Esempio di alberi di attacco nell'analisi di sicurezza dell'applicazione Web

2

Qui sto ancora chiedendo alcune informazioni sull'utilizzo degli alberi di attacco nell'analisi delle applicazioni web.

Per la mia tesi di laurea ho deciso di studiare l'uso di questo formalismo al fine di rappresentare gli attacchi a un'applicazione web. Ho bisogno di molti casi d'uso da cui iniziare a imparare attacchi comuni che possono aiutare a costruire un albero adeguato.

Da dove posso iniziare?

Ho già letto le principali vulnerabilità di OWASP 10 e ho familiarità con XSS, SQLi, ecc. tuttavia non ho idea di come combinarli insieme per eseguire i passaggi necessari per attaccare un sistema. Sto cercando alcuni esempi e forse alcuni famosi attacchi da cui posso capire quali passaggi vengono eseguiti e come le vulnerabilità dei commons possono essere combinate insieme. Qualsiasi aiuto è molto apprezzato.

    
posta Federico 24.05.2012 - 21:45
fonte

1 risposta

3

Poiché hai familiarità con OWASP, potresti dare un'occhiata al progetto WebGoat - "a un'applicazione web J2EE deliberatamente insicura gestita da OWASP progettata per insegnare le lezioni sulla sicurezza delle applicazioni web ". Ci sono altri strumenti e risorse là fuori, come DETERLab per conoscere gli attacchi comuni.

Questi dovrebbero fornirti molti esempi. I formalismi stessi non sono difficili da applicare - suggerisco di usare carta e penna o una lavagna per iniziare a provare. Nella mia esperienza, la cosa migliore degli alberi di attacco è che ti fanno pensare più a fondo del problema, piuttosto che essere artefatti importanti di per sé.

    
risposta data 25.05.2012 - 00:30
fonte