Статья Сам себе пентестер: пошаговое руководство для разработчика по самостоятельной проверке безопасности веб-приложения

Стремление как можно быстрее завершить рабочий процесс, будь то деплой ответственного проекта в пятницу или окончание разработки критически важного модуля к концу рабочего дня, часто требует максимальной концентрации и времени. В этой спешке разработчик может случайно упустить из виду критически важные аспекты кибербезопасности веб-приложения. Однако даже незначительная уязвимость способна открыть злоумышленникам несанкционированный доступ к конфиденциальным данным пользователей или нарушить стабильную работу вашего сайта.

Если у вашей команды нет возможности обратиться к услугам профессиональных команд по тестированию на проникновение, базовый анализ уязвимостей вполне можно провести собственными силами. Предлагаем вашему вниманию детальное пошаговое руководство по самостоятельной проверке безопасности и ключевые инструменты, которые помогут выявить наиболее распространенные веб-угрозы.

Для начинающих разработчиков: Если вы только начинаете свой путь в веб-разработке и вопросы безопасности кажутся вам сложными, не волнуйтесь! Эта статья – ваш первый шаг к пониманию основных угроз. Мы постараемся объяснить все простым языком и показать, что основы безопасности может освоить каждый.

Шаг 1. Подготовка к самостоятельному анализу безопасности веб-проекта​

Ваш веб-проект на момент проведения security-аудита может находиться на любом этапе жизненного цикла: от активной разработки до уже запущенного production-окружения. В последнем случае любое падение сервера или временная неработоспособность сервиса может серьезно повредить его репутации и вызвать недовольство пользователей.

Именно поэтому при самостоятельной проверке работающего веб-сайта настоятельно рекомендуется развернуть изолированную тестовую среду. Некоторые инструменты для пентеста могут быть достаточно агрессивны и способны нарушить работу основной системы. Далее необходимо составить подробный чек-лист потенциальных уязвимостей, которые вы планируете протестировать. Для обеспечения максимального уровня защиты рекомендуется исследовать проект на предмет всех известных классов угроз, используя разнообразный инструментарий. В качестве отправной точки проведите исследование на наличие уязвимостей, входящих в актуальный список OWASP TOP 10 (ежегодно обновляемый перечень десяти наиболее критичных рисков безопасности веб-приложений).

На основе детального анализа OWASP TOP 10 и с учетом специфики современной веб-разработки, предлагаем следующий расширенный список для первоначальной проверки:

• SQL-инъекции (SQL injection): Эксплуатация небезопасной обработки SQL-запросов для получения нелегитимного доступа к базе данных и выполнения произвольных команд. Подробнее о методах защиты от SQL-инъекций можно прочитать в статье: SQL-инъекции и методы их предотвращения.
• Межсайтовое выполнение сценариев (Cross-site scripting, XSS): Внедрение вредоносного JavaScript-кода на веб-страницы, который выполняется в браузере конечного пользователя. Рекомендуем ознакомиться с обсуждением на форуме codeby.net: Защита от XSS-уязвимостей в веб-приложениях.
• Подделка межсайтовых запросов (Cross-site request forgery, CSRF): Эксплуатация уязвимости, позволяющая злоумышленнику выполнять несанкционированные действия от имени аутентифицированного пользователя без его ведома. Подробности о механизмах защиты от CSRF-атак представлены в статье: CSRF: механизмы защиты и лучшие практики.
• Обеспечение безопасности учетных записей администрации и пользователей: Проведение брутфорс-атак (метод грубой силы) и эксплуатация IDOR-уязвимостей
• Использование потенциально опасных функций: Наличие в программном коде функций, использование злоумышленником которых позволит нанести максимальный ущерб вашему веб-приложению.

Почему мы начинаем с SQL-инъекций, XSS и CSRF? Эти три типа уязвимостей входят в число наиболее распространенных и опасных угроз для веб-приложений согласно отчету OWASP Top 10. Понимание принципов их работы и методов обнаружения позволит вам значительно повысить безопасность своих проектов на начальном этапе.

