A webes vizsgálatokban gyakran felmerülő kérdés, hogy szükség van-e az admin felület vizsgálatára. Az átlagos josultsági szinttel rendelkező felhasználók úgysem tudnak belépni, így nem is lehet ebből az irányból fenyegetésre számítani. De vajon ezt tényleg így van?
Az admin felület tipikusan jól elkülönül a webalkalmazásunk “normál” felületétől. Ez általában egy külön domain-en, jó esetben csak speciális feltételek mellett elérhető webes felület. A hozzá tartozó oldalakon kezelik a munkatársaink az ügyfeleink adatait, és hárítják el a felmerülő problémákat.
Egy webes alkalmazás vizsgálatban általában ez az a pont, ahol pénzt lehet megtakarítani, mert azzal az előfeltételezéssel lehet élni, hogy a hozzáférés korlátozása elégséges védelem lehet az adataink védelme érdekében.
Az IBM 2016-os jelentése szerint az adatlopások 60%-át belsős dolgozók, vagy belsős dolgozók segítségével követték el. Hol van az a pont, ahol a dolgozóink hozzáférnek az ügyfeleink adataihoz? Az admin felületen.
Milyen típusú vizsgálatokat érdemes elvégezni az admin felületen?
A legjobb, ha első lépésben a webalkalmazás vizsgálatot kiegészítjük az adminisztrációs felület elleni black box teszttel. Ezzel megbizonyosodhatunk róla, hogy a felület megfelelően védett-e az internet felől. Ide sorolhatjuk még a belépési felület elleni jelszó próbálgatásos támadásokat is. Ilyenkor az interneten fellelhető adatok alapján összeállítunk egy lehetséges felhasználói listát, és a leggyakoribb jelszavakkal megpróbálunk bejelentkezni.
Ezt követően javasolt elvégezni egy nagyon alapos grey box vizsgálatot, ami kiterjed minden felhasználói szintre. Meg kell vizsgálni, hogy az egyes felhasználói szintek megfelelően szét vannak-e választva, az elvárt jogosultságokat a rendszer megfelelően alkalmazza-e, és hogy általában véve érvényesül-e a lehető legkisebb jogosultság elve.
Ezen túlmenően vizsgálni kell az egyes funkciókat, hogy azok működése megfelelő-e, lehetőség van-e a funkciókat jogosulatlanul kiterjeszteni más felhasználókra, állományokra és erőforrásokra. Fontos megvizsgálni, hogy a fájl letöltő funkcióval tényleg csak az ügyfelek által feltöltött állományokat lehet-e letölteni. Gyakori hiba, hogy egy kis paraméter manipulálással letölthető az alkalmazás forráskódja is. Ilyenkor általában hozzáférhetünk a konfigurációs állományokhoz is, amiben már benne vannak az adatbázis eléréséhez szükséges hitelesítő adatok is.
Sajnos a tapasztalataink azt mutatják, hogy az admin felület általában egy csontvázakkal teli szekrény. Emiatt a vizsgálatátát gyakran követi további elemzés is, amivel eldönthető, hogy a rosszindulatú munkatársak a talált sérülékenységet az eltelt időszakban már kihasználták-e.
Bízza ránk az admin felület vizsgálatát! Cégünk közel 10 éves tapasztalattal rendelkezik a webalkalmzások vizsgálatában. Forduljon hozzánk bizalommal!
