Documentazione<Precedenti | Contenuti | Succ.>
11.2.4. Valutazione dell'applicazione
Sebbene la maggior parte delle valutazioni abbia una portata ampia, una valutazione dell'applicazione è una specialità che si concentra strettamente su una singola applicazione. Questi tipi di valutazioni stanno diventando più comuni a causa della complessità delle applicazioni mission-critical utilizzate dalle organizzazioni, molte delle quali sono realizzate internamente. Una valutazione dell'applicazione viene solitamente aggiunta a una valutazione più ampia, come richiesto. Le domande che possono essere valutate in questo modo includono, ma non sono limitate a:
• Applicazioni Web: la superficie di attacco più comune rivolta all'esterno, le applicazioni Web sono ottimi bersagli semplicemente perché sono accessibili. Spesso, le valutazioni standard trovano problemi di base nelle applicazioni Web, tuttavia una revisione più mirata vale spesso il tempo necessario per identificare i problemi relativi al flusso di lavoro dell'applicazione. Il kali-linux-web metapacchetto ha una serie di strumenti per aiutare con queste valutazioni.
• Applicazioni desktop compilate: il software server non è l'unico obiettivo; anche le applicazioni desktop costituiscono una meravigliosa superficie di attacco. Negli anni passati, molte applicazioni desktop come
21http://docs.kali.org/kali-dojo/02-mastering-live-build 22https://www.offensive-security.com/kali-linux/kali-rolling-iso-of-doom/ 23http://docs.kali.org/development/live-build-a-custom-kali-iso 24https://www.offensive-security.com/kali-linux/kali-linux-recipes/
I lettori PDF oi programmi video basati sul Web erano altamente presi di mira, costringendoli a maturare. Tuttavia, esiste ancora un ampio numero di applicazioni desktop che rappresentano una ricchezza di vulnerabilità se esaminate correttamente.
• Applicazioni mobili: man mano che i dispositivi mobili diventano più popolari, le applicazioni mobili diventeranno molto più di una superficie di attacco standard in molte valutazioni. Questo è un obiettivo in rapida evoluzione e le metodologie stanno ancora maturando in questo settore, portando a nuovi sviluppi praticamente ogni settimana. Gli strumenti relativi all'analisi delle applicazioni mobili possono essere trovati nel Reverse Engineering categoria menù.
Le valutazioni delle applicazioni possono essere condotte in una varietà di modi diversi. Come semplice esempio, uno strumento automatizzato specifico dell'applicazione può essere eseguito sull'applicazione nel tentativo di identificare potenziali problemi. Questi strumenti utilizzeranno la logica specifica dell'applicazione nel tentativo di identificare problemi sconosciuti piuttosto che dipendere semplicemente da un insieme di firme note. Questi strumenti devono avere una comprensione incorporata del comportamento dell'applicazione. Un esempio comune potrebbe essere uno scanner di vulnerabilità delle applicazioni web come Burp Suite25, diretto contro un'applicazione che prima identifica vari campi di input e quindi invia attacchi SQL injection comuni a questi campi monitorando la risposta dell'applicazione per le indicazioni di un attacco riuscito.
In uno scenario più complesso, una valutazione dell'applicazione può essere condotta in modo interattivo in a
scatola nera o scatola bianca.
• Black Box Assessment: lo strumento (o valutatore) interagisce con l'applicazione senza alcuna conoscenza o accesso speciale oltre a quello di un utente standard. Ad esempio, nel caso di un'applicazione web, il valutatore può avere accesso solo alle funzioni e caratteristiche disponibili per un utente che non ha effettuato l'accesso al sistema. Tutti gli account utente utilizzati sarebbero quelli in cui un utente generico può autoregistrarsi l'account. Ciò impedirebbe all'autore dell'attacco di essere in grado di esaminare qualsiasi funzionalità disponibile solo per gli utenti che devono essere creati da un amministratore.
• White Box Assessment: lo strumento (o valutatore) avrà spesso pieno accesso al codice sorgente, accesso amministrativo alla piattaforma che esegue l'applicazione e così via. Ciò garantisce il completamento di una revisione completa e completa di tutte le funzionalità dell'applicazione, indipendentemente da dove tale funzionalità risieda nell'applicazione. Il compromesso con questo è che la valutazione non è in alcun modo una simulazione di un'attività dannosa reale.
Ci sono ovviamente sfumature di grigio in mezzo. In genere, il fattore decisivo è l'obiettivo della valutazione. Se l'obiettivo è identificare cosa accadrebbe nel caso in cui l'applicazione subisse un attacco esterno mirato, probabilmente sarebbe meglio una valutazione della scatola nera. Se l'obiettivo è identificare ed eliminare il maggior numero possibile di problemi di sicurezza in un periodo di tempo relativamente breve, un approccio white box può essere più efficiente.
25https://portswigger.net/burp/
In altri casi, può essere adottato un approccio ibrido in cui il valutatore non ha pieno accesso al codice sorgente dell'applicazione della piattaforma che esegue l'applicazione, ma gli account utente sono forniti da un amministratore per consentire l'accesso a quante più funzionalità dell'applicazione possibile.
Kali è una piattaforma ideale per tutti i tipi di valutazione delle applicazioni. In un'installazione predefinita, è disponibile una gamma di diversi scanner specifici per l'applicazione. Per valutazioni più avanzate, esiste una gamma di strumenti, editor di sorgenti e ambienti di scripting. È possibile trovare l'applicazione Web26 e Reverse Engineering27 sezioni di Kali Tools28 sito web utile.