Шаг 2. Поиск распространенных уязвимостей веб-приложений своими силами​

В современном киберпространстве активно функционируют многочисленные автоматизированные боты злоумышленников, которые круглосуточно сканируют интернет-ресурсы в поисках наиболее часто встречающихся уязвимостей. Такие вредоносные программы зачастую не различают крупные корпоративные порталы и небольшие личные проекты, поэтому вопросам обеспечения информационной безопасности необходимо уделять пристальное внимание с самых ранних этапов разработки вашего веб-приложения.

С чего же начать самостоятельное исследование защищенности вашего веб-приложения?

1. Комплексная проверка на SQL-инъекции (SQL, NoSQL, Command Injection)​

Если в исходном коде вашего приложения отсутствует надлежащая санитаризация входящих данных (например, некорректная или недостаточная обработка специальных символов, таких как апострофы и кавычки), вредоносный SQL-запрос, внедренный в уязвимый параметр URL или форму, будет успешно интерпретирован сервером базы данных.

Различные виды инъекций традиционно занимают одну из лидирующих позиций в списке OWASP TOP 10, что свидетельствует об их высокой распространенности и потенциальной опасности для веб-безопасности.

Как обнаружить SQL-инъекции?​

• Ручное тестирование: Попробуйте вводить в различные интерактивные элементы веб-сайта (формы поиска, авторизации, фильтрации товаров и т.д.) одинарные (') и двойные (") кавычки, а также другие специальные SQL-операторы (например, UNION SELECT). Неожиданные сообщения об ошибках базы данных или изменения в отображении контента могут указывать на наличие SQLi.
• Автоматизированный анализ уязвимостей:Используйте специализированные инструменты для автоматического поиска SQL-инъекций:
  • SQLmap: Бесплатная утилита с открытым исходным кодом, предназначенная для автоматизации процесса обнаружения и эксплуатации SQL-инъекций. После сканирования веб-приложения SQLmap предоставляет подробный отчет о найденных уязвимых параметрах.
  • Burp Suite: Профессиональный инструмент для комплексного тестирования веб-безопасности. Бесплатная (Community) версия также обладает достаточным функционалом для базовой проверки на SQLi путем перехвата и модификации HTTP-запросов.

Простой пример SQL-инъекции: Представьте себе форму поиска на сайте, которая отправляет запрос в базу данных вида: SELECT * FROM products WHERE name = '$search_term'. Если пользователь в поле поиска введет ' OR '1'='1', то запрос может превратиться в SELECT * FROM products WHERE name = '' OR '1'='1', что может вернуть все записи из таблицы products. Это – очень простой пример, но он иллюстрирует суть проблемы.

2. Тестирование на уязвимости межсайтового скриптинга (Cross-site scripting, XSS)

XSS представляет собой тип уязвимости веб-приложений, который позволяет злоумышленнику внедрять и выполнять произвольный вредоносный код JavaScript в браузере другого пользователя при просмотре скомпрометированной страницы вашего веб-ресурса.

Эффективными мерами противодействия XSS являются корректная настройка строгой политики безопасности контента (Content Security Policy, CSP), обязательная санитаризация всех получаемых от пользователя и отображаемых на странице данных, а также экранирование потенциально опасных символов (например, <, >, ", ').

Как выявить XSS-уязвимости?

• Ручная проверка: Попробуйте ввести произвольный код JavaScript в различные поля ввода на сайте (например, поля для комментариев, поиска, обратной связи), предварительно заключив его в теги <script>. Для быстрой проверки работоспособности можно использовать простой скрипт alert('XSS'). Если после отправки формы или при загрузке страницы появляется всплывающее окно с данным сообщением, это свидетельствует о наличии XSS-уязвимости.
• Инструменты для поиска XSS:
  • Ссылка скрыта от гостей
    : Предоставляет широкие возможности для ручного и автоматизированного поиска XSS-уязвимостей путем анализа HTTP-трафика и внедрения тестовых полезных нагрузок.
  • OWASP ZAP (
    Ссылка скрыта от гостей
    ): Бесплатный и многофункциональный инструмент для аудита безопасности веб-приложений, включающий в себя активный и пассивный сканеры для обнаружения XSS.
  • XSS Hunter: Удобный веб-сервис, специально разработанный для обнаружения и отслеживания эксплуатации XSS-уязвимостей, особенно полезный для начинающих специалистов по безопасности.

