Пришло время подвести результаты автоматического сканирования, которое было анонсировано 3 недели назад. Было прислано несколько заявок на автоматический аудит, большинство сайтов представляли коммерческий сектор — интернет-магазины и корпоративные сайты.

Выбор инструмента


Для автоматического тестирования был выбран один из самых популярных opensource сканеров уязвимостей — w3af.



w3af или Web Application Attack and Audit Framework — это гибкая платформа для поиска и эксплуатации уязвимостей в веб-приложениях, работает на большинстве современных систем, написан на Python. Этот фреймворк иногда называют «Metasploit для веб».

Для упрощения процесса автоматизированного тестирования была взята консольная версия w3af_console. Как и в GUI версии, где всем управляют профили (состоящие из плагинов), в консольной версии все управление и настройки тоже зависит от подключенных плагинов в так называемом script файле.

Как это работает


Формат запуска настроенного скрипт-файла довольно прост:

./w3af_console ­-s MyScript.w3af

Скрипт файл состоит из последовательности подключаемых видов плагинов и их параметров:

plugins

output console,text_file
output

output config text_file

set output_file report.txt
set verbose True
back

output config console
set verbose False
back

crawl all
crawl

grep all
grep

audit all
audit

bruteforce all
bruteforce

back

target
set target http://targethost
back

start

В представленном примере будут собраны все ссылки с сайта targethost, проанализированы запросы и ответы, комментарии, вывод ошибок, проверятся по базе знаний/признаков на наличие распространенных веб-уязвимостей, обнаруженные формы ввода будут подвергнуты bruteforce-атаке (подбор паролей) и результат будет сохранен в файл report.txt с полным выводом работы плагинов.


вывод подключаемых плагинов в ручном режиме в консоли w3af_console

Из чего состоит


В зависимости от типа воздействия существует несколько видов подключаемых плагинов:

  • attack — для реализации атаки, эксплойтинг. В автоматическом аудите не использовались.
  • audit — выявление уязвимостей веб-приложения, содержит плагины для поиска XSS, SQLi, CSRF, LFI, RFI, open redirects и многие другие. Часть плагинов использовалось в автоматическом аудите.
  • auth — плагины для задания параметров авторизации на исследуемом ресурсе. В автоматическом аудите не использовались.
  • bruteforce — плагины для проведения атаки «подбор по словарю» (bruteforce). В автоматическом аудите не использовались.
  • crawl — плагины для поиска и сбора информации, перебора имен файлов и директорий, использования поисковых систем, определения типа CMS, анализа форм для передачи в отделы audit/bruteforce/attack. Часть плагинов использовалось в автоматическом аудите.
  • evasion — плагины для обхода IDS, политик безопасности и WAF. В автоматическом аудите не использовались.
  • grep — плагины для анализа запросов/ответов веб-сервера, поиска критичной информации, вывода ошибок, комментариев в исходном коде и т.д. Часть плагинов использовалось в автоматическом аудите.
  • infrastructure — плагины для анализа настроек сервера, мисконфигураций, виртуальных хостов и т.д. Часть плагинов использовалось в автоматическом аудите.
  • mangle плагины для модификации запросов «на лету». В автоматическом аудите не использовались.
  • output — плагины для вывода и сохранения результатов работы. Часть плагинов использовалось в автоматическом аудите.

Готовые примеры скрипт-файлов под разные вектора атаки и тип воздействия вы можете найти здесь. Их работоспособность можно протестировать в специализированной уязвимой среде moth.

Статистика


Для проведения автоматического аудита был скомпонован script файл для поиска и выявления полной карты сайта, типа CMS, веб-сервера и поиск уязвимостей OWASP TOP-10, настроена система проверки легитимности и компоновки отчетности (резюмирующие рекомендации по найденным уязвимостям добавлялись сотрудниками нашей компании вручную, машина не может проанализировать вектора атаки и составить точный сценарий атаки).


скриншот системы добавления задания на автоскан

Из общего количества сайтов топ-5 по общему объему выявленных уязвимостей выглядит так:

  1. Утечка чувствительных данных — OWASP A6 (sensitive data exposure) — неверные конфигурации сертификатов, сюда же отнесены неправильно настроенные политики HSTS.
  2. Небезопасная конфигурация — OWASP A5 (security misconfiguration) — листинг директорий, настройки по-умолчанию, устаревшие версии ПО.
  3. Использование компонентов с известными уязвимостями — OWASP A9 (using components with known vulnerabilities) — было найдено несколько незакрытых уязвимостей, с доступными публичными эксплоитами.
  4. Межсайтовый скриптинг — OWASP A3 XSS (cross-site scripting) — было найдено несколько пассивных XSS.
  5. Внедрение кода — OWASP A1 (injection) — уязвимости типа SQL-injection все еще достаточно распространены.

Время сканирования ресурсов занимало от 10 минут до 2 суток. Несколько сайтов не выдержали нагрузки и автоматическое тестирование было остановлено до восстановления работоспособности. По всем выявленным уязвимостям были составлены отчеты, содержащие перечисление выявленных уязвимостей, вероятность компрометации веб-приложения и возможный сценарий атаки.

Комментарии (4)


  1. Security_Lab
    08.07.2015 14:40
    +2

    Я то думал здесь будет очередной обзор способов проведения аудита более развернутого, а оказалась банальная рекламка w3af


    1. rodionovs
      08.07.2015 14:44
      +10

      Если задаться целью — рекламу можно разглядеть во всем)


  1. BlackTears
    08.07.2015 16:33

    До какого числа можно заказать бесплатный аудит сайта?


    1. rodionovs
      08.07.2015 16:37

      Акция бессрочна, но решение о проведении первичного аудита принимается индивидуально. Если собираетесь воспользоваться услугой — напишите, пожалуйста, на info@pentestit.ru с указанием адреса тестируемого ресурса.