เวิร์กสเตชันออนไลน์ของ OnWorks Linux และ Windows

โลโก้

ฟรีโฮสติ้งออนไลน์สำหรับเวิร์กสเตชัน

<ก่อนหน้านี้ | เนื้อหา | ถัดไป>

11.2.4. การประเมินใบสมัคร‌


แม้ว่าการประเมินส่วนใหญ่จะมีขอบเขตกว้าง แต่การประเมินการสมัครเป็นความเชี่ยวชาญพิเศษที่เน้นไปที่แอปพลิเคชันเดียวอย่างคร่าว ๆ การประเมินประเภทนี้กลายเป็นเรื่องธรรมดามากขึ้นเนื่องจากความซับซ้อนของแอปพลิเคชันที่มีความสำคัญต่อภารกิจซึ่งองค์กรใช้ ซึ่งส่วนมากสร้างขึ้นภายในองค์กร การประเมินใบสมัครมักจะถูกเพิ่มเข้าไปในการประเมินที่กว้างขึ้น ตามความจำเป็น แอปพลิเคชันที่อาจได้รับการประเมินในลักษณะนี้รวมถึงแต่ไม่จำกัดเพียง:

• เว็บแอปพลิเคชัน: พื้นผิวการโจมตีแบบเผชิญหน้าโดยทั่วไป แอปพลิเคชันเว็บสร้างเป้าหมายที่ยอดเยี่ยมเพียงเพราะสามารถเข้าถึงได้ บ่อยครั้ง การประเมินมาตรฐานจะพบปัญหาพื้นฐานในแอปพลิเคชันเว็บ อย่างไรก็ตาม การตรวจทานที่มุ่งเน้นมากขึ้นมักจะคุ้มค่ากับเวลาในการระบุปัญหาที่เกี่ยวข้องกับเวิร์กโฟลว์ของแอปพลิเคชัน NS kali-linux-เว็บ meta- package มีเครื่องมือมากมายที่จะช่วยในการประเมินเหล่านี้

• แอปพลิเคชันเดสก์ท็อปที่คอมไพล์แล้ว: ซอฟต์แวร์เซิร์ฟเวอร์ไม่ใช่เป้าหมายเดียว แอปพลิเคชันเดสก์ท็อปยังสร้างพื้นผิวการโจมตีที่ยอดเยี่ยมอีกด้วย ในปีที่ผ่านมา แอปพลิเคชั่นเดสก์ท็อปจำนวนมากเช่น


ภาพ

21http://docs.kali.org/kali-dojo/02-mastering-live-build 22https://www.offensive-security.com/kali-linux/kali-rolling-iso-of-doom/ 23http://docs.kali.org/development/live-build-a-custom-kali-iso 24https://www.offensive-security.com/kali-linux/kali-linux-recipes/‌‌‌

โปรแกรมอ่าน PDF หรือโปรแกรมวิดีโอบนเว็บมีเป้าหมายสูง ทำให้พวกเขาต้องพัฒนา อย่างไรก็ตาม ยังมีแอปพลิเคชันเดสก์ท็อปจำนวนมากที่มีช่องโหว่จำนวนมากเมื่อตรวจสอบอย่างเหมาะสม


• แอปพลิเคชั่นมือถือ: เมื่ออุปกรณ์พกพาได้รับความนิยมมากขึ้น แอปพลิเคชั่นมือถือจะกลายเป็นรูปแบบการโจมตีมาตรฐานมากขึ้นในการประเมินหลายๆ อย่าง นี่เป็นเป้าหมายที่เคลื่อนไหวอย่างรวดเร็วและระเบียบวิธีต่างๆ ยังคงเติบโตเต็มที่ในพื้นที่นี้ ซึ่งนำไปสู่การพัฒนาใหม่ๆ ในทางปฏิบัติทุกสัปดาห์ เครื่องมือที่เกี่ยวข้องกับการวิเคราะห์แอปพลิเคชันมือถือสามารถพบได้ใน วิศวกรรมย้อนกลับ หมวดหมู่เมนู


การประเมินการสมัครสามารถทำได้หลายวิธี ตัวอย่างเช่น สามารถเรียกใช้เครื่องมืออัตโนมัติเฉพาะแอปพลิเคชันกับแอปพลิเคชันเพื่อพยายามระบุปัญหาที่อาจเกิดขึ้น เครื่องมือเหล่านี้จะใช้ตรรกะเฉพาะแอปพลิเคชันเพื่อพยายามระบุปัญหาที่ไม่รู้จัก แทนที่จะขึ้นอยู่กับชุดของลายเซ็นที่รู้จัก เครื่องมือเหล่านี้ต้องมีความเข้าใจในตัวของพฤติกรรมของแอปพลิเคชัน ตัวอย่างทั่วไปของสิ่งนี้คือเครื่องสแกนช่องโหว่ของแอปพลิเคชันบนเว็บ เช่น Burp Suite25ต่อต้านแอปพลิเคชันที่ระบุช่องใส่ข้อมูลต่างๆ ก่อน จากนั้นจึงส่งการโจมตีด้วยการฉีด SQL ทั่วไปไปยังฟิลด์เหล่านี้ ขณะที่ตรวจสอบการตอบสนองของแอปพลิเคชันเพื่อบ่งชี้ว่าการโจมตีสำเร็จ

