Attacker-Crypter (v0.9): الكشف عن أداة قوية لتفادي برامج مكافحة الفيروسات وتعزيز قدرات البرامج الضارة

قائمة التحقق من اختبار اختراق خادم الويب – 2024

قائمة التحقق من اختبار اختراق خادم الويب – 2024

  ضمن ثلاث فئات مهمة: نقاط الضعف في الهوية والتحليل والإبلاغ مثل نقاط ضعف المصادقة وأخطاء التكوين ونقاط الضعف في علاقة البروتوكول.

1.   "إجراء سلسلة من الاختبارات المنهجية والمتكررة" هو أفضل طريقة لاختبار خادم الويب للعمل من خلال كافة نقاط الضعف في التطبيقات المختلفة.
2. "جمع أكبر قدر من المعلومات" حول مؤسسة ما، بدءًا من بيئة التشغيل، هو المجال الرئيسي الذي يجب التركيز عليه في المرحلة الأولية من اختبار خادم الويب.
3.  إجراء اختبار مصادقة خادم الويب، باستخدام تقنيات الهندسة الاجتماعية لجمع معلومات حول الموارد البشرية وتفاصيل الاتصال والمعلومات الأخرى ذات الصلة الاجتماعية.
4.  عند جمع معلومات حول الهدف، استخدم أدوات استعلام قاعدة بيانات Whois للحصول على تفاصيل مثل اسم المجال وعنوان IP والتفاصيل الإدارية ورقم النظام الذاتي وDNS وما إلى ذلك.
5.  لجمع معلومات مثل اسم الخادم ونوع الخادم وأنظمة التشغيل والتطبيق الذي يعمل على الخادم وما إلى ذلك، استخدم أدوات مسح بصمات الأصابع مثل Netcraft وHTTPrecon وID Service.
6.  قم بإنشاء موقع ويب لجمع معلومات محددة من صفحات الويب، مثل عناوين البريد الإلكتروني
7.   قم بتعداد أدلة خادم الويب لاستخراج معلومات مهمة حول وظائف الويب ونماذج تسجيل الدخول وما إلى ذلك.
8.   قم بتنفيذ هجوم اجتياز الدليل للوصول إلى الدلائل المقيدة وتنفيذ الأمر خارج الدلائل الجذرية لخادم الويب.
9. . قم بإجراء فحص الثغرات الأمنية لتحديد نقاط الضعف في الشبكة، واستخدم أدوات فحص الثغرات الأمنية مثل HPWebinspect وNessus، وتحديد ما إذا كان من الممكن استغلال النظام.
10. . قم بتنفيذ هجوم تسميم ذاكرة التخزين المؤقت لإجبار ذاكرة التخزين المؤقت لخادم الويب على مسح محتوى ذاكرة التخزين المؤقت الفعلي وإرسال طلب معد خصيصًا، والذي سيتم تخزينه في ذاكرة التخزين المؤقت.
11. . تنفيذ هجوم تقسيم استجابة HTTP لتمرير بيانات ضارة إلى تطبيق ضعيف يتضمن البيانات الموجودة في رأس استجابة HTTP.
12. . بروتيفورس SSH,FTP وبيانات اعتماد تسجيل الدخول للخدمات الأخرى للحصول على وصول غير مصرح به.
13. . قم بتنفيذ عملية اختطاف الجلسة لالتقاط ملفات تعريف الارتباط والمعرفات الصالحة للجلسة، يستخدمأدوات مثل Burbجناحوخروف ناري، اختطافلأتمتة اختطاف الجلسة.
14. . تنفيذ هجوم MITM للوصول إلى المعلومات الحساسة عن طريق اعتراض الاتصالات بين المستخدمين النهائيين وخوادم الويب.
15. . استخدم أدوات مثل Webalizer وAWStats لفحص سجلات خادم الويب.

جدول المحتويات

قائمة المراجعة الأساسية المقترحة بواسطة بروتوكولات

خدمات Microsoft وملفات الحسابات ومشاركات الدليل ومراجعة سجل المنافذ وتسجيل شهادات الخادم

قائمة المراجعة الأساسية التي اقترحتها Microsoft

توفر Microsoft قوائم مرجعية متنوعة وأفضل الممارسات للجوانب المختلفة لمنتجاتها وخدماتها. فيما يلي بعض قوائم المراجعة والإرشادات الأساسية التي اقترحتها Microsoft لقائمة التحقق من اختبار اختراق خادم الويب:

خدمات

تم تعطيل خدمات Windows غير الضرورية.

يتم تشغيل الخدمات مع الحسابات الأقل امتيازًا.

يتم تعطيل خدمات FTP وSMTP وNNTP إذا لم تكن مطلوبة.

تم تعطيل خدمة Telnet.

البروتوكولات

يتم تعطيل WebDAV إذا لم يستخدمه التطبيق أو يتم تأمينه إذا كان ذلك مطلوبًا.

تم تقوية مكدس TCP/IP

تم تعطيل NetBIOS وSMB (إغلاق المنافذ 137 و138 و139 و445).

حسابات

تتم إزالة الحسابات غير المستخدمة من الخادم.

تم تعطيل حساب الضيف.

يتم تعطيل حساب IUSR_MACHINE إذا كان التطبيق لا يستخدمه.

يتم إنشاء حساب مجهول مخصص الأقل امتيازًا إذا كانت تطبيقاتك تتطلب وصولاً مجهولاً.

لا يمكن للحساب المجهول كتابة الوصول إلى دلائل محتوى الويب ولا يمكنه تنفيذ أدوات سطر الأوامر.

يتم فرض سياسات حساب وكلمة مرور قوية على الخادم.

تسجيلات الدخول عن بعد مقيدة. (تتم إزالة حق المستخدم "الوصول إلى هذا الكمبيوتر من الشبكة" من مجموعة الجميع.)

لا تتم مشاركة الحسابات بين المسؤولين.

تم تعطيل الجلسات الفارغة (تسجيلات الدخول المجهولة).

الموافقة مطلوبة لتفويض الحساب.

لا يشارك المستخدمون والمسؤولون الحسابات.

لا يوجد أكثر من حسابين في مجموعة المسؤولين.

يتعين على المسؤولين تسجيل الدخول محليًا أو أن يكون حل الإدارة عن بعد آمنًا.

الملفات والدلائل

يتم تضمين الملفات والدلائل في وحدات تخزين NTFS

يوجد محتوى موقع الويب على وحدة تخزين NTFS غير تابعة للنظام.

توجد ملفات السجل على وحدة تخزين NTFS غير تابعة للنظام وليس على نفس وحدة التخزين التي يوجد بها محتوى موقع الويب.

مجموعة الجميع مقيدة ( لا يمكن الوصول إلى \WINNT\system32 أو أدلة الويب ).

رفض الدليل الجذر لموقع الويب كتابة ACE لحسابات الإنترنت المجهولة.

رفضت أدلة المحتوى كتابة ACE لحسابات الإنترنت المجهولة.

تتم إزالة تطبيق الإدارة عن بعد

تتم إزالة أدوات مجموعة الموارد والأدوات المساعدة ومجموعات SDK.

تتم إزالة تطبيقات العينة

تشارك

تتم إزالة كافة المشاركات غير الضرورية (بما في ذلك مشاركات الإدارة الافتراضية).

الوصول إلى المشاركات المطلوبة مقيد (مجموعة الجميع ليس لديها حق الوصول).

تتم إزالة المشاركات الإدارية (C$ وAdmin$) إذا لم تكن مطلوبة (يتطلب Microsoft Management Server (SMS) و Microsoft Operations Manager (MOM) هذه المشاركات).

الموانئ

تقتصر الواجهات التي تواجه الإنترنت على المنفذ 80 (و 443 إذا تم استخدام SSL)

يتم تشفير حركة مرور الشبكة الداخلية (على سبيل المثال، باستخدام SSL) أو تقييدها إذا لم يكن لديك بنية أساسية آمنة لمركز البيانات.

التسجيل

الوصول إلى التسجيل عن بعد مقيد.

تم تأمين SAM ( HKLM\System\CurrentControlSet\Control\LSA\NoLMHash ).

التدقيق والتسجيل

 يتم تدقيق محاولات تسجيل الدخول الفاشلة.

 يتم نقل ملفات سجل IIS وتأمينها.

يتم تكوين ملفات السجل بحجم مناسب وفقًا لمتطلبات أمان التطبيق.

تتم أرشفة ملفات السجل وتحليلها بانتظام.

يتم تدقيق الوصول إلى ملف Metabase.bin.

تم تكوين IIS لتدقيق تنسيق ملف السجل W3C Extended.

شهادات الخادم

تأكد من صلاحية النطاق الزمني للشهادة.

استخدم الشهادات فقط للغرض المقصود منها (على سبيل المثال، لا يتم استخدام شهادة الخادم للبريد الإلكتروني).

 تأكد من صلاحية المفتاح العام للشهادة، وصولاً إلى مرجع جذر موثوق به.

التأكد من عدم إلغاء الشهادة.

التعليمات

1. ما هي الأنواع الخمسة المهمة لاختبارات الاختراق؟

هذه هي الأنواع الخمسة الرئيسية لاختبارات الاختراق:

يبحث اختبار اختراق الشبكة عن نقاط الضعف في الخوادم وأجهزة التوجيه وجدران الحماية التي تشكل جزءًا من قلب الشبكة.

 اختبار اختراق تطبيقات الويب: يبحث هذا النوع من الاختبارات عن الثغرات الأمنية في مواقع الويب وتطبيقات الويب.

 يتحقق اختبار الاختراق اللاسلكي من سلامة شبكات Wi-Fi وBluetooth وغيرها.

 يستخدم اختبار الاختراق تقنيات الهندسة الاجتماعية، مثل التصيد الاحتيالي والاحتيال، للدخول إلى النظام دون إذن.

 يتضمن اختبار الاختراق المادي محاولة تجاوز إجراءات الأمان المادية مثل الكاميرات وأدوات التحكم في الوصول للتحقق من مدى أمان المبنى بشكل عام.

2. ما هو اختبار اختراق خوادم الويب؟

يستلزم اختبار اختراق خادم الويب إجراء اختبار منهجي للخادم وبرامجه بحثًا عن نقاط الضعف والعيوب.

الهدف الرئيسي هو اكتشاف وتقييم المخاطر الأمنية التي يحتمل أن يستغلها المتسللون.

 لاختبار خادم الويب لإدخال SQL وXSS وتنفيذ التعليمات البرمجية عن بعد، يقوم مختبرو الاختراق بتكرار هذه الهجمات.

يساعد هذا الاختبار المؤسسات على منع الثغرات الأمنية وحماية خادم الويب والبيانات الخاصة بها.

3. لماذا اختبار اختراق API؟

يعد اختبار اختراق واجهة برمجة التطبيقات أمرًا ضروريًا لأن واجهات برمجة التطبيقات ضرورية لتطبيقات وأنظمة البرامج الحالية.

 سبب أهميته: يمكن أن يؤدي تسرب البيانات ومشكلات المصادقة والوصول غير القانوني إلى اختراق واجهات برمجة التطبيقات.

يكتشف الاختبار هذه المخاطر ويعالجها.

 الكشف عن البيانات: يستهدف المهاجمون واجهات برمجة التطبيقات (APIs) لأنها تتعامل مع البيانات الحساسة.

 يضمن الاختبار نقل البيانات وأمانها.

 يؤدي التكامل مع واجهات برمجة التطبيقات التابعة لجهات خارجية إلى زيادة مساحة الهجوم في العديد من التطبيقات.

يضمن الاختبار أن عمليات التكامل هذه لا توفر أي ثغرات أمنية.

غالبًا ما تحتاج اللوائح والتزامات الامتثال إلى تقييمات أمنية تفصيلية، والتي يساعد اختبار واجهة برمجة التطبيقات (API) في تحقيقها.

 استمرارية الأعمال: يمكن أن تسبب انتهاكات واجهة برمجة التطبيقات (API) ضررًا ماليًا كبيرًا وضررًا على السمعة، وبالتالي فإن أمان واجهة برمجة التطبيقات (API) أمر بالغ الأهمية.