The book of Magnus

IT-заметки и знания

Основы пентеста. Основы уязвимостей

Tags = [ Pentest_base, Vulns_base, Vulns ]

Рассмотрим что такое уязвимости в целом и как их классифицировать.

Уязвимости в программном обеспечении (ПО) — это ошибки, недочеты или слабые места в коде, архитектуре или конфигурации программы, которые могут быть использованы злоумышленниками для нарушения безопасности системы. Это может привести к несанкционированному доступу, утечке данных, выполнению вредоносного кода или другим негативным последствиям.

Основные аспекты уязвимостей в ПО:

Причины возникновения:

  • Ошибки программирования (например, переполнение буфера, неправильная обработка входных данных).
  • Недостатки в проектировании системы.
  • Неправильная конфигурация ПО или серверов.
  • Отсутствие своевременных обновлений и патчей. Последствия:
  • Компрометация конфиденциальности, целостности или доступности данных (принципы CIA: Confidentiality, Integrity, Availability).
  • Выполнение произвольного кода (например, через инъекции).
  • Получение злоумышленником повышенных привилегий.
  • Отказ в обслуживании (DoS). Примеры уязвимостей:
  • SQL-инъекции.
  • Межсайтовый скриптинг (XSS).
  • Переполнение буфера.
  • Неправильная аутентификация или управление сессиями.
  • Классификаторы уязвимостей Для систематизации и управления уязвимостями используются различные классификаторы и стандарты. Они помогают идентифицировать, описывать и оценивать уязвимости. Основные классификаторы: CVE (Common Vulnerabilities and Exposures) Описание: Глобальный стандарт для идентификации уязвимостей. Каждой уязвимости присваивается уникальный идентификатор (например, CVE-2023-12345). Назначение: Обеспечивает единый реестр уязвимостей, чтобы разработчики, исследователи и организации могли ссылаться на одну и ту же проблему. Пример: CVE-2021-44228 (Log4Shell) — уязвимость в библиотеке Apache Log4j. Источник: Управляется MITRE и поддерживается различными организациями. CWE (Common Weakness Enumeration) Описание: Каталог слабых мест в ПО, описывающий типы ошибок, которые приводят к уязвимостям. Например, CWE-79 (XSS) или CWE-120 (переполнение буфера). Назначение: Помогает разработчикам и аудиторам понять первопричины уязвимостей и улучшить процесс разработки. Пример: CWE-89 — уязвимость, связанная с SQL-инъекциями. CVSS (Common Vulnerability Scoring System) Описание: Система оценки серьезности уязвимостей. Присваивает уязвимости балл от 0 до 10 на основе таких факторов, как сложность эксплуатации, воздействие на систему и доступность эксплойта. Назначение: Помогает приоритизировать уязвимости для устранения. Пример: Уязвимость с CVSS 9.8 считается критической (например, Log4Shell). OWASP Top 10 Описание: Список десяти наиболее критических рисков безопасности веб-приложений, обновляемый каждые несколько лет (например, OWASP Top 10 2021). Назначение: Ориентирован на веб-приложения, помогает разработчикам и организациям фокусироваться на ключевых угрозах. Пример: A01:2021 — Broken Access Control (нарушение контроля доступа). CPE (Common Platform Enumeration) Описание: Стандарт для идентификации программных продуктов, их версий и конфигураций. Назначение: Используется совместно с CVE для точного определения уязвимого ПО или оборудования. Пример: CPE для Apache Log4j версии 2.14.1. NVD (National Vulnerability Database) Описание: База данных, объединяющая CVE, CVSS и другую информацию об уязвимостях. Поддерживается NIST (Национальный институт стандартов и технологий США). Назначение: Предоставляет дополнительную информацию, включая описание, ссылки на патчи и CVSS-оценку.

Классификация уязвимостей по типам

Уязвимости также классифицируют по их природе или области воздействия: По типу ошибки:

  • Логические ошибки (например, неправильная аутентификация).
  • Синтаксические ошибки (например, отсутствие проверки ввода).
  • Ошибки конфигурации. По вектору атаки:
  • Локальные (требуют физического доступа к устройству).
  • Удаленные (эксплуатируются через сеть).
  • Социальные (например, фишинг, использующий уязвимости в поведении пользователей). По воздействию:
  • Конфиденциальность (утечка данных).
  • Целостность (изменение данных).
  • Доступность (DoS-атаки).

