%7D; sensorsdata2015jssdkcross=%7B%22distinct_id%22%3A%2215d7cb69eec252-027ceb515d3c64-396b4e08-1049088-15d7cb69eed504%22%2C%22props%22%3A%7B%22%24latest_referrer%22%3A%22%22%2C%22%24latest_referrer_host%22%3A%22%22%7D%7D; QIAO_CK_4496944_R=; XSRF-TOKEN=eyJpdiI6Ik4ydW01bHlYVk13cG5NQ1c1R0M5M2c9PSIsInZhbHVlIjoiNkNjc0trK1d1M3hcLzUxVmsyZ3htNlkwTER0NzB3M0dNVFF5Qzlrb2NSOW5WUmdCNHRaK1k5ZkFUcGFha1ZEbDJkeXdXYWpJdUpvWEpadE15b0RubVhnPT0iLCJtYWMiOiIyNGIwYzhjNDZmNDg1MDk2MzFkMWRhNDAwZmIwZWNiZDQ5MDA1MTA3YTIwMTBkZjQyZjMyY2Q0OTgyNWNhYmVmIn0%3D; JSESSIONID=ebaa9b41-e550-4d85-b86d-526a45188dc8; zg_a815ea19015249a89df426c65e1af46c=%7B%22sid%22%3A%201501038882.966%2C%22updated%22%3A%201501038882.974%2C%22info%22%3A%201501035913966%2C%22cuid%22%3A%20%22%22%7D; laravel_session=eyJpdiI6ImhxNUZlQTIwNUExc3RjZFhwcGxnR2c9PSIsInZhbHVlIjoiWkttQWFwMzIrRmF0amNPZmVqMVIrQUhKU3NKdVVTdHVQWU1rQzVNb1hJaG5pSDdPRlNpUmlOVGlWK1hhdzl2ZUZEekE1eXBqZyt5YzZaeHQ3MzR1dkE9PSIsIm1hYyI6ImQ4Yjc2YjI3OWE3OTYzZDMwNTFiMDA0MmNlODIzYTBiZDA1ZDZmNTM0MTkzMTljZDU2ZTY3NDFiMGRlMzNiZmUifQ%3D%3D; zg_did=%7B%22did%22%3A%20%2215d7cb662e3216-0784492e5511c4-396b4e08-100200-15d7cb662e43c7%22%7D; zg_0deb6c6901bb4eb1b0f324b22d68b5d1=%7B%22sid%22%3A%201501039780.298%2C%22updated%22%3A%201501039780.298%2C%22info%22%3A%201501035929285%7D; _ga=GA1.1.342311860.1501035929; _gid=GA1.1.581291768.1501035929; Hm_lvt_717da9fbbb380c7b043ea096861c919d=1501035929; Hm_lpvt_717da9fbbb380c7b043ea096861c919d=1501039780; responseTimeline=321; _qzja=1.1931991145.1501035929340.1501035929341.1501039780458.1501035929341.1501039780458.0.0.0.2.2; _qzjb=1.1501039780458.1.0.0.0; _qzjc=1; _qzjto=2.2.0; Hm_lvt_da0f0096fceb023ff28522eece668c90=1501035792; Hm_lpvt_da0f0096fceb023ff28522eece668c90=1501039803; Hm_lvt_9ff162bfe3685ed2a2c02c334f975e51=1501035792; Hm_lpvt_9ff162bfe3685ed2a2c02c334f975e51=1501039803
Connection: close

Уязвимость вертикального несанкционированного доступа

• Относится к несанкционированному доступу между двумя пользователями с неравными разрешениями.
• Как правило, пользователи с низким уровнем полномочий могут напрямую получать доступ к информации пользователей с высоким уровнем полномочий.

Например, на форуме вы обычный пользователь. Однажды вы проходитеburpsuiteЗахватывал пакеты и модифицировал своих пользователейIDКак идентификатор пользователя администратора, случайно, успешно вошел в учетную запись администратора.

