4.7.4 Testing for HTTP Parameter Pollution
4.7.5.6 Testing for NoSQL Injection
4.7.5.7 Testing for ORM Injection
4.7.5.8 Testing for Client Side
1. Testing for HTTP Parameter Pollution (Тестування на забруднення параметрів HTTP):
Найближче в цьому випадку до вразливості OWASP Top 10 - "A7: Cross-Site Scripting (XSS)" або "A8: Insecure Deserialization". Однак, HTTP Parameter Pollution може також впливати на інші вразливості, такі як "A1: Injection" або "A3: Sensitive Data Exposure".
2. Testing for NoSQL Injection (Тестування на внедрення в NoSQL-базу):
Цей тест пов’язаний з "A1: Injection", адже NoSQL Injection відноситься до внедрення коду, що може стати вразливим при роботі з базами даних.
3. Testing for ORM Injection (Тестування на внедрення в ORM):
Також пов’язано з "A1: Injection", але більше специфічно для Object-Relational Mapping (ORM). Це може впливати на системи, які використовують ORM-технології.
4. Testing for Client-Side (Тестування на стороні клієнта):
Цей тест може бути пов’язаний з кількома вразливостями, такими як "A2: Broken Authentication", "A6: Security Misconfiguration" або "A8: Insecure Deserialization", в залежності від того, які саме аспекти на стороні клієнта тестуються. Однак, важливо враховувати, що багато вразливостей на стороні клієнта може бути пов'язано з безпекою додатків на стороні сервера.
Завдання №2
V13.1 Generic Web Service Security
V14.3 Unintended Security Disclosure
1. Generic Web Service Security (Загальна безпека веб-сервісів):
Це може бути пов’язано з декількома вразливостями, такими як "A1: Injection" (включаючи внедрення в параметри веб-сервісів), "A5: Broken Access Control" (неправильні обмеження доступу до веб-сервісів) або "A6: Security Misconfiguration".
Це може бути пов’язано з "A3: Sensitive Data Exposure", де неправильно налаштовані або недостатньо захищені веб-сервіси можуть надавати непередбачений доступ до чутливої інформації. Також, це може мати відношення до "A6: Security Misconfiguration", якщо налаштування веб-сервісів не відповідають вимогам безпеки.
Завдання №3
A01:2021 – Injection
Тестовий сценарій 1: SQL Injection
Крок 1: Заповніть форму автентифікації/пошуку/реєстрації зі спробою введення SQL-коду. Наприклад, введіть "admin' OR '1'='1' --" у поле логіну.
Крок 2: Натисніть кнопку входу/пошуку/реєстрації та спостерігайте за реакцією системи.
Очікуваний результат: Якщо вам вдасться увійти в систему або отримати неочікуваний результат, це може свідчити про наявність вразливості SQL Injection.
Тестовий сценарій 2: Cross-Site Scripting (XSS)
Крок 1: Введіть в текстове поле вводу коментаря/повідомлення .
Крок 2: Збережіть коментар/повідомлення та перегляньте сторінку/вміст.
Очікуваний результат: Якщо ви побачите вспливаюче повідомлення "XSS", це може свідчити про вразливість Cross-Site Scripting.
Тестовий сценарій 3: Command Injection
Крок 1: Введіть команду зі спеціальними символами або операторами системного виклику. Наприклад, введіть ; ls у текстовому полі, якщо є можливість введення команд.
Крок 2: Натисніть кнопку відправки/виконання та перевірте результат.
Очікуваний результат: Якщо ви побачите результат виклику системної команди (наприклад, список файлів), це може свідчити про вразливість Command Injection.
oleksandrblazhko
commented
10 months ago
Завдання №1
4.7.4 Testing for HTTP Parameter Pollution
4.7.5.6 Testing for NoSQL Injection 4.7.5.7 Testing for ORM Injection 4.7.5.8 Testing for Client Side
1. Testing for HTTP Parameter Pollution (Тестування на забруднення параметрів HTTP):
2. Testing for NoSQL Injection (Тестування на внедрення в NoSQL-базу):
3. Testing for ORM Injection (Тестування на внедрення в ORM):
4. Testing for Client-Side (Тестування на стороні клієнта):
Завдання №2
V13.1 Generic Web Service Security V14.3 Unintended Security Disclosure
1. Generic Web Service Security (Загальна безпека веб-сервісів):
Це може бути пов’язано з декількома вразливостями, такими як "A1: Injection" (включаючи внедрення в параметри веб-сервісів), "A5: Broken Access Control" (неправильні обмеження доступу до веб-сервісів) або "A6: Security Misconfiguration".
2.Unintended Security Disclosure (Непередбачена розкритість інформації):
Це може бути пов’язано з "A3: Sensitive Data Exposure", де неправильно налаштовані або недостатньо захищені веб-сервіси можуть надавати непередбачений доступ до чутливої інформації. Також, це може мати відношення до "A6: Security Misconfiguration", якщо налаштування веб-сервісів не відповідають вимогам безпеки.
Завдання №3
A01:2021 – Injection
Тестовий сценарій 1: SQL Injection
Очікуваний результат: Якщо вам вдасться увійти в систему або отримати неочікуваний результат, це може свідчити про наявність вразливості SQL Injection.
Тестовий сценарій 2: Cross-Site Scripting (XSS)
Крок 1: Введіть в текстове поле вводу коментаря/повідомлення .
Крок 2: Збережіть коментар/повідомлення та перегляньте сторінку/вміст.
Очікуваний результат: Якщо ви побачите вспливаюче повідомлення "XSS", це може свідчити про вразливість Cross-Site Scripting.
Тестовий сценарій 3: Command Injection
Крок 1: Введіть команду зі спеціальними символами або операторами системного виклику. Наприклад, введіть ; ls у текстовому полі, якщо є можливість введення команд.
Крок 2: Натисніть кнопку відправки/виконання та перевірте результат.
Очікуваний результат: Якщо ви побачите результат виклику системної команди (наприклад, список файлів), це може свідчити про вразливість Command Injection.