A04:2021 - Diseinu segurua - Informazioa zabaltzea
Partekatu
Sarrera
Informazioa zabaltzea segurtasun ahultasun bat da, eta horren kritikotasuna lortutako informazioa zenbaterainokoa den izango da.
Web-aplikazio batek nahi gabe datu sentikorrak edo isilpekoak baimendu gabeko erabiltzaileei erakusten dizkienean gertatzen da. Ahultasun hori hainbat modutan ager daiteke, besteak beste, sistemaren xehetasun teknikoak, konfigurazio informazioa, erabiltzailearen datuak edo iturburu-kode zatiak ezagutaraziz.
Esposizio honek aplikazioaren osotasuna eta konfidentzialtasuna arriskuan jartzeaz gain, erasotzaile potentzialei informazio baliotsua eman diezaieke sistemaren aurkako eraso sofistikatuagoak planifikatu eta gauzatzeko.
Eragina
Informazioa zabaltzeak web aplikazio baten segurtasunean duen eragina nabarmena izan daiteke:
- Datu sentikorren esposizioa: informazio sentikorra ager daiteke, hala nola pasahitzak, erabiltzailearen datuak edo azpiegituraren xehetasunak.
- Eraso sofistikatuagoak erraztea: Erasotzaileek lortutako informazioa erabil dezakete eraso zehatzagoak eta eraginkorragoak planifikatzeko eta gauzatzeko.
- Konfiantza galtzea: erabiltzaileek aplikazioa zaurgarria dela ikusten badute, konfiantza galtzea eta erakundearen ospea kaltetu ditzake.
- Arau-ez-betetzea: ezagutarazitako informazioaren izaeraren arabera, pribatutasun- eta datu-segurtasun-arauak urratzea ekar dezake.
- Sistemaren osotasunaren konpromezua: zabaldutako informazioa sistemaren osotasun eta segurtasun orokorra arriskuan jartzeko erabil daiteke.
Eragin hauek web aplikazioetan informazioa zabaltzeko ahultasunak identifikatzearen eta arintzearen garrantzia azpimarratzen dute.
Adibide praktikoak
Jarraian, web aplikazioetan informazioa zabaltzeko ahultasunen adibide praktiko batzuk daude. Kasu hauek, oharkabean informazio sentikorra nola azal daitekeen erakusten dute, erasotzaileei aplikazioaren azpiegiturari eta barne funtzionamenduari buruzko datu baliotsuak eskainiz.
Adibide bakoitzak eszenatokiaren deskribapena, eragin potentziala eta gomendatutako arintze neurriak biltzen ditu. Garrantzitsua da kasu hauek ulertzea web aplikazioen segurtasuna hobetzeko eta erakundearen informazio sentikorra babesteko.
1. Errore-mezuak
Kasu zehatz honek helburu estrategiko batekin web orri batean akatsak eragiteko nahita teknikari egiten dio erreferentzia. Praktika honen helburu nagusia sistema erabiltzen ari den softwarearen bertsioari buruzko informazio erabakigarria agerian uztea da.
Taktika honek, itxuraz sinplea den arren, erasotzaile bati web aplikazioaren azpiko azpiegitura teknologikoari buruzko datu baliotsuak eman diezazkioke. Akats horiek nahita behartuz, erasotzaileak sistemaren erantzunak ustiatu nahi ditu normalean ezkutatuta egongo liratekeen xehetasun teknikoak lortzeko.
Informazio horrek softwarearen bertsio zehatza ez ezik, beste xehetasun batzuk ere izan ditzake, hala nola web zerbitzari mota, azpiko sistema eragilea edo iturburu-kode zatiak. Elementu horiek guztiak geroago eraso sofistikatuagoak eta norakoak planifikatzeko erabil daitezke.
Laburpen
- Errore bat nahita sortu da web aplikazioan.
- Sortutako errore-mezuak informazio batzuk erakusten ditu. Lortutako informazioa software bertsioak, fitxategi-bideak edo zerbitzariaren konfigurazioak izan ditzake.
Adibidea
Web orri batean errore bat sortzeko hainbat modu daude. Kasu honetan, oso ohikoa den bat azalduko dugu, zenbakizko balio ZENBAKIA jasotzea espero den parametro bati balio ez-zenbakigarria bidaltzen zaionean.
https://<victim_web>/product?productId=2
Kasu honetan, productId parametroaren balioa aldatuko da zenbakizko balio ez den balio bat bidaltzeko eta horrela errore bat behartzeko:
https://<victim_web>/product?productId="
Arintzea
- Behar bezala konfiguratu errore-mezuak, informazio sentikorra ager ez dezaten
- Ezarri xehetasun teknikoak ezkutatzen dituen erroreen kudeaketa pertsonalizatua
- Mantendu softwarea eta sistemak eguneratuta ezagutzen diren ahuleziak murrizteko
- Egin aldian-aldian segurtasun-probak datu-isuriak identifikatzeko eta konpontzeko
2. Instalazio fitxategi lehenetsiak / Araztu fitxategiak
Laburpen
- Errekonozimendu fase bat exekutatzen da, non fitxategiak eta direktorioak arakatzeko tresnez edo direktorioen zenbaketaz gain, sitemap.xml edo robots.txt bezalako fitxategiak erabiliz bilatzen diren.
- Arazketa-fitxategiak edo instalazioan sortutakoak zenbait informazio sentikorra dauka. Lortutako informazioa software bertsioak, fitxategi-bideak, zerbitzariaren konfigurazioak, gakoak eta tokenak testu argian izan ditzake
Adibidea
Arintzea
- Ezabatu edo mugatu ekoizpen-inguruneetako diagnostiko-fitxategietarako sarbidea
- Ezarri sarbide-kontrol sendoak fitxategi sentikorretarako
- Erabili web aplikazioen suebakiak (WAF) arriskutsuak izan daitezkeen fitxategietarako sarbidea blokeatzeko
- Egin aldian-aldian segurtasun-ikuskaritzak beharrezkoak ez diren fitxategiak identifikatzeko eta kentzeko
- Konfiguratu behar bezala fitxategi eta direktorioen baimenak web zerbitzarian
- Erabili ahuleziak aztertzeko tresnak agerian dauden fitxategiak detektatzeko
- Produkzioan arazketa-fitxategiak egotea debekatzen duten segurtasun-politikak ezartzea
- Hezi garatzaileak diagnostiko fitxategiak eskuragarri uztearen arriskuei buruz
3. Ezkutuko fitxategiak
Laburpen
- Errekonozimendu-fase bat exekutatzen da, non fitxategiak eta direktorioak arakatzeko tresnak edo direktorioen zenbaketaz gain, sitemap.xml edo robots.txt bezalako fitxategiak erabiliz bilatzen diren.
- Teknika hauen bidez aurkitutako fitxategiak barne dokumentazioa, datu finantzarioak, erabiltzailearen kredentzialak, iturburu-kodea eta abar izan daitezke.
Adibidea
Arintzea
- Identifikatu saretik bistaratzen diren fitxategi guztiak
- Ezabatu edo mugatu informazio kritikoa duten fitxategietarako sarbidea, hala nola iturburu-kodea, kredentzialak...
- Ezarri sarbide-kontrol sendoak fitxategi sentikorretarako
- Erabili web aplikazioen suebakiak (WAF) arriskutsuak izan daitezkeen fitxategietarako sarbidea blokeatzeko
- Egin aldian-aldian segurtasun-ikuskaritzak beharrezkoak ez diren fitxategiak identifikatzeko eta kentzeko
- Konfiguratu behar bezala fitxategi eta direktorioen baimenak web zerbitzarian
- Erabili ahuleziak aztertzeko tresnak agerian dauden fitxategiak detektatzeko