Пример Хунань Кечуан CMS общей уязвимости инъекций

Откройте сайт, найдите точку внедрения после поиска, параметры уязвимостиZNSearchТип слепой инъекции, символ инъекции.

http://www.chinacreator.com/login.jsp

Обнаружено, что точка впрыска существует в полеuserNameСредний Когда пользователи используют универсальный пароль для тестирования, они могут взломать разрешения веб-сайта и успешно использовать личность администратора. Это простейшее и наиболее типичное вертикальное переопределение, которое позволяет обычным пользователям получать доступ в качестве администраторов.

POST /login.jsp HTTP/1.1
Host: www.chinacreator.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://www.chinacreator.com/login.jsp
Cookie: JSESSIONID=34BA53DE1B50A0A67339B330D6E26E2E; USERNAME=admin'
X-Forwarded-For: 8.8.8.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 102

flag=yes&macaddr_=&machineName_=&machineIp_=&userName=admin%27&password=asdf&yzm=7407&subsystem_id

Слабость, которую можно заюзать для
нарушения безопасности.

Причины открыл Ньюман в 1995году (долго
открывал видимо)

-ошибки и упущения при определении
требований к КС (комп сист).

-изъян при проектировании КС

-изъян аппаратной платформы

-изъян ПО

-баги приложения

-ошибки компилятора

-ошибки использования, администрирования
и случайный инцидент

-злоупотребление, пренебрежительное
использование КС, не в соотв со специфик

-сбой работы систем коммуникаций

-технический катаклизм, природные силы

-эволюция КС, ошибки при обновлении

-темная магия

-божественная воля

Изъян защиты – совокупность причин,
условий, обстоятельств, наличие которых
может привести к ограничению работы
системы и нарушению безопасности.

Причины2:

1) логическая ошибка реализации механизма
безопасности, использование которой
приводит к успешной атаке на систему

2) слабость. Мех-м безопасн реализован
так, что использование его в определенных
условиях может привести к нарушению
безопасности

3) некорректное использование системы
(некорректная ПБ)

Х-ки уязвимостей:

1) тип ошибки приведшей к уязвимости

2) авторизация

3) местонахождение

4) последствие (получение доступа от
имени авторизованного пользователя,
администратора)

CVE(common vulnurabilities and exposures), CAN(candidate) короч
3я лаба

36. Классификация ошибок, приводящих к уязвимостям. Ошибки на этапе проектирования. Ошибки на этапе администрирования.

Существуют следующие типы ошибок,
которые приводят к уязвимостям:

1.    Логическая
ошибка реализации механизма безопасности,
использование которой приводит к
успешной атаке на систему

2.    Слабость.
Механизм безопасности реализован так,
что, при использовании его в определенных
условиях, можно получить нарушение
безопасности.

3.    Некорректное
использование системы.

Ошибки на этапе проектирования:

1.    Ошибки
синхронизации

2.    Ошибки
проверки условий

3.    Ошибки
проверки входных данных

Ошибки на этапе администрирования (мои
собственные):

1.    Не
установка обновлений и заплаток. Ну,
тут понятно

2.    Невыполнение
принципа наименьших привилегий. Когда
web-серверу даем права system, например.

3.    Ошибки
в конфигурации системы.

4.    Легкие
пароли.

5.    Усложнение
структуры. Когда для маленькой фирмы
из 5 человек хуярят домен AD.

39. Методы поиска ошибок кодирования. Динамический анализ программного обеспечения

Для чего исследуем?

Для поиска недекларируемых возможностей
и для поиска признаков вредоносного ПО

Какие методы?

Статические (когда программа не
запускается) и динамические (когда
запускается).

Динамические методы бывают следующие:

1.    Отладка
(debugging)

2.   
Псевдоотладка(bebugging) — метод оценки
степени безошибочности программы на
основе выявления искусственно введенных
ошибок. Известные баги суют в прогу.
Потом пытаются их выявить. Количество
ненайденных известных багов дает
примерный уровень реальных багов (это
педивикия так говорит)

3.    Перехват
вызовов

4.    Мониторинг
диска, реестра

5.    Эмуляция
кода. Эмуляция программного кода означает
разбор программного кода на инструкции
и имитация их исполнения. Все это может
быть выполнено двумя способами:
трассировка программы(запускаем и
делаем прерывания), эмуляция(читаем
кусок кода, разбивается на инструкции
и эмулируется исполнение)

6.   
Непосредственное тестирование.
Когда анализатор вшивается в программу.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #