Запитання №1
В лабораторній роботі №5 вами було розглянуто декілька описів тестів з документу OWASP Web Security Testing Guide.
Для кожного тесту вкажіть, з якими вразливостями OWASP Top 10 версії 2021 року тест пов’язано - https://owasp.org/Top10/
Тест 4.9.3 Testing for Sensitive Information Sent via Unencrypted-Channels (Тестування конфіденційної інформації, надісланої через незашифровані канали) пов'язаний з вразливостями A02:2021-Cryptographic Failures (Криптографічні збої), A05:2021-Security Misconfiguration (Неправильна конфігурація безпеки).
Тест 4.9.4 Testing for Weak Encryption (Тестування на слабке шифрування) пов'язаний з вразливостями A02:2021-Cryptographic Failures (Криптографічні збої), A05:2021-Security Misconfiguration (Неправильна конфігурація безпеки), A07:2021-Identification and Authentication Failures (Помилки ідентифікації та автентифікації).
Тест 4.10.1 Test Business Logic Data Validation (Протестуйте перевірку даних бізнес-логіки) пов'язаний з вразливостями A01:2021-Broken Access Control (Порушений контроль доступу), A03:2021-Injection (Ін'єкція), A04:2021-Insecure Design (Небезпечний дизайн), A10:2021-Server-Side Request Forgery (Підробка запитів на стороні сервера).
Запитання №2
В лабораторній роботі №6 вами було розглянуто приклади вимог до безпечного ПЗ з документу OWASP Application Security Verification Standard.
Для кожного розглянутого підрозділу вимог вкажіть, з якими вразливостями OWASP Top 10 версії 2021 року цей підрозділ пов’язано https://owasp.org/Top10/
Підрозділ V2.2 General Authenticator Requirements (Загальна безпека автентифікатора) пов'язаний з вразливостями A01:2021-Broken Access Control (Порушений контроль доступу), A02:2021-Cryptographic Failures (Криптографічні збої), A04:2021-Insecure Design (Небезпечний дизайн), A07:2021-Identification and Authentication Failures (Помилки ідентифікації та автентифікації).
Підрозділ V3.1 Fundamental Session Management Requirements (Фундаментальна безпека керування сеансами) пов'язаний з вразливостями A01:2021-Broken Access Control (Порушений контроль доступу), A07:2021-Identification and Authentication Failures (Помилки ідентифікації та автентифікації).
Запитання №3
В описах вразливостей OWASP Top 10 версії 2021 року є підрозділ «Example Attack Scenarios». Візміть одну вразливість, розглянуту в попередніх рішеннях, та, аналізуючи опис «Example Attack Scenarios», запропонуйте три тестові сценарії перевірки наявності вразливості. Кожний сценарій повинен містити: опис дій з перевірки на наявність вразливості та опис очікуємого результату, який підтверджує наявність вразливлості.
Сценарій №1. Вкидання облікових даних, використання списків відомих паролів – поширена атака.
Перевірте, чи реалізує застосунок автоматичний захист від загроз або вкидання облікових даних. Якщо ні, то вразливість є.
Сценарій №2. Більшість атак автентифікації відбуваються через постійне використання паролів як єдиного фактора.
Перевірте, чи використовує застосунок багатофакторну автентифікацію. Якщо ні, то вразливість є.
Сценарій №3. Час очікування сеансу застосунку встановлено неправильно.
Перевірте, що буде, якщо користувач замість вибору "Вийти" просто закриє вкладку браузера. Якщо зловмисник використовує той же браузер через годину, а користувач все ще автентифікований, то вразливість є.
oleksandrblazhko
commented
1 year ago
Запитання №1 В лабораторній роботі №5 вами було розглянуто декілька описів тестів з документу OWASP Web Security Testing Guide. Для кожного тесту вкажіть, з якими вразливостями OWASP Top 10 версії 2021 року тест пов’язано - https://owasp.org/Top10/
Тест 4.9.3 Testing for Sensitive Information Sent via Unencrypted-Channels (Тестування конфіденційної інформації, надісланої через незашифровані канали) пов'язаний з вразливостями A02:2021-Cryptographic Failures (Криптографічні збої), A05:2021-Security Misconfiguration (Неправильна конфігурація безпеки). Тест 4.9.4 Testing for Weak Encryption (Тестування на слабке шифрування) пов'язаний з вразливостями A02:2021-Cryptographic Failures (Криптографічні збої), A05:2021-Security Misconfiguration (Неправильна конфігурація безпеки), A07:2021-Identification and Authentication Failures (Помилки ідентифікації та автентифікації). Тест 4.10.1 Test Business Logic Data Validation (Протестуйте перевірку даних бізнес-логіки) пов'язаний з вразливостями A01:2021-Broken Access Control (Порушений контроль доступу), A03:2021-Injection (Ін'єкція), A04:2021-Insecure Design (Небезпечний дизайн), A10:2021-Server-Side Request Forgery (Підробка запитів на стороні сервера).
Запитання №2 В лабораторній роботі №6 вами було розглянуто приклади вимог до безпечного ПЗ з документу OWASP Application Security Verification Standard. Для кожного розглянутого підрозділу вимог вкажіть, з якими вразливостями OWASP Top 10 версії 2021 року цей підрозділ пов’язано https://owasp.org/Top10/
Підрозділ V2.2 General Authenticator Requirements (Загальна безпека автентифікатора) пов'язаний з вразливостями A01:2021-Broken Access Control (Порушений контроль доступу), A02:2021-Cryptographic Failures (Криптографічні збої), A04:2021-Insecure Design (Небезпечний дизайн), A07:2021-Identification and Authentication Failures (Помилки ідентифікації та автентифікації). Підрозділ V3.1 Fundamental Session Management Requirements (Фундаментальна безпека керування сеансами) пов'язаний з вразливостями A01:2021-Broken Access Control (Порушений контроль доступу), A07:2021-Identification and Authentication Failures (Помилки ідентифікації та автентифікації).
Запитання №3 В описах вразливостей OWASP Top 10 версії 2021 року є підрозділ «Example Attack Scenarios». Візміть одну вразливість, розглянуту в попередніх рішеннях, та, аналізуючи опис «Example Attack Scenarios», запропонуйте три тестові сценарії перевірки наявності вразливості. Кожний сценарій повинен містити: опис дій з перевірки на наявність вразливості та опис очікуємого результату, який підтверджує наявність вразливлості.
Сценарій №1. Вкидання облікових даних, використання списків відомих паролів – поширена атака. Перевірте, чи реалізує застосунок автоматичний захист від загроз або вкидання облікових даних. Якщо ні, то вразливість є.
Сценарій №2. Більшість атак автентифікації відбуваються через постійне використання паролів як єдиного фактора. Перевірте, чи використовує застосунок багатофакторну автентифікацію. Якщо ні, то вразливість є.
Сценарій №3. Час очікування сеансу застосунку встановлено неправильно. Перевірте, що буде, якщо користувач замість вибору "Вийти" просто закриє вкладку браузера. Якщо зловмисник використовує той же браузер через годину, а користувач все ще автентифікований, то вразливість є.