fbpx

A webes vizsgálatokban gyakran felmerülő kérdés, hogy szükség van-e az admin felület vizsgálatára. Az átlagos josultsági szinttel rendelkező felhasználók úgysem tudnak belépni, így nem is lehet ebből az irányból fenyegetésre számítani. De vajon ezt tényleg így van?

Leselkedik-e ránk veszély?

Az admin felület tipikusan jól elkülönül a webalkalmazásunk “normál” felületétől. Ez általában egy külön domain-en, jó esetben csak speciális feltételek mellett elérhető webes felület. A hozzá tartozó oldalakon kezelik a munkatársaink az ügyfeleink adatait, és hárítják el a felmerülő problémákat.

Egy webes alkalmazás vizsgálatban általában ez az a pont, ahol pénzt lehet megtakarítani, mert azzal az előfeltételezéssel lehet élni, hogy a hozzáférés korlátozása elégséges védelem lehet az adataink védelme érdekében.

Az IBM 2016-os jelentése szerint az adatlopások 60%-át belsős dolgozók, vagy belsős dolgozók segítségével követték el. Hol van az a pont, ahol a dolgozóink hozzáférnek az ügyfeleink adataihoz? Az admin felületen.

Milyen típusú vizsgálatokat érdemes elvégezni az admin felületen?

A legjobb, ha első lépésben a webalkalmazás vizsgálatot kiegészítjük az adminisztrációs felület elleni black box teszttel. Ezzel megbizonyosodhatunk róla, hogy a felület megfelelően védett-e az internet felől. Ide sorolhatjuk még a belépési felület elleni jelszó próbálgatásos támadásokat is. Ilyenkor az interneten fellelhető adatok alapján összeállítunk egy lehetséges felhasználói listát, és a leggyakoribb jelszavakkal megpróbálunk bejelentkezni.

Ezt követően javasolt elvégezni egy nagyon alapos grey box vizsgálatot, ami kiterjed minden felhasználói szintre. Meg kell vizsgálni, hogy az egyes felhasználói szintek megfelelően szét vannak-e választva, az elvárt jogosultságokat a rendszer megfelelően alkalmazza-e, és hogy általában véve érvényesül-e a lehető legkisebb jogosultság elve.

Ezen túlmenően vizsgálni kell az egyes funkciókat, hogy azok működése megfelelő-e, lehetőség van-e a funkciókat jogosulatlanul kiterjeszteni más felhasználókra, állományokra és erőforrásokra. Fontos megvizsgálni, hogy a fájl letöltő funkcióval tényleg csak az ügyfelek által feltöltött állományokat lehet-e letölteni. Gyakori hiba, hogy egy kis paraméter manipulálással letölthető az alkalmazás forráskódja is. Ilyenkor általában hozzáférhetünk a konfigurációs állományokhoz is, amiben már benne vannak az adatbázis eléréséhez szükséges hitelesítő adatok is.

Sajnos a tapasztalataink azt mutatják, hogy az admin felület általában egy csontvázakkal teli szekrény. Emiatt a vizsgálatátát gyakran követi további elemzés is, amivel eldönthető, hogy a rosszindulatú munkatársak a talált sérülékenységet az eltelt időszakban már kihasználták-e.

Bízza ránk az admin felület vizsgálatát! Cégünk közel 10 éves tapasztalattal rendelkezik a webalkalmzások vizsgálatában. Forduljon hozzánk bizalommal!