OnWorks Linux ו-Windows Online WorkStations

לוגו

אירוח מקוון בחינם עבור תחנות עבודה

<הקודם | תוכן | הבא>

11.2.4. הערכת יישום


בעוד שלרוב ההערכות יש היקף רחב, הערכת יישום היא מומחיות המתמקדת באופן צר ביישום יחיד. הערכות מסוג זה הופכות נפוצות יותר בשל המורכבות של יישומים קריטיים למשימה שארגונים משתמשים בהם, שרבים מהם נבנים בתוך הבית. הערכת בקשה מתווספת בדרך כלל להערכה רחבה יותר, לפי הצורך. בקשות שניתן להעריך באופן זה כוללות בין היתר:

• יישומי אינטרנט: משטח ההתקפה הנפוץ ביותר הפונה כלפי חוץ, יישומי אינטרנט יוצרים מטרות נהדרות פשוט בגלל שהם נגישים. לעתים קרובות, הערכות סטנדרטיות ימצאו בעיות בסיסיות ביישומי אינטרנט, אולם סקירה ממוקדת יותר היא לעתים קרובות שווה את הזמן כדי לזהות בעיות הקשורות לזרימת העבודה של האפליקציה. ה kali-linux-web ל-meta-pack יש מספר כלים שיעזרו בהערכות אלו.

• יישומי שולחן עבודה מהודרים: תוכנת שרת אינה המטרה היחידה; יישומי שולחן עבודה גם מהווים משטח התקפה נפלא. בשנים עברו, יישומי שולחן עבודה רבים כגון


תמונה

21http://docs.kali.org/kali-dojo/02-mastering-live-build 22https://www.offensive-security.com/kali-linux/kali-rolling-iso-of-doom/ 23http://docs.kali.org/development/live-build-a-custom-kali-iso 24https://www.offensive-security.com/kali-linux/kali-linux-recipes/‌‌‌

קוראי PDF או תוכניות וידאו מבוססות אינטרנט היו ממוקדים מאוד, מה שאילץ אותם להתבגר. עם זאת, יש עדיין מספר רב של יישומי שולחן עבודה המהווים שפע של פגיעויות כאשר הם נבדקים כראוי.


• יישומים ניידים: ככל שהמכשירים הניידים הופכים פופולריים יותר, יישומים ניידים יהפכו להרבה יותר משטח התקפה סטנדרטי בהערכות רבות. זהו יעד שזז במהירות ומתודולוגיות עדיין מבשילות בתחום זה, מה שמוביל לפיתוחים חדשים כמעט מדי שבוע. ניתן למצוא כלים הקשורים לניתוח יישומים ניידים ב- הנדסה הפוכה קטגוריית תפריט.


הערכות יישום יכולות להתבצע במגוון דרכים שונות. כדוגמה פשוטה, ניתן להפעיל כלי אוטומטי ספציפי לאפליקציה כנגד האפליקציה בניסיון לזהות בעיות פוטנציאליות. כלים אלה ישתמשו בלוגיקה ספציפית ליישום בניסיון לזהות בעיות לא ידועות ולא רק בהתאם לקבוצה של חתימות ידועות. כלים אלו חייבים להיות בעלי הבנה מובנית של התנהגות האפליקציה. דוגמה נפוצה לכך תהיה סורק פגיעות של אפליקציות אינטרנט כגון Burp Suite25, מכוון נגד אפליקציה המזהה תחילה שדות קלט שונים ולאחר מכן שולח התקפות הזרקת SQL נפוצות לשדות אלו תוך ניטור תגובת האפליקציה לאיתור אינדיקציות להתקפה מוצלחת.

בתרחיש מורכב יותר, הערכת יישומים יכולה להתבצע באופן אינטראקטיבי בכל אחת מהן

קופסא שחורה או קופסה לבנה.


• הערכת קופסה שחורה: הכלי (או המאבחן) מקיים אינטראקציה עם האפליקציה ללא ידע מיוחד או גישה מעבר לזו של משתמש רגיל. לדוגמה, במקרה של יישום אינטרנט, למעריך עשויה להיות גישה רק לפונקציות ולתכונות הזמינות למשתמש שלא נכנס למערכת. כל חשבונות המשתמש שבהם נעשה שימוש יהיו כאלה שבהם משתמש כללי יכול לרשום את החשבון בעצמו. זה ימנע מהתוקף את היכולת לסקור כל פונקציונליות שזמינה רק למשתמשים שצריך ליצור על ידי מנהל מערכת.


• הערכת תיבה לבנה: לכלי (או למעריך) תהיה לרוב גישה מלאה לקוד המקור, גישה מנהלתית לפלטפורמה שמריצה את האפליקציה וכן הלאה. זה מבטיח שתושלם סקירה מלאה ומקיפה של כל הפונקציונליות של האפליקציה, ללא קשר למקום שבו פונקציונליות זו נמצאת באפליקציה. הפשרה עם זה היא שההערכה אינה בשום אופן סימולציה של פעילות זדונית בפועל.


ברור שיש גוונים של אפור ביניהם. בדרך כלל, הגורם המכריע הוא מטרת ההערכה. אם המטרה היא לזהות מה יקרה במקרה שהאפליקציה תהיה תחת התקפה חיצונית ממוקדת, הערכת קופסה שחורה תהיה כנראה הטובה ביותר. אם המטרה היא לזהות ולחסל כמה שיותר בעיות אבטחה בפרק זמן קצר יחסית, גישת קופסה לבנה עשויה להיות יעילה יותר.



תמונה

25https://portswigger.net/burp/

במקרים אחרים, ניתן לנקוט בגישה היברידית כאשר למעריך אין גישה מלאה לקוד המקור של האפליקציה של הפלטפורמה שמריצה את האפליקציה, אך חשבונות משתמש מסופקים על ידי מנהל מערכת כדי לאפשר גישה לפונקציונליות רבה ככל האפשר של האפליקציה.

קאלי היא פלטפורמה אידיאלית לכל סוגי הערכות יישומים. בהתקנת ברירת מחדל, מגוון סורקים שונים ספציפיים ליישום זמינים. להערכות מתקדמות יותר, קיימים מגוון כלים, עורכי מקור וסביבות סקריפטים. ייתכן שתמצא את יישום האינטרנט26 והנדסה לאחור27 חלקים של כלי הכלים של Kali28 אתר מועיל.


  

 

<הקודם | תוכן | הבא>

  

מחשוב ענן מערכת ההפעלה המוביל ב-OnWorks: