Bu proje ile Orfeo Uygulamasının Güvenliğini (Doküman Yönetim Sistemi) değerlendirmek için OWASP V.4 metodolojisine dayalı bir Pentesting tasarımı gerçekleştirildi.
Proje, uluslararası ISO 27002 standardı, 2016 Siber Güvenlik ve Siber Savunma Politikasına ilişkin ulusal yönergeler gibi tanınmış standartlarda tanımlanan yönergelere dayanılarak geliştirilmiştir.
Geçerli düzenleyici çerçeve belirlendikten sonra, Yeni Dönem Destek Grubunda tanımlanan prosedürlerin ve yöntemlerin mevcut teşhisi konuldu. Yönlendirilen bilgiler, düşük penetrasyon testini, geliştirilen tasarımda kullanılan test türü olan “Gray Box” stratejisi ile hazırlamak için analiz edilmiştir. Son olarak ve toplanan bilgilere dayanarak, Yeni Dönem Destek Grubu yöneticilerine teslim edilen Pentest'in dokümantasyon aşamasında İcra Raporu ve Teknik Rapor olmak üzere iki nihai rapor hazırlanmaktadır.
Terimler Dizini: Tehdit, Güvenlik Denetimi, Siber Güvenlik, Gri Kutu, Pentesting, Güvenlik Açığı.
GİRİŞ
Son yıllarda, kuruluşların bilgi sistemlerinin Web Uygulamalarındaki güvenliğin, kötü amaçlı yazılım veya bilgisayar niteliğindeki saldırılar nedeniyle giderek daha fazla tehlikeye girdiği, idari hatalara ve bilgi yönetimine katkıda bulunduğu görülmektedir. örneğin: kötü hazırlanmış yapılandırmalar, insan hataları, verimsiz güvenlik politikaları ve bir saldırgan tarafından bir bilgi sistemine zarar vermek için kullanılabilecek diğer güvenlik açıkları. Saldırgan bir birey, bir grup hacker veya bir Ulus olabilir. Nihai hedefi, iş operasyonunu değiştirmek, uygulamaları, sunucuları devre dışı bırakmak ve ağ geçici veya kalıcı olarak iletişim kurmaktır.
Bu soruna karşı koymak için, kuruluşların bu tür denetimlerin çok pahalı olduğu iyi bilindiği için düzenli olarak penetrasyon testleri yapmaları gerekir, çünkü en az 6 ayda bir yapılması önerilir. Bu nedenle, Telematik Ofisi - Yeni Dönem Destek Grubunun Koordinasyonu, Kuruluşun Güvenlik bölgesi üyeleri tarafından gerçekleştirilecek bir Güvenlik Pentestinin tasarımı ve geliştirilmesi konusunda tavsiye edilir. Bu penetrasyon testleri, Orfeo Doküman Yönetim Uygulamasının çalışmasını sağlamayı amaçlayan temel özelliklerden biridir, bu uygulama New Age Destek Grubu'nun tüm personelinin bilgilerini yönetir ve bu nedenle başka bir İnsan Kaynakları Uygulaması ile bağlantılıdır.,İşletmenin bilgi ve işleyişini korumak için veya kuruluşun aşağıdaki olaylardan herhangi birini sunması durumunda kuruluşun iç desteğine sahip olmak gerekir:
- Güvenlik sistemi yeni tehditleri keşfeder, yeni bir ağ altyapısı eklenir, sistem güncellenir veya yeni bir yazılım yüklenir. D) Yeni bir program / ilke son kullanıcısı yapılandırıldı.
Bu nedenle mevcut proje, özellikle New Age Destek Grubu için hazırlanan bir Pentesting tasarlamaya odaklandı. Bu Ofisin 150 iş istasyonu ve Orfeo'ya her gün bağlı yaklaşık 500 kullanıcısı var. Bir kurum olarak statüsü nedeniyle, bilgi ülkedeki en hassaslardan biri olarak kabul edilir, bu nedenle, bu belgenin üçüncü taraflar tarafından erişilebilir olmayacağı, dolayısıyla mevcut durumunu Siber Güvenlik düzeyinde bilmesi gerektiğinin garanti edilmesi gerekir. Bu konuyla ilgili mevcut yönetimin bir kısmı, daha önce düşünmeleri gereken senaryolar, bir penetrasyon testinin yürütülmesi için sahip olmaları gereken minimum gereklilikler ve diğer mekanizmalarla hangi yönlerin dikkate alınması gerektiği konusunda rehberlik etmek için (yapılandırmaların ve prosedürlerin revizyonu, uygulamaları,vb.) sunulan raporların BT personeli için çok yararlı olduğunu unutmayın.
Proje, dört aşamada uyarlanan OWASP V.4 metodolojisine dayanılarak geliştirilmiştir:
- Bilgi Toplama Tarama Sömürü Belgeleri.
Şekil 2. - Pentesting'in hazırlanmasına ilişkin aşamalar
Son olarak ve bulgulara dayanarak, Yeni Dönem Destek Grubu yöneticilerine sunulacak Pentest dokümantasyon aşamasında, Yürütme Raporu ve Teknik Raporda iki nihai rapor hazırlanmaktadır.
II.METODOLOGÍA
Pentesting tasarımında kullanılan metodoloji, tümevarımsal bir başlangıç yaklaşımı ile nitel araştırmalara dayanmaktadır, başlangıçtan bitişe kadar bulunan bulgularla esnek bir tasarım sunulmaktadır.
Pentest projesinin araştırmasını çevreleyen unsurları inceleyen bütünsel bir bakış açısı içerir. Mülakatlara dayanarak, doğrudan gözlemde, sağlanan her belgenin analizinde. Bu nedenle, Şekil 2'de gösterildiği gibi aşamalara göre sınıflandırılmıştır.
Şekil 3. Metodolojide uygulanan aşamalar
A) Aşama 1: Bilgi Türü
Bilgiler, Neden ile ilgili temel bilgilerden başlayarak aşamalı bir şekilde aranır. Bu bilgi elde edildikten sonra, bir arama stratejisi olarak Ne ve Nasıl? Sorusunun araştırılmasına devam ediyoruz.
B) Aşama 2: Bilgi Kaynağı
Bu aşamaya ulaşmak için, güvenilir bir sonuç elde etmek üzere iki bilgi kaynağı dikkate alınmıştır.
- Nüfus: Web Uygulaması ile ilgili aktörler hem doğrudan hem de dolaylı olarak, yani onunla etkileşimde bulunanlar ve olası saldırılardan koruyanlar tarafından dikkate alınmıştır. Gösteriler:Nüfus unsurlarını belirlemek için, Bilgi Toplama ve Web Uygulaması'na müdahale eden kullanıcıların tanımlayıcı bir analizini içeren Pentesting'in ilk aşaması uygulanır ve bunlar, Telematik Ofisi'nden uygulama, çırak, yedekleme yöneticisi ve başlık yöneticisi. Uygulama mimarisi ile ilgili bilgilere sahip olan ve aracın nasıl çalıştığını tam olarak anlayan kişilerdir. Bu kişiler uygulama kılavuzları, politikalar, ağ mimarisi ve son yapılan denetim hakkında bilgi verdiler.
C) Aşama 3: Bilgi arama araçları
- Web Uygulaması Araştırmasının Genel Araştırması: Bu anketin sonucunun amacı Telematik Ofisi'ndeki araştırma sürecimize başlamak için belirleyiciydi, bizi kullanıcılar için bunun önemini algıladığımız uygulamaya yakınlaştıracak verilere ihtiyacımız vardı. İlk filtre, Yönetimin iş birliğini üstlenecekti, bu kişi bize ilk bilgileri verdi ve Pentest'i bağımlılıklarına yardım etmek için yürütme ihtiyacını belirledi. Genel yönler ve bazı iş perspektifleri üzerine temel ve özlü bir anket tasarlanmış, cevap seçeneği (EVET-HAYIR) ve aylar halinde listelenmiştir. Bu çalışmanın sonunda Ek olarak bulunabilecek 10 sorudan oluşmaktadır.Bilgi Toplama Anketi
Web uygulama tekniği:
Bu ankette istenen bilgiler, Web Uygulaması'na odaklanan kullanılabilirlik verileri, yapılandırma verileri, altyapı verileri ve güvenlik verileri gibi veriler sağlar. Bilgi toplamak için kullanılan teknik ayrıntılı anketler yoluyla yapıldı ve uygulamanın, geliştiricinin, yedekleme yöneticisinin ve ana yöneticinin işleyişinde yer alan ana aktörler üzerinde gerçekleştirildi. Saldırı tekniklerini uygulamak ve böylece bu güvenlik denetiminin geliştirilmesinde bulunan güvenlik açıklarını kontrol etmek için Pentesting'in performansıyla ilgili beklentilerini bildirerek en alakalı bilgileri sundular.Bu görüşme tekniğini kullanmanın amacı, başlangıçtaki güvenlik açıklarını ve olası tehditleri ölçmek için göstergelere sahip olmaktır. Bu anketlerin amacı, uygulamanın mevcut kontrolleri olan bir bilgi tabanına sahip olmaktır. Cevap seçeneği açıklayıcı bir metindi ve cevabı açık bir şekilde tanımlayabildi. Sonuçlar, Penetrasyon Testini başlatmak ve bu çalışmanın hem Telematik Ofisi hem de bizim için yapılmasının önemini desteklemek için önemli bir faktördü.bu da cevabı açık bir şekilde özgürce tarif etmeyi sağlar. Sonuçlar, Penetrasyon Testini başlatmak ve bu çalışmanın hem Telematik Ofisi hem de bizim için yapılmasının önemini desteklemek için önemli bir faktördü.bu da cevabı açık bir şekilde özgürce tarif etmeyi sağlar. Sonuçlar, Penetrasyon Testini başlatmak ve bu çalışmanın hem Telematik Ofisi hem de bizim için yapılmasının önemini desteklemek için önemli bir faktördü.