ในสถานการณ์ที่ซับซ้อนมากขึ้น การประเมินแอปพลิเคชันสามารถดำเนินการแบบโต้ตอบในa

กล่องดำหรือกล่องขาว


• การประเมินกล่องดำ: เครื่องมือ (หรือผู้ประเมิน) โต้ตอบกับแอปพลิเคชันโดยไม่มีความรู้พิเศษหรือการเข้าถึงนอกเหนือจากผู้ใช้มาตรฐาน ตัวอย่างเช่น ในกรณีของเว็บแอปพลิเคชัน ผู้ประเมินอาจเข้าถึงได้เฉพาะฟังก์ชันและคุณลักษณะที่มีให้สำหรับผู้ใช้ที่ไม่ได้เข้าสู่ระบบเท่านั้น บัญชีผู้ใช้ใด ๆ ที่ใช้จะเป็นบัญชีที่ผู้ใช้ทั่วไปสามารถลงทะเบียนบัญชีได้ด้วยตนเอง ซึ่งจะป้องกันไม่ให้ผู้โจมตีตรวจสอบการทำงานใดๆ ที่มีให้เฉพาะผู้ใช้ที่ผู้ดูแลระบบจำเป็นต้องสร้างขึ้นเท่านั้น


• การประเมินกล่องขาว: เครื่องมือ (หรือผู้ประเมิน) มักจะมีสิทธิ์เข้าถึงซอร์สโค้ดเต็มรูปแบบ สิทธิ์การเข้าถึงระดับผู้ดูแลระบบในแพลตฟอร์มที่เรียกใช้แอปพลิเคชัน และอื่นๆ เพื่อให้แน่ใจว่าการตรวจสอบฟังก์ชันการทำงานของแอปพลิเคชันทั้งหมดเสร็จสมบูรณ์และครบถ้วน ไม่ว่าฟังก์ชันนั้นจะอยู่ที่ใดในแอปพลิเคชัน ข้อเสียของสิ่งนี้คือการประเมินไม่ใช่การจำลองกิจกรรมที่เป็นอันตรายจริง


เห็นได้ชัดว่ามีเฉดสีเทาอยู่ระหว่าง โดยปกติ ปัจจัยในการตัดสินใจคือเป้าหมายของการประเมิน หากเป้าหมายคือการระบุว่าจะเกิดอะไรขึ้นในกรณีที่แอปพลิเคชันอยู่ภายใต้การโจมตีจากภายนอกที่มุ่งเน้น การประเมินกล่องดำน่าจะดีที่สุด หากเป้าหมายคือการระบุและขจัดปัญหาด้านความปลอดภัยให้ได้มากที่สุดภายในระยะเวลาอันสั้น แนวทางกล่องขาวอาจมีประสิทธิภาพมากกว่า



ภาพ

25https://portswigger.net/เรอ/

ในกรณีอื่นๆ อาจใช้วิธีไฮบริดโดยที่ผู้ประเมินไม่สามารถเข้าถึงซอร์สโค้ดของแอปพลิเคชันของแพลตฟอร์มที่รันแอปพลิเคชันได้อย่างสมบูรณ์ แต่บัญชีผู้ใช้จะได้รับการจัดสรรโดยผู้ดูแลระบบเพื่อให้สามารถเข้าถึงฟังก์ชันการทำงานของแอปพลิเคชันได้มากที่สุด

Kali เป็นแพลตฟอร์มในอุดมคติสำหรับการประเมินแอปพลิเคชันทุกรูปแบบ ในการติดตั้งเริ่มต้น จะมีเครื่องสแกนเฉพาะแอปพลิเคชันต่างๆ ให้เลือกมากมาย สำหรับการประเมินขั้นสูงยิ่งขึ้น มีเครื่องมือมากมาย ตัวแก้ไขแหล่งที่มา และสภาพแวดล้อมการเขียนสคริปต์ คุณอาจพบเว็บแอปพลิเคชัน26 และวิศวกรรมย้อนกลับ27 ส่วนของเครื่องมือกาลี28 เว็บไซต์ที่เป็นประโยชน์


  

 

<ก่อนหน้านี้ | เนื้อหา | ถัดไป>

  

ระบบปฏิบัติการคลาวด์คอมพิวติ้งยอดนิยมที่ OnWorks: