МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
Ордена Трудового Красного Знамени
Федеральное государственное бюджетное образовательное учреждение высшего образования
«Московский технический университет связи и информатики»
__________________________________________________________________
Кафедра «Информационная безопасность»
Отчёт по лабораторной работе №6
по дисциплине «Методы и средства защиты информации в компьютерных сетях»
Выполнили: студенты гр. БСТ2104
Серов Н.Р.
Станишевский И.А.
Филонов М.Д.
Проверили:
асс. Рыбаков С.Ю.
асс. Раковский Д.И.
Москва, 2024 г.
Задание
Выбрать web-ресурс для тестирования. Web-ресурс должен принадлежать Вам, либо Вы должны получить письменное подтверждение от владельца web-ресурса на проведение тестирования на проникновение.
1.1.В качестве стандартного web-ресурса для тестирования использовать ip-адрес маршрутизатора в домашней локальной сети.
1.1.1. Сделать скриншот домашней страницы и привести ip-адрес маршрутизатора в отчете.
1.2.В качестве альтернативы развернуть виртуальную машину с ОС любого маршрутизатора.
1.2.1. Сделать скриншот конфигурации виртуальной машины;
1.2.2. Сделать скриншот установленной ОС маршрутизатора;
1.2.3. Провести проверку соединения посредством команды ping. Сделать скриншот, подтверждающий успешность установки соединения между виртуальной машиной и материнским хостом и привести ip-адрес виртуального маршрутизатора.
1.3.В случае анализа стороннего web-ресурса привести:
1.3.1. Письменное согласие от владельца web-ресурса на проведение тестирования на проникновение.
1.3.2. Скриншот главной страницы web-ресурса и URL, по которому будет проводиться тестирование.
2. Скачать и установить ZAP: https://www.zaproxy.org/download/.
2.1. Сделать скриншот главного экрана программы.
3. Кратко описать функционал программы.
4. Провести анализ выбранного web-ресурса для тестирования.
4.1.Сделать скриншот работы ZAP.
5. Получить список обнаруженных web-уязвимостей. Привести и заполнить в отчете таблицу
Содержание
Цель работы 4
Теоретическая часть 4
Ход выполнения работы 5
Заключение 12
Цель работы
Приобретение навыков поиска уязвимостей в веб-ресурсах путём выявления структуры ресурса, сканирования на уязвимости и выявления ошибок в логике работы.
Теоретическая часть
Процесс выявления web-уязвимостей является комплексным мероприятием. Конкурентным преимуществом программы ZAP перед аналогами является:
• Открытый программный код;
• Открытая лицензия;
• Перевод на русский язык;
• Возможность обнаружения ряда типовых уязвимостей «их коробки»
Ход выполнения работы
В качестве стандартного web-ресурса для тестирования будем использовать ip-адрес маршрутизатора в домашней локальной сети. Открываем командную строку (win + r, cmd), вводим команду ipconfig для вывода информации об адресе маршрутизатора.
Рисунок 1 – Вывод результата командной строк
В браузере перейдем на домашнюю страницу маршрутизатора
Рисунок 2 – Домашняя страница маршрутизатора
Скачать и установить ZAP.
Рисунок 3 – Скриншот главного экрана программы
Краткое описание функционала программы ZAP:
1) Режимы сканирования
В OWASP ZAP существуют 4 режима сканирования:
Обычный режим — стандартное сканирование.
Безопасный режим — режим сканирования с ограниченным доступом, который выполняет только безопасные действия, минимизируя риск нанесения ущерба системе. В этом режиме не осуществляются атаки на целевой сайт.
Защищенный режим — режим сканирования, который позволяет моделировать потенциально опасные уязвимости.
Режим атаки — режим, который не только выполняет сканирование, но и запускает атаки на выявленные уязвимости на целевом сайте или приложении.
2) Сайты
Отображаются сайты, которые сканируются в данный момент или уже были просканированы. Также в данном разделе отображается полная структура сайта.
3) Раздел со сканированием
В этом разделе запускается сканирование сайта.
4) Результаты
Раздел с результатами располагается внизу и подразделяется на следующие вкладки:
История — показывает список всех выполненных запросов в хронологическом порядке их отправления.
Поиск — предоставляет возможность осуществлять поиск с использованием регулярных выражений в URL-адресах, запросах, ответах и заголовках.
Уведомления — демонстрирует выявленные уязвимости на просканированном веб-сайте, разбивая их по категориям. Каждой уязвимости назначается уровень критичности.
Вывод — отображает различные информационные сообщения, такие как трассировка стека, ошибки и другие отладочные сведения.
Рисунок 4 – Результат работы программы
Заполним табл. 1, используя полученный список обнаруженных web-уязвимостей
№ уязвм. |
Уровень опасности |
Название уязвимости |
Описание уязвимости |
Способ (способы) устранения выявленной уязвимости |
1 |
Средний |
CSP: style-src небезопасный встроенный |
Политика безопасности контента (CSP) - это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак. Включая (но не ограничиваясь) межсайтовыми сценариями (XSS) и атаками путем внедрения данных. Эти атаки используются для всего, от кражи данных до повреждения сайта |
Убедитесь, что ваш веб-сервер, сервер приложений, балансировщик нагрузки и т. д. правильно настроены для установки заголовка Content-Security-Policy. |
2 |
Средний |
CSP: Директива подстановочного знака |
Политика безопасности контента (CSP) - это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак. Включая (но не ограничиваясь) межсайтовыми сценариями (XSS) и атаками путем внедрения данных. Эти атаки используются для всего, от кражи данных до повреждения сайта или распространения вредоносного ПО. CSP предоставляет набор стандартных HTTP-заголовков, которые позволяют владельцам веб-сайтов объявлять утвержденные источники контента, которые браузерам следует разрешить загружать на эту страницу - охватываемые типы - это JavaScript, CSS, HTML-фреймы, шрифты, изображения и встраиваемые объекты, такие как Java-апплеты, ActiveX, аудио и видео файл |
Убедитесь, что ваш веб-сервер, сервер приложений, балансировщик нагрузки и т. д. правильно настроены для установки заголовка Content-Security-Policy. |
3 |
Средний |
CSP: скрипт-SRC небезопасный встроенный |
Политика безопасности контента (CSP) - это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак. Включая (но не ограничиваясь) межсайтовыми сценариями (XSS) и атаками путем внедрения данных. Эти атаки используются для всего, от кражи данных до повреждения сайта или распространения вредоносного ПО. CSP предоставляет набор стандартных HTTP-заголовков, которые позволяют владельцам веб-сайтов объявлять утвержденные источники контента, которые браузерам следует разрешить загружать на эту страницу - охватываемые типы - это JavaScript, CSS, HTML-фреймы, шрифты, изображения и встраиваемые объекты, такие как Java-апплеты, ActiveX, аудио и видео файлы. |
Добавление заголовка X-Frame-Options или использование директивы CSP для предотвращения кликджекинга |
4 |
Средний |
Уязвимость JS Библиотеки (Library) |
Выявленная библиотека jquery-validation версии 1.10.0 уязвима. |
Обновите до последней версии jquery-validation. |
5 |
Низкий |
Раскрытие отметки времени - Unix |
Отметка времени была раскрыта приложением / веб-сервером - Unix |
Вручную подтвердите, что данные отметки времени не являются конфиденциальными и что данные не могут быть агрегированы для выявления шаблонов, которые можно использовать. |
6 |
Низкий |
Session Management Response Identified |
Данный ответ был распознан как содержащий маркер управления сессией. Поле "Дополнительная информация" содержит набор токенов заголовков, которые могут использоваться в методе управления сессиями на основе заголовков. Если запрос находится в контексте, где метод управления сессиями установлен как "Автоматическое определение", то это правило изменит управление сессиями на использование идентифицированных токенов. |
Это информационное предупреждение, а не уязвимость, поэтому ничего исправлять не нужно. |
7 |
Низкий |
Несоответствие кодировки |
Эта проверка определяет ответы, в которых заголовок HTTP Content-Type объявляет кодировку, отличную от кодировки, определенной в теле HTML или XML. Когда существует несоответствие кодировки между заголовком HTTP и телом содержимого, веб-браузеры могут быть принудительно переведены в нежелательный режим анализа содержимого для определения правильного набора символов содержимого. Несоответствие кодировки между заголовком HTTP и объявлением кодировки XML: [utf-8] и [null] не совпадают. |
Принудительно использовать UTF-8 для всего текстового содержимого как в заголовке HTTP, так и в метатегах в HTML или объявлениях кодировки в XML. |
8 |
Низкий |
Раскрытие информации - подозрительные комментарии |
Ответ содержит подозрительные комментарии, которые могут помочь злоумышленнику. Примечание: совпадения, сделанные в блоках или файлах скрипта, относятся ко всему содержимому, а не только к комментариям. |
Удалите все комментарии, которые возвращают информацию, которая может помочь злоумышленнику, и устраните все основные проблемы, на которые они ссылаются. |
9 |
Низкий |
Современное веб-приложение |
Приложение выглядит как современное веб-приложение. Если вам нужно изучить его автоматически, то Ajax Spider может оказаться более эффективным, чем стандартный. |
Это информационное предупреждение, поэтому никаких изменений не требуется. |
Исходя из предоставленной информации, можно заключить, что веб-ресурс подвергается нескольким уязвимостям различной степени опасности, что может негативно сказаться на его безопасности. Для повышения уровня защиты веб-ресурса рекомендуется внедрить комплекс мер безопасности, включая:
1. Использование эффективных заголовков безопасности, таких как Content-Security-Policy и X-Frame-Options, для снижения рисков межсайтового скриптинга и кликджекинга.
2. Регулярное обновление библиотек и фреймворков для устранения известных уязвимостей, например, обновление библиотеки jQuery Validation до последней стабильной версии.
3. Корректное управление сессиями и минимизация утечек информации, включая устранение вероятных точек раскрытия конфиденциальных данных, таких как комментарии и метки времени.