Простой пример XSS: Если на сайте есть поле для комментариев, которое не фильтрует введенный пользователем HTML-код, злоумышленник может ввести <script>alert('Привет!');</script>. Когда другой пользователь просмотрит этот комментарий, в его браузере выполнится JavaScript-код, и появится всплывающее окно. В реальных атаках вместо alert() может использоваться код для кражи cookie или перенаправления на вредоносный сайт.

3. Анализ защищенности от подделки межсайтовых запросов (Cross-site request forgery, CSRF)​

Уязвимость CSRF позволяет злоумышленнику выполнять нежелательные действия на вашем веб-сайте от имени уже авторизованного пользователя, при этом последний может даже не подозревать о происходящем.

Основными методами защиты от CSRF являются корректная настройка HTTP-заголовков безопасности (например, SameSite) и обязательная генерация и последующая проверка CSRF-токенов для всех критически важных действий пользователя (например, отправка форм, изменение личных настроек, совершение платежей). Внимательно проанализируйте исходный код вашего веб-приложения в таких ключевых местах, как обработка авторизации, регистрации новых пользователей и другие действия, требующие аутентификации, на предмет наличия надежной защиты от CSRF. В процессе тестирования используйте Burp Suite для перехвата и детального анализа HTTP-запросов и ответов сервера.

Как работает CSRF (простой пример): Представьте, что вы авторизованы в своем онлайн-банке и нажимаете кнопку "Перевести 100$ другу". Браузер отправляет на сервер банка запрос с вашими учетными данными и суммой перевода. Злоумышленник может отправить вам по электронной почте ссылку на поддельную страницу с незаметной формой, которая автоматически отправит на сервер вашего банка запрос на перевод денег на счет злоумышленника. Если вы в этот момент авторизованы в банке, этот запрос может быть выполнен без вашего ведома. Защита CSRF предотвращает такие ситуации с помощью специальных токенов, которые злоумышленник не может получить.

Обеспечение безопасности учетных записей пользователей:​

Не следует забывать и о комплексной безопасности учетных записей пользователей вашего веб-приложения. Внедрите двухфакторную аутентификацию (2FA) для повышения уровня защиты, настройте эффективные механизмы защиты от брутфорс-атак (блокировка после нескольких неудачных попыток входа), своевременно удалите или заблокируйте все неиспользуемые административные аккаунты, принудительно используйте стойкие и уникальные пароли и тщательно протестируйте механизмы контроля доступа к ресурсам (Insecure Direct Object References, IDOR). Для имитации атак методом перебора паролей можно использовать такой инструмент, как Hydra (интегрированный в дистрибутив Kali Linux).

Эксплуатация потенциально опасных функций:​

Существует ряд функций, которые могут позволить злоумышленнику выполнять произвольные команды, например, в операционной системе сервера. Рассмотрим примеры из языка PHP:

eval();
system();
exec();
passthru();
shell_exec();

Данные функции при неверной настройке и отсутствии санитизации несут уязвимость Command Injection или, если код выполняется удаленно, RCE (Remote Code Execution). Их эксплуатация злоумышленником может привести к полной компрометации сервера. Рекомендуется отказаться от использования данных функций или отключить их в php.ini (disable_functions).

Шаг 3. Детальный анализ, оперативное устранение найденных уязвимостей и подведение итогов проведенного аудита​

Предположим, вы успешно выполнили сканирование вашего веб-приложения, выявили и устранили определенное количество потенциальных уязвимостей. Однако важно помнить, что некоторые последствия эксплуатации брешей в безопасности могут сохраняться в системе даже после их формального исправления.

