Come classificare le vulnerabilità Web in un report?

2

Che cosa è un buon modo per classificare le vulnerabilità nei report sulla sicurezza IT. Supponendo che si tratti di ambienti basati sul web come:

  1. Siti Web,
  2. Applicazioni Web,
  3. Negozi web,
  4. Qualsiasi interfaccia che utilizza la tecnologia web ed è accessibile tramite browser.

Attualmente sto utilizzando il OWASP top 10 del 2013 e opzionalmente aggiungendo una categoria in più "altro ". Qualche idea su buone alternative?

    
posta Bob Ortiz 19.06.2016 - 00:40
fonte

2 risposte

1

Questo è altamente opinato e controverso, ma volevo fornire un pensiero per te per prendere la tua decisione.

C'è OWASP, CWE e WASC. Non mi piace nessuno di loro.

Perché non dovrei usare nessuno di questi metodi di categorizzazione?

OWASP I primi 10 tentativi di fornire un elenco più comune in una visione di alto livello di ciò che è accaduto negli ultimi due anni. Ma quando crei report tecnici, il tentativo di mappare le vulnerabilità a queste categorie di alto livello lascia molto spazio all'interpretazione e rimane molto spazio per le cose che non si adattano.

Prendi questi esempi:

"Esecuzione di codice remoto mercuriale in Importer" - Controllo di accesso a livello di funzione mancante? Secondo OWASP, non è appropriato. Il link dice anche che serve per controllare l'accesso ai dati sensibili, non per prevenire arbitrarie codice dall'esecuzione.

Ma c'è di più.

"Esecuzione codice Git LFS" è messo sotto "Altro". "GitHub per l'esecuzione di codice in remoto di Windows" è in Injection.

Che cosa hanno in comune questi tre? Sono iniezioni di codice. Ma sotto questi mapping OWASP, sono tre cose diverse. Questo ha senso per un manager che deve rivedere il tuo rapporto? Chiamalo per quello che è - Esecuzione di codice in modalità remota. Come si è arrivati, come risolverlo, quelli sono cose separate da ciò che il problema è, il problema è l'esecuzione di codice o comandi arbitrari.

Perché dovrei usare questi metodi di categorizzazione?

La mappatura di alcune categorie di genitori può rendere più semplice il reporting quando si fornisce la frequenza con cui l'organizzazione incontra XSS o altri problemi.

Ultima parola di cautela

L'industria ha alcuni problemi da risolvere, e penso che sia un grosso problema. 10 categorie non sono sufficienti per la mappatura. 25 categorie stanno migliorando, ma la tua organizzazione potrebbe essere più mirata per le applicazioni mobili con endpoint dell'API web, per cui la categorizzazione come "Injection" non funziona così come la categorizzazione come iniezione LDAP o qualcos'altro.

La scelta è ovviamente la tua, ma nel corso degli anni, questo è quello che ho imparato.

    
risposta data 19.06.2016 - 01:37
fonte
0

Esistono centinaia di vulnerabilità basate su app Web e possono essere classificate in questi:

  • Input Validation (XSS, SQL Injection)
  • Autenticazione (password debole, enumerazione utente)
  • Autorizzazione (escalation dei privilegi, riferimento all'oggetto della direzione non sicura)
  • Gestione sessione (fissazione sessione, pulsante di assenza logout)
  • Divulgazione di informazioni (messaggio di errore dettagliato)
  • Sistema operativo / server Web (Cross frame scripting)
  • Manipolazione della logica dell'applicazione (reindirizzamenti non convalidati, PRSSI)

Questa non è una regola e può essere modificata in base alle tue esigenze.

    
risposta data 19.06.2016 - 07:03
fonte