Benchmark сканеров SQL injection
1 like1,915 views
Документ анализирует эффективность различных сканеров уязвимостей SQL-инъекций (SQLi), включая бесплатные и платные инструменты, такие как sqlmap, skipfish и acunetix. Результаты тестирования показывают, что даже лучшие сканеры не справляются с определенными классами уязвимостей при ограничениях, таких как отсутствие сообщений об ошибках от СУБД. Предоставлены планы по дальнейшим тестированиям с расширением тестового покрытия и разработкой среды для оценки других уязвимостей, таких как XSS.
![Контактная информация Петухов Андрей email: [email_address] blog: http://andrepetukhov.wordpress.com / Карим Валиев email: [email_address] Лаборатория вычислительных комплексов Москва, 119899, Ленинские горы вл. 1/52, факультет ВМК МГУ имени М.В. Ломоносова, комната 764](https://image.slidesharecdn.com/ruscrypto-2011-110402042717-phpapp02/85/Benchmark-SQL-injection-8-320.jpg)
Benchmark сканеров SQL injection
- 1. Сравнение эффективности средств обнаружения уязвимостей SQLi Петухов Андрей, Валиев Карим Лаборатория вычислительных комплексов Факультет ВМиК МГУ имени М.В. Ломоносова
- 3. “ А можно получше, но подешевле? ” Огромное количество сканеров: платных и бесплатных, общего назначения и специализированных free: W3AF, skipfish, wapiti, arachni, Grendel-scan, secubat cпециализированные: sqlMap, XSS Rays, SQLiX $$: Acunetix, IBM AppScan, HP WebInspect, NTOSpider, Cenzic Hailstorm, и много других Какова область эффективного применения сканеров SQLi? хочется очертить класс уязвимостей SQLi, для которых применение автоматических средств будет давать приемлемый результат межмодульные уязвимости не рассматриваем сэкономленное время специалисты потратят на поиск более “ тонких ” уязвимостей Действительно ли коммерческие сканеры эффективнее бесплатных? даже если это так, может существует суперпозиция бесплатных сканеров, которые дают такой же результат? Для поиска ответов на эти вопросы мы решили создать среду для benchmark ’ а сканеров SQLi
- 4. Результаты тестирования Что: sqlMap-0.8, skipfish (Michal Zalewski & Google), wapiti, Acunetix На чем: LAMP Ответы на вопросы: Acunetix не победил в части обнаружения уязвимостей SQLi в веб-приложениях, работающих с MySQL, Acunetix не продемонстрировал лучший результат ни в одном классе тестов Область эффективного применения: веб-приложение выводит ошибки СУБД и/или СУБД предоставляет возможность замедлить выполнение SQL-запроса (sleep) Лучшая комбинация из протестированных средств skipfish + wapiti даже в лучшей комбинации не удается с хорошими показателями (> 50% тестов) обнаруживать уязвимости некоторых классов Почти неразрешимая проблема для протестированных сканеров - найти SQLi при условиях: ошибки СУБД не выводятся в HTTP-ответ в СУБД отсутствуют или запрещены функций типа sleep HTTP-ответ не стабилен (см. рекламные баннеры)
- 5. Методика тестирования Тестовое покрытие Задача - смоделировать как можно больше различных вариантов уязвимости SQLi и не забыть про тестирование ложных срабатываний! Мы зафиксировали шаги, которые выполняет типичное веб-приложение, работающее с СУБД получение пользовательских данных из HTTP-запроса обработка пользовательских данных на корректность формирование и выполнение SQL-запроса получение результата SQL-запроса / обработка исключительной ситуации формирование HTTP-ответа Для каждого шага мы провели классификацию возможных способов его реализации критерии классификации выбирались из соображений наличия специфики при обнаружении уязвимости SQLi в образующихся классах например, имеет смысл классифицировать по типу запроса (INSERT/SELECT) и не имеет смысл классифицировать по типу используемых триггеров (ON INSERT/ON DELETE) Результирующий тестовый набор состоит из всех возможных комбинаций вариантов реализации каждого шага
- 6. Среда для проведения испытаний состоит из следующих элементов: окружение LAMP генератор тестов можно легко расширить тестовое покрытие! обертки для запуска сканеров и анализа их результатов планировщик запуска сканеров анализатор результатов Этапы benchmark ’ а: генерация тестов результатом является набор уязвимых и неуязвимых php-сценариев сейчас генерируется 27680 тестов многопоточный планировщик запускает экземпляры сканеров и контролирует их работу анализатор результатов генерирует итоговый отчет, в котором проставлены метрики эффективности средств по каждому классу тестового набора интересующие суперклассы, по которым анализатор осуществляет суммирование, задаются в конфигурационном файле Методика тестирования Проведение испытаний
- 7. Дальнейшие планы Протестировать: W3AF, SQLiX, IBM AppScan, HP WebInspect Связаться с разработчиками сканеров и доложить им о результатах испытаний Сделать публично доступной образ виртуальной машины, на которой развернута среда для тестирования сканеров Получить и обработать поступивший feedback Расширить тестовую среду наборами для тестирования возможностей сканеров по работе с другими версиями СУБД: SQL Server, Postgres, Oracle, SQLite В светлом будущем: реализовать аналогичную среду для тестирования возможностей обнаружения XSS
- 8. Контактная информация Петухов Андрей email: [email_address] blog: http://andrepetukhov.wordpress.com / Карим Валиев email: [email_address] Лаборатория вычислительных комплексов Москва, 119899, Ленинские горы вл. 1/52, факультет ВМК МГУ имени М.В. Ломоносова, комната 764
- 9. Related work Web Application Vulnerability Scanners – a Benchmark . Andreas Wiegenstein, Frederik Weidemann, Dr. Markus Schumacher, Sebastian Schinzel. Октябрь 2006. Analyzing the Effectiveness and Coverage of Web Application Security Scanners . Larry Suto. Октябрь 2007. И ответы на него от Ory Segal (IBM) и Jeff Forristal (HP). Web Application Scanners Comparison . Anantasec. Январь 2007. Analyzing the Accuracy and Time Costs of Web Application Security Scanners . Larry Suto. Февраль 2010. И ответы на него от Acunetix , NT Objectives , Jeremiah Grossman и HP . State of the Art: Automated Black-Box Web Application Vulnerability Testing . Jason Bau, Elie Bursztein, Divij Gupta, John Mitchell. Май 2010. Why Johnny Can ’ t Pentest: An Analysis of Black-box Web Vulnerability Scanners . Adam Doupe, Marco Cova, and Giovanni Vigna. Июль 2010. Web Application Scanners Accuracy Assessment . Shay Chen. Декабрь 2010.
- 10. Спасибо за внимание! Вопросы?
Editor's Notes
- #3: Известно, что в некоторых компаниях, занимающихся анализом безопасности программного обеспечения, которым удалось-таки минимизировать свои операционные затраты, на самом деле нет никаких хакерских команд, а есть специально обученные monkey crew, которые с утра до ночи занимаются фаззингом, стуча по клавиатуре. Компаниям, не достигшим такого уровня просветления не остается ничего иного, кроме как автоматизировать решения своих рутинных задач. Это актуально, в частности, для анализа безопасности веб-приложений методом черного ящика. В веб-приложениях есть ошибки, которые можно обнаружить просто, а есть такие - для обнаружения которых нужен исключительно эксперт с мировым именем. Логично, что оценка безопасности начинается с поиска более простых ошибок и далее идет по нарастанию сложности. Соответственно, чем меньше ресурсов компания затратит на обнаружение простых ошибок, тем больше ресурсов останется на обнаружение хитрых ