Запитання №1 (1 бал)
В лабораторній роботі №5 вами було розглянуто декілька описів тестів з документу
OWASP Web Security Testing Guide.
Для кожного тесту вкажіть, з якими вразливостями OWASP Top 10 версії 2021 року
тест пов’язано - https://owasp.org/Top10/
Для тесту Веб-Сокетів, Веб Повідомлень та Тестування на Включення Міжсайтового Сценарію вразливості пов'язано: з A5-Порушений Контроль Доступу 2017 року який змістився у А1-Порушений Контроль Доступу в 2021 році; A03:2017-Розкриття конфіденційних даних який змістився та поміняв назву на A02:2021-Криптографічні збої; А01:2017-Ін'єкція зсунувся у A03:2021-Ін'єкція, а ще А07:2017-Міжсайтовий сценарій увійшов у A03:2021-Ін'єкція.
Запитання № 2 (1 бал)
В лабораторній роботі №6 вами було розглянуто приклади вимог до безпечного ПЗ
з документу OWASP Application Security Verification Standard.
Для кожного розглянутого підрозділу вимог вкажіть, з якими вразливостями OWASP
Top 10 версії 2021 року цей підрозділ пов’язано https://owasp.org/Top10/
Безпечний Життєвий Цикл Розробки Програмного Забезпечення пов'язаний з декількома вразливостями з OWASP Top 10 версії 2021, зокрема:
A04:2021-Небезпечний Дизайн: SSDLC включає в себе проектування з урахуванням безпеки, що допомагає уникнути вразливостей, пов’язаних з небезпечним проектуванням.
A03:2021-Ін'єкція: Процеси SSDLC, такі як перевірка коду та тестування безпеки, можуть допомогти виявити та виправити вразливості, пов’язані з ін’єкціями.
A01:2021-Порушений Контроль Доступу: SSDLC включає в себе визначення та впровадження відповідних контрольних заходів доступу.
A02:2021-Криптографічні Збої: В рамках SSDLC можуть бути визначені та впроваджені відповідні криптографічні стандарти та бібліотеки.
A05:2021-Неправильна Конфігурація Безпеки: SSDLC може включати процеси для виявлення та виправлення помилок конфігурації безпеки.
A06:2021-Вразливі та Застарілі Компоненти: SSDLC може включати процеси управління компонентами та їх оновленнями.
Архітектура Помилок, Ведення Журналу та Аудиту пов'язаний з декількома вразливостями з OWASP Top 10 версії 2021, зокрема:
A03:2021-Ін'єкція: Журналування та аудит можуть допомогти виявити вразливості, пов’язані з ін’єкціями.
A01:2021-Порушений Контроль Доступу: Журналування та аудит можуть допомогти виявити неправильні налаштування контролю доступу.
A02:2021-Cryptographic Failures: Журналування та аудит можуть допомогти виявити проблеми з криптографією.
A05:2021-Неправильна Конфігурація Безпеки: Журналування та аудит можуть допомогти виявити помилки конфігурації безпеки.
A06:2021-Вразливі та Застарілі Компоненти: Журналування та аудит можуть допомогти виявити вразливі або застарілі компоненти.
A10:2021-Підробка Запитів на Стороні Сервера (SSRF): Журналування та аудит можуть допомогти виявити SSRF атаки.
Запитання №3 (3 бали)
В описах вразливостей OWASP Top 10 версії 2021 року є підрозділ «Example Attack
Scenarios». Візміть одну вразливість, розглянуту в попередніх рішеннях, та, аналізуючи
опис «Example Attack Scenarios», запропонуйте три тестові сценарії перевірки наявності
вразливості.
Кожний тестовий сценарій повинен містити:
1) окремий розділ з описом дій (кроків) тестувальника, які дозволяють перевірити
на наявність вразливості у форматі, наприклад, крок 1 – опис ..., крок 2 – опис ...
2) опис очікуємого результату, який підтверджує наявність вразливлості.
Три тестові сценарії для перевірки наявності вразливості A01:2021-Broken Access Control:
Тестовий сценарій 1: Несанкціонований доступ до адміністративних сторінок
Крок 1: Увійдіть на веб-сайт як зареєстрований користувач.
Крок 2: Змініть URL, щоб спробувати отримати доступ до сторінки адміністратора (наприклад, змініть /user/1234/info на /admin/info).
Очікуваний результат: Система повинна відмовити в доступі, показуючи повідомлення про помилку або перенаправляючи користувача на головну сторінку.
Тестовий сценарій 2: Імітація користувача
Крок 1: Увійдіть на веб-сайт як зареєстрований користувач.
Крок 2: Спробуйте змінити свій cookie/JWT токен, щоб імітувати сеанс іншого користувача.
Очікуваний результат: Система повинна відмовити в доступі, показуючи повідомлення про помилку або перенаправляючи користувача на головну сторінку.
Тестовий сценарій 3: Підвищення привілеїв
Крок 1: Увійдіть на веб-сайт як гость.
Крок 2: Спробуйте змінити свої сесійні куки/токени, щоб набути привілеїв зареєстрованого користувача або адміністратора.
Очікуваний результат: Система повинна відмовити в доступі, показуючи повідомлення про помилку або перенаправляючи користувача на головну сторінку.
oleksandrblazhko
commented
1 year ago
Запитання №1 (1 бал) В лабораторній роботі №5 вами було розглянуто декілька описів тестів з документу OWASP Web Security Testing Guide. Для кожного тесту вкажіть, з якими вразливостями OWASP Top 10 версії 2021 року тест пов’язано - https://owasp.org/Top10/
Для тесту Веб-Сокетів, Веб Повідомлень та Тестування на Включення Міжсайтового Сценарію вразливості пов'язано: з A5-Порушений Контроль Доступу 2017 року який змістився у А1-Порушений Контроль Доступу в 2021 році; A03:2017-Розкриття конфіденційних даних який змістився та поміняв назву на A02:2021-Криптографічні збої; А01:2017-Ін'єкція зсунувся у A03:2021-Ін'єкція, а ще А07:2017-Міжсайтовий сценарій увійшов у A03:2021-Ін'єкція.
Запитання № 2 (1 бал) В лабораторній роботі №6 вами було розглянуто приклади вимог до безпечного ПЗ з документу OWASP Application Security Verification Standard. Для кожного розглянутого підрозділу вимог вкажіть, з якими вразливостями OWASP Top 10 версії 2021 року цей підрозділ пов’язано https://owasp.org/Top10/
Безпечний Життєвий Цикл Розробки Програмного Забезпечення пов'язаний з декількома вразливостями з OWASP Top 10 версії 2021, зокрема:
A04:2021-Небезпечний Дизайн: SSDLC включає в себе проектування з урахуванням безпеки, що допомагає уникнути вразливостей, пов’язаних з небезпечним проектуванням. A03:2021-Ін'єкція: Процеси SSDLC, такі як перевірка коду та тестування безпеки, можуть допомогти виявити та виправити вразливості, пов’язані з ін’єкціями. A01:2021-Порушений Контроль Доступу: SSDLC включає в себе визначення та впровадження відповідних контрольних заходів доступу. A02:2021-Криптографічні Збої: В рамках SSDLC можуть бути визначені та впроваджені відповідні криптографічні стандарти та бібліотеки. A05:2021-Неправильна Конфігурація Безпеки: SSDLC може включати процеси для виявлення та виправлення помилок конфігурації безпеки. A06:2021-Вразливі та Застарілі Компоненти: SSDLC може включати процеси управління компонентами та їх оновленнями.
Архітектура Помилок, Ведення Журналу та Аудиту пов'язаний з декількома вразливостями з OWASP Top 10 версії 2021, зокрема:
A03:2021-Ін'єкція: Журналування та аудит можуть допомогти виявити вразливості, пов’язані з ін’єкціями. A01:2021-Порушений Контроль Доступу: Журналування та аудит можуть допомогти виявити неправильні налаштування контролю доступу. A02:2021-Cryptographic Failures: Журналування та аудит можуть допомогти виявити проблеми з криптографією. A05:2021-Неправильна Конфігурація Безпеки: Журналування та аудит можуть допомогти виявити помилки конфігурації безпеки. A06:2021-Вразливі та Застарілі Компоненти: Журналування та аудит можуть допомогти виявити вразливі або застарілі компоненти. A10:2021-Підробка Запитів на Стороні Сервера (SSRF): Журналування та аудит можуть допомогти виявити SSRF атаки.
Запитання №3 (3 бали) В описах вразливостей OWASP Top 10 версії 2021 року є підрозділ «Example Attack Scenarios». Візміть одну вразливість, розглянуту в попередніх рішеннях, та, аналізуючи опис «Example Attack Scenarios», запропонуйте три тестові сценарії перевірки наявності вразливості. Кожний тестовий сценарій повинен містити: 1) окремий розділ з описом дій (кроків) тестувальника, які дозволяють перевірити на наявність вразливості у форматі, наприклад, крок 1 – опис ..., крок 2 – опис ... 2) опис очікуємого результату, який підтверджує наявність вразливлості.
Три тестові сценарії для перевірки наявності вразливості A01:2021-Broken Access Control:
Тестовий сценарій 1: Несанкціонований доступ до адміністративних сторінок
Крок 1: Увійдіть на веб-сайт як зареєстрований користувач. Крок 2: Змініть URL, щоб спробувати отримати доступ до сторінки адміністратора (наприклад, змініть /user/1234/info на /admin/info). Очікуваний результат: Система повинна відмовити в доступі, показуючи повідомлення про помилку або перенаправляючи користувача на головну сторінку.
Тестовий сценарій 2: Імітація користувача
Крок 1: Увійдіть на веб-сайт як зареєстрований користувач. Крок 2: Спробуйте змінити свій cookie/JWT токен, щоб імітувати сеанс іншого користувача. Очікуваний результат: Система повинна відмовити в доступі, показуючи повідомлення про помилку або перенаправляючи користувача на головну сторінку.
Тестовий сценарій 3: Підвищення привілеїв
Крок 1: Увійдіть на веб-сайт як гость. Крок 2: Спробуйте змінити свої сесійні куки/токени, щоб набути привілеїв зареєстрованого користувача або адміністратора. Очікуваний результат: Система повинна відмовити в доступі, показуючи повідомлення про помилку або перенаправляючи користувача на головну сторінку.