- Doğrudan gözlem:Bu teknik, kullanımı doğrudan ve dinamik bir şekilde tarif eden teknik olduğu için etkinliği nedeniyle seçilmiştir, ana geliştiricilerin, uygulama geliştiricisi durumunda sorulara daha net bir cevap vermek için uygulama ile etkileşime girdiği gözlemlenmiştir. kavramları kısaydı ve cevabını daha fazla açıklamak için araca güvenmek zorundaydı, örneğin rol atama testinde, basamaklı menülerde bir kullanıcının nasıl oluşturulduğunu ve izinlerin nasıl atandığını açıkladı, uygulama yönetimi ve kontrolü hiyerarşisi. Bu tekniği veri toplama için kullanmanın yararı, verilerin ana kaynaklardan birinden türetildiği için doğru olmasıdır.Bu teknik, ilk işlem için en etkili olanıdır ve uygulanması çok kolaydır, çünkü uygulamayı kullanmanın yeterli ve tanımlanmış ve kesin davranışlarını sağlar.Toplanan bilgilerin analizi: Her biri için arama ve açıklama stratejileri Pentest tasarımında tamamlandıktan ve birleştirildikten sonra, bir Excel şablonu kullanılarak geleneksel yöntem kullanılarak bir değerlendirme yapılır, yanıtlar tablo haline getirilir ve Grafiksel olarak yorumlayıcı bir analiz yapıldı.
Şekil 4. Orfeo Uygulamasının ankete dayalı güvenlik yüzdesi.
Açık sorular anketi için katılımcı sayısı ve başvuru hakkında sahip oldukları bilgi ve algı ile, yani başvuruyu ve nasıl yapıldığını bildiklerinde bir araya getirilmiştir. Veri gruplarının her biri 5 soru içerir, bu beş sorudan aktörün uygulama hakkında bilmediği sorular seçilir. Tablo 4'e göre, ana aktörlerin güvenlik konularında uygulamayı tam olarak bilmediklerini, endeksin sahip olduğu rolün önemi için çok düşük olduğunu tespit ediyoruz. Benzer şekilde, Yedekleme Yöneticisinin Geliştirici ile ilgili bilgisi gözlenir, bu, katılımcı 1'in uygulama hakkında daha fazla bilgi sahibi olduğunu gösterir, böylece rolü Yedekleme Yöneticisi rolünün altındadır. Sonuç olarak,bu bilgilerden, ana yöneticinin yedek yöneticiye yönelik eğitim eksikliğinin yetersiz olduğu ve katılımcı 3'ün rolünden çekilmesi durumunda ciddi sonuçlara yol açabileceği söylenebilir.
Tablo 1. Ankete katılanlar
III.RESULTS
Orfeo Web Uygulaması (Doküman Yönetim Sistemi) New Age Destek Grubunun güvenliğinin değerlendirilmesi için OWASP V.4 Metodolojisine dayalı bir Pentesting tasarlandı.
Aşağıdaki şekilde açıklanmıştır 5.
Şekil 5. Pentesting Aşamasına Göre Testlerin Genel Tanımı
Bu tasarım, aşağıdaki testlerle yürütülürken çeşitli güvenlik açıklarının tespit edildiği bir Pentesting uygulamasıyla doğrulanmıştır.
- Bilgi Toplama Testleri Arama Motoru Tanıma Rolleri Tanımlama Testi Zayıf veya Güçlendirilmemiş Kullanıcı İlkesi Testi Kimlik Doğrulama Testleri Test Ağı / Altyapı Yapılandırma Testleri Testi Kesitsel Dizin Testi İhmal Yetkilendirme Düzeni Testi Şema Testi oturum yönetimi Maruz kalan oturum değişkenlerini test etme Aynalı siteler arası kodlama testleri Clickjacking testleri SQL Enjeksiyon testleri Açık metin şifre testi Kullanıcı girişi veya giriş testi Bilgi sızıntı testi
Analiz için, açıklanan testler güvenlik açıklarının Tarama - Tespiti ve manuel analiz testleri için araçlar kullandı. Sonuç olarak aşağıdaki risk tablosunun elde edildiği yerler.
Tablo 2. Ciddiyet ve güvene göre güvenlik açığı analizi
Tasarımda tanımlanan 53 testten yapılan 35 test için görebildiğimiz gibi, Orfeo uygulamasında güvenlik açıklarını gösteriyor, Orfeo'nun yüzde 30'unun tehdit altında olduğu ve önerilen tasarımın uygulanması ihtiyacının doğrulandığı açık.
IV TARTIŞMA
Bu çalışma, bir Web uygulaması için bir Pentesting tasarlamak amacıyla, New Age Destek Grubu'na bir metodoloji ve siber güvenlik ekibine bu testleri gerçekleştirirken rehberlik etmenin yanı sıra, Geliştirilen veya edinilen Uygulamalarınızdaki bilgiler. Bu projenin sonuçları, sistemlerinizi mümkün olan en fazla sayıda tehdide karşı korumanın yanı sıra, bu güvenlik önlemlerini oluşturmaktan ve onları aktif ve güncel tutmaktan sorumlu olmanın çok önemli olduğunu göstermektedir.
Bu sonuçlar, ilk Web uygulama güvenliği (OWASP) projesi tarafından ilk 10 güvenlik açığı içinde yapılan ve sıklıkla üretilen Web Uygulamalarında yapılanlar gibi önceki çalışmalarda elde edilen sonuçlarla uyumludur. Bununla birlikte, OWASP Metodolojisi tarafından önerilen testlerin birçoğu güvenlik açıklarını tespit etmek için yeterli değildi, bu nedenle diğer yazarlara ve tekniklere danışıldı. Çünkü bilgisayar saldırıları her gün gelişiyor ve bu uygulamaları destekleyen altyapılarda zaten kontroller mevcut.
Bulunan bulguların her biri tarafından tarif edildiği gibi, bu sonuçlar için birkaç olası açıklama vardır.
- Hata Yönetimi ve kullanıcı erişimi için Güvenlik politikası yoktur Kullanıcı Yönetimi Yönetimi için Güvenlik politikası yoktur Uygulama dağıtım şemaları ile ilgili herhangi bir doküman yoktur Uygulama kaynak kodu için teknik kılavuz bulunmamaktadır. güncel olmayan Orfeogpl tarafından sağlananlar dışında, uygulamada yapılan değişikliklerin kontrolüne ilişkin RFC belgesi yoktur Bilgi güvenliği konusunda deneyimli olmayan personel. Web uygulama sunucuları gibi uygulamayı destekleyen altyapının verimsiz yapılandırılması Üçüncü taraflarla sözleşme yaptıkları uygulamaların veya bilgi sistemlerinin onaylanması yok. güvenli web uygulamalarının geliştirilmesinde güvenlik politikalarının eksikliği.
Küçük örneklem büyüklüğü göz önüne alındığında, yorumlar yapılırken dikkatli olunmalıdır çünkü toplam tasarlanmış testlerin sadece% 35'i analiz edilmektedir ve Orfeo'nun bir Açık Kaynak uygulaması kullanılarak test edildiğini, geliştirme kodunun Uygulamasında daha büyük bir güvenlik açığı oluşturan web'de yayınlanır. Bu nedenle daha büyük güvenlik önlemleri alınmalıdır. Yüksek olarak sınıflandırılan toplam güvenlik açığı sayısı, tasarlanan ve önerilen 53 testi uygularken daha pek çok şey olabileceğini düşündürmektedir. Bu konuyla ilgili gelecekteki çalışmaların, web uygulamalarının geliştirilmesinde yaşam döngüsünün aşamalarını ele alması önerilmektedir, çünkü bu bulguların birçoğu web uygulamalarının tasarım ve uygulamasından kaynaklanmaktadır.
V. SONUÇLAR
Bu makaleyi sonuçlandırmak için, bilgi güvenliği bağlamında Web Uygulamaları üzerinde Pentesting testleri yapmanın önemini aklımızda tutalım, çünkü bu testler kuruma ne tür bir güvenlik uyguladıklarına ve bazı yönlerin iyileştirilmesi gerekiyorsa, bu kısıtlanmıştır. Güvenlik politikaları iyi hedeflenmişse, web uygulamalarınızda geliştirme yaşam döngüsündeki boşluklar daha küçük olacaktır.
Bu projede, OWASP V.4 metodolojisine dayalı Pentesting tasarımı ile Orfeo Web Uygulamasının (Doküman Yönetim sistemi) güvenliğini değerlendirmek için bir Pentesting tasarlanması önerildi. Bu, keşif çalışması yoluyla Orfeo uygulamasında güvenlik açıkları olduğunu ve bu aynı tehditlerin New Age Destek Grubu Telematik Ofisi'nin sahip olduğu diğer Sistemlerde de mevcut olduğunu göstererek sevindiriciydi.
Bu rapordaki bulgular en az 5 sınırlamaya tabidir: Birincisi, bazı sistem kaynaklarına erişimi kısıtlayan güvenlik politikaları, test için örneklem büyüklüğü. Web uygulamalarının güvenliğinde yalnızca üretim ortamında bulunanların değil, aynı zamanda geliştirme ve test aşamasında olanların da alınması önerilmektedir.
Son olarak, Orfeo bir Açık Kaynak Web uygulaması olduğundan, Açık Kaynak kodunu uygulamak isteyen herhangi bir kuruluşun, sunduğu güvenlik risklerini azaltmak için altyapının kodlanması ve uygulanmasında ayarlamalar yapması önerilir.
TESTERE. TEŞEKKÜR
İlerlememize izin veren bu çalışmanın oryantasyonuna müdahale eden yöneticilere, bu Uzmanlaşma sırasında iz bırakan öğretmenler, özellikle Mühendis Jairo E. Márquez D, tutkusu için Pentesting hattını takip etmemize ilham verdi. öğreterek yaptıklarına ve konuyla yaptığı katkılara
Aynı şekilde, bu soruşturmayla ilgilenenlere, Mühendisi Fabián Blanco gibi, bizimkileri tamamlamamıza izin vermeleri ve yardım etmeleri için.
VII. KAYNAKÇA REFERANSLAR
İnternet sayfaları:
- Fernando Mum (2017). Test Kılavuzu V.4 bkz. İspanyolca Versiyon. Https: // www adresinden kurtarıldı. OWASP V.4.org/index.php/Sobre_ OWASP V.4 ISECOM (2.017). OSSTMM Açık Kaynak Güvenlik Test Metodolojisi Kılavuzu. Http://www.isecom.org/home.html ve http://www.isecom.org/mirror/OSSTMM.3.pdf OS (2.013) adresinden kurtarıldı. İnternette gizlenmek ister misiniz? Http://anonym-url.com/index.html adresinden kurtarıldı. Sızma Testinin Sınırlamaları. (2016). Neden Kalem Testi? Sızma Testi Neden Önemli? Http://www.pen-tests.com/tag/penetration-testing İzinsiz Giriş testinden (III) kurtarıldı. (2007). Kötülüğün yanında bir bilgisayar bilimcisi. Son güncelleme (2.015). Kurtarıldı: http://www.elladodelmal.com/2015/03/test-de-intrusin-iii-de-vi.html Bilgi toplama. (2,011). DragonJar topluluğu. Kurtarılan: https: // issuu.com.tr / dragonjar / docs / information_gathering__gu_a_de_pentesting Ulusal Açık ve Mesafe Üniversitesi. Ölçme ve Değerlendirme Araçları. (2015). Kurtarıldı: http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_30_herr amientas_para_pruebas_y_evaluacin.html
Online dergi makaleleri:
- Portafolio Dergisi. (2014). Portföy İşletme Bölümü. Bogota Kolombiya. İş çantası. Kurtarıldı: http://www.portafolio.co/negocios/empresas/colombia-principal-fuenteciberataques-latinoamerica-50768). Bir kitaptan bölüm Tori Carlos (2008). "Sistemlere izinsiz giriş teknikleri, güvenlik kontrolleri ile ilgili metodolojiler ve gerçek örnekler. C Mastroianni'de (Ed.). SQL kod enjeksiyonu (s. 164-172). Rosario, Arjantin. Kim Peter (2015). Hacker Playbook 2 Penetrasyon Testi Kuzey Charleston Pratik Kılavuzu. MHID Gezegeninde (Ed.). Siteler Arası Komut Dosyası Oluşturma ve Siteler Arası İstek (s. 149-155). Güney Carolina Video: http://www.youtube.com/watch?v=sQe7d_2WG30