1. Обнаружение и удаление вредоносных скриптов и файлов:​

Уязвимости, относящиеся к типам File Upload, Remote Code Execution (RCE), Local File Inclusion (LFI) или Remote File Inclusion (RFI), могут предоставить злоумышленнику возможность загрузить на сервер вредоносные исполняемые файлы или выполнить произвольный системный код. После устранения подобных уязвимостей крайне важно выполнить следующие действия:

• Проведите тщательную проверку файловой системы веб-сервера на наличие недавно появившихся подозрительных скриптов с небезопасными расширениями (.php, .js, .py и другие) или незаметно подмененных системных библиотек, которые могли быть внедрены в результате эксплуатации уязвимости.
• Проанализируйте настройки планировщика задач cron, системные службы и параметры автозагрузки на предмет обнаружения вредоносных или подозрительных заданий, которые могли быть добавлены злоумышленником для обеспечения постоянного присутствия в системе.

2. Подмена библиотек и уязвимые зависимости:​

Замена злоумышленником хранящихся на сервере библиотек / внедрение в них вредоносного кода, подключение собственных вредоносных библиотек, подмена ссылок, подключающих библиотеки, а также угроза от эксплутации старых, необновленных библиотек с известными уязвимостями. Рекомендуется:

• Проверить участки кода, отвечающие за подключение зависимостей
• Обновить используемые библиотеки
• Проверить хеши файлов (md5sum, sha1sum)

3. Внедрение кода в базу данных:​

При обнаружении уязвимых для SQL-инъекций мест необходимо удостовериться, что злоумышленник не эксплуатировал данную уязвимость. Для этого проведите следующие процедуры:

• Проверьте наличие подозрительных записей в базе данных (содержащих участки SQL-запросов, js-кода). Обратите внимание - вредоносный код может быть зашифрован злоумышленником для усложнения его поиска.
• Удостоверьтесь, что не появилось новых учетных записей, или не изменились данные уже имеющихся аккаунтов (изменение логина/пароля, прав).
• Проверьте триггеры, для этого воспользуйтесь командой SHOW TRIGGERS

4. Проверка учетных данных​

Изменение учетных данных аккаунтов с административным доступом или создание таковых несут прямую угрозу безопасности вашего веб-приложения.
Обновите все пароли и ключи, проверьте учетные записи:

• Баз данных (см. пункт 3)
• SSH
• CMS (если используете)
• Аккаунтов администраторов в самом веб-приложении
• FTP (если не используете - рекомендуется отключить)
• Паролей управления, например, ispmanager (если используете)

Совет: Проведите антивирусное сканирование файлов вашего веб-приложения, по возможности восстановите файлы из "чистого" бекапа.

Подводим итоги самостоятельного пентеста​

Обеспечение высокого уровня безопасности вашего веб-приложения представляет собой непрерывный и многогранный процесс. Даже если вы не являетесь сертифицированным специалистом по тестированию на проникновение или опытным экспертом в области информационной безопасности, регулярное проведение базовых самостоятельных проверок поможет вам своевременно выявить и устранить наиболее критичные уязвимости до того, как они станут объектом эксплуатации со стороны злоумышленников.

Ключевые рекомендации для разработчиков по обеспечению безопасности веб-приложений:​

• Регулярно обновляйте все используемые в проекте зависимости, библиотеки сторонних разработчиков и фреймворки до самых свежих версий, которые часто содержат важные исправления безопасности, устраняющие известные уязвимости.
• Тщательно валидируйте и экранируйте все без исключения пользовательские входные данные на каждом этапе их обработки для предотвращения инъекций и других атак.
• Неукоснительно применяйте принцип наименьших привилегий для всех учетных записей и запущенных процессов в системе, а также осуществляйте строгий контроль за учетными записями с повышенными правами доступа.
• Внедрите и поддерживайте в актуальном состоянии надежную политику безопасности контента (CSP) для минимизации рисков, связанных с межсайтовым скриптингом.
• Используйте современные ORM (Object-Relational Mapping) и другие безопасные методы взаимодействия с базами данных для предотвращения SQL-инъекций.
• Реализуйте надежные механизмы защиты от CSRF для всех критически важных действий пользователей.