Примеры использования классификаторов

CVE: Разработчик обнаруживает уязвимость в ПО, регистрирует ее в CVE, получает идентификатор и публикует патч.

CWE: Аудитор безопасности анализирует код и классифицирует проблему как CWE-79 (XSS), чтобы предложить меры по устранению.

CVSS: Организация оценивает уязвимость с CVE-2023-12345, получает CVSS-балл 7.5 и решает, что она требует срочного устранения.

OWASP: Команда веб-разработки использует OWASP Top 10 для проверки приложения на наличие уязвимостей, таких как SQL-инъекции.

Как минимизировать уязвимости?

  • Регулярное обновление ПО и применение патчей.
  • Использование безопасных практик разработки (например, OWASP Secure Coding Practices).
  • Проведение тестирования на проникновение и сканирования уязвимостей.
  • Мониторинг баз данных, таких как NVD, для своевременного обнаружения новых уязвимостей.

Рейтинг OWASP подробнее

Последняя версия рейтинга OWASP Top 10 для веб-приложений — это версия 2021 года (OWASP Top 10:2021). Обновление 2025 года еще не выпущено, но согласно информации с официального сайта OWASP и других источников, релиз OWASP Top 10:2025 ожидается в первой половине 2025 года, так как сбор данных для него начался в 2024 году и должен завершиться в декабре 2024 года.

OWASP Top 10:2021

Вот список 10 наиболее критических рисков безопасности веб-приложений по версии 2021 года:

  • A01:2021 — Broken Access Control (Нарушение контроля доступа) — переместилась с 5-го места (2017) на первое из-за высокой распространенности (94% протестированных приложений имели такие уязвимости).
  • A02:2021 — Cryptographic Failures (Криптографические сбои) — ранее называлась "Sensitive Data Exposure".
  • A03:2021 — Injection (Инъекции) — включает SQL-инъекции, XSS и другие, опустилась с 1-го на 3-е место.
  • A04:2021 — Insecure Design (Небезопасный дизайн) — новая категория, акцентирующая внимание на ошибках проектирования.
  • A05:2021 — Security Misconfiguration (Ошибки конфигурации безопасности) — часто встречаются из-за использования настроек по умолчанию.
  • A06:2021 — Vulnerable and Outdated Components (Уязвимые и устаревшие компоненты) — поднялась с 9-го места.
  • A07:2021 — Identification and Authentication Failures (Сбои идентификации и аутентификации) — ранее "Broken Authentication".
  • A08:2021 — Software and Data Integrity Failures (Сбои целостности ПО и данных) — новая категория, включает проблемы с обновлениями и CI/CD.
  • A09:2021 — Security Logging and Monitoring Failures (Недостатки логирования и мониторинга) — поднялась с 10-го места.
  • A10:2021 — Server-Side Request Forgery (SSRF) (Подделка запросов на стороне сервера) — новая категория, добавлена на основе опроса сообщества.

Что нового в OWASP Top 10:2021?

  • Новые категории: Insecure Design, Software and Data Integrity Failures, SSRF.
  • Изменения в названиях и объеме: Некоторые категории (например, Broken Authentication) были переименованы или расширены для учета новых угроз.
  • Сдвиги в рейтинге: Broken Access Control стал лидером из-за высокой распространенности и серьезности последствий.
  • Методология: В 2021 году OWASP улучшила процесс сбора данных, убрав ограничение на 30 CWE и запросив данные по всем CWE, что позволило лучше отразить распространенность уязвимостей.

Ожидания от OWASP Top 10:2025

Хотя точный список еще не опубликован, ожидается, что он будет учитывать новые угрозы, такие как:

  • Увеличение рисков, связанных с API (учитывая OWASP API Security Top 10 2023).
  • Угрозы, связанные с автоматизированными атаками (например, DDoS, credential stuffing).
  • Проблемы, связанные с использованием ИИ и больших языковых моделей (LLM), как указано в отдельном OWASP Top 10 для LLM 2025.
  • OWASP активно собирает данные от более чем 200,000 организаций и опросы экспертов, чтобы отразить текущие тенденции в киберугрозах.

Для получения актуальной информации о релизе OWASP Top 10:2025 рекомендую следить за официальным сайтом OWASP (owasp.org) или их социальными сетями, например, аккаунтом @owasp на X, где анонсируются обновления.