Vorbereitung einer ASP.Net-Website für Penetrationstests

Ich denke, dass die Checkliste sich durch die Zeit und ihre Theorie mit Erfahrung verändert. Ich überprüfe mein Protokoll und sehe immer neue Wege, wie sie versuchen, meine Website zu durchdringen.

Eine gute Seite mit vielen Artikeln zur Penetration : Ссылка

Einige der Wege, die versuchen, auf meinen Seiten einzudringen.

Am häufigsten

• sql injections , damit ich Benutzer, die meine Websites aufrufen, mit dem Befehl "select" in der URL-Zeile prüfen und blockieren kann. Ich überprüfe auch nach anderen SQL-Befehlen.
• Forgotten javascript filebrowser Ich sehe, dass sie in letzter Zeit nach Links suchen wie: wwwmysite.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser.php?type=file&folder=

Um sie zu finden, überwache ich das Ereignis "Seite nicht gefunden". Natürlich wenn Seite gefunden dann dringen sie ein. Wie auch immer es mehr möglich ist, gescheiterte Versuche zu sehen und zu sehen, wonach sie suchen.

Oracle-Angriff

In diesen Tagen sehe ich auch viele Orakelangriffe . Ich finde sie und blockiere die vollständige IP des Angreifers mit diesem Code: CryptographicException: Padding ist ungültig und kann nicht entfernt werden, und die Validierung von viewstate MAC ist fehlgeschlagen

Diebstahl von Cookies

Ich befolge auch die Antworten auf diese Frage: Kann ein Hacker den Cookie eines Nutzers stehlen und sich mit diesem Namen auf einer Website anmelden?
Hauptpunkte: Verwenden Sie immer SSL-Verschlüsselung bei Login-Cookies (requireSSL = true) und platzieren Sie keine Rollen auf Cookies (cacheRolesInCookies = false).

Block in fortgeschrittenem

Ich blockiere auch schwarz gelistete ips aus dem System / program / iis, aber in der Vergangenheit habe ich PeerGuardian benutzt. Auch dort finden Sie viele schlechte IP-Listen, die Sie im Voraus blockieren können. Meine einzige Notiz über diese schlechten IPs ist, dass ich sie nicht für immer blockiere, sondern nur für einige Tage. Die block of bad ips hilft mir auch bei den hundert Spam-Mails. Ссылка

Untersuche das Protokoll

Ich denke, dass es viele Wege gibt, auf denen Menschen denken und versuchen können, auf Ihrer Website einzudringen. Der Punkt ist, wie Sie sie vorhersagen und sie protokollieren können, bevor dies geschieht und immer einen besseren Mechanismus, um sie zu vermeiden. Wie gesagt, Ich überwache die Seite, die nicht gefunden wurde, und den inneren Fehler, den die Seiten verursachen. Diese beiden Methoden zeigen mir eine Menge Penetrationsversuche.

Skript hochladen.

Wenn Sie Zugriff auf das Hochladen von Dateien, Bildern und anderen Inhalten haben, stellen Sie sicher, dass sie nicht im Upload-Verzeichnis ausgeführt werden können. Dies kann durch die Überprüfung der Erweiterung der Datei und durch das Deaktivieren der Ausführung von Programmen und Skripten in diesem Verzeichnis, vom Server selbst, aber auch durch das Einfügen einer web.config in das Upload-Verzeichnis mit:

Lesen Sie einen Fall: Ich wurde gehackt. Evil aspx-Datei hochgeladen namens AspxSpy. Sie versuchen es immer noch. Hilf mir, sie zu fangen!

Checkliste:

Sicherheitsleitfaden für Webanwendungen / Checkliste

Außerdem stehen viele kostenlose Tools zum Testen der Sicherheit von Webanwendungen zur Verfügung. Sie können diese ausprobieren:

• Netsparker : Netsparker Community Edition ist ein SQL Injection Scanner.
• Websecurify
• Watcher : Watcher ist ein Fiddler-Addon, das Penetrationstestern beim passiven Finden von Sicherheitslücken in Webanwendungen helfen soll.
• Wapiti : Schwachstellen-Scanner für Webanwendungen / Sicherheitsprüfer
• N-Stalker
• skipfish : Skipfish ist ein aktives Tool zur Erkennung von Webanwendungen. Es erstellt eine interaktive Sitemap für die Zielseite, indem rekursive Crawl- und Wörterbuch-basierte Tests durchgeführt werden. Die resultierende Karte wird dann mit der Ausgabe von einer Anzahl von aktiven (aber hoffentlich nicht unterbrechenden) Sicherheitsprüfungen versehen. Der mit dem Tool erstellte Abschlussbericht soll als Grundlage für professionelle Sicherheitsbewertungen für Webanwendungen dienen.
• Scrawlr
• x5s : x5s ist ein Fiddler-Addon, das Penetration-Testern bei der Suche nach Sicherheitslücken helfen soll. Das Hauptziel besteht darin, Ihnen dabei zu helfen, die Hotspots zu identifizieren, bei denen XSS auftreten kann: 1. Erkennen, wo sichere Codierungen nicht auf ausgegebene Benutzereingaben angewendet wurden. 2. Ermitteln, wo Unicode-Zeichenumwandlungen Sicherheitsfilter umgehen können. 3. Erkennen, wo nicht-kürzeste UTF-8-Kodierungen Sicherheitsfilter umgehen könnten
• Exploit-Me : Exploit-Me ist eine Suite von Firefox-Sicherheitstools für Webanwendungen, die leicht und benutzerfreundlich sind .

Kostenlose Testtools für Web-Anwendungssicherheit

Ich möchte die gute Antwort von Aristos nicht mit einem Link maskieren, aber Google hat ein Codelab veröffentlicht, um mögliche Exploits von Webanwendungen zu zeigen: its (new) -called google-gruyere .

Es ist eher eine Lernmethode, um die möglichen Exploits zu verstehen, als eine Checkliste, aber das Inhaltsverzeichnis kann Ihnen dabei helfen Ihre Checkliste.

Hier sind einige Kategorien zu berücksichtigen:

• Cross-Site-Skripting (XSS)
  • Datei-Upload-XSS
  • Reflektiertes XSS
  • Gespeicherte XSS
  • Gespeicherte XSS über HTML-Attribut
  • Gespeicherte XSS über AJAX
  • Reflektiertes XSS über AJAX
• Client-Status-Manipulation
  • Erhöhung der Privilegien
  • Cookie-Manipulation
• Cross-Site Request Forgery (XSRF)
• Siteübergreifende Skripteinbeziehung (XSSI)
• Pfad-Traversal
  • Offenlegung von Informationen über Pfad-Traversal
  • Datenmanipulation über Pfad-Traversal
• Denial of Service
  • DoS - Beenden Sie den Server
  • DoS - Überlastung des Servers
• Codeausführung (remote)
• Konfigurationsschwachstellen (Offenlegung von Informationen)
• AJAX-Schwachstellen
  • DoS über AJAX
  • Phishing über AJAX
• Pufferüberlauf und Ganzzahlüberlauf
• SQL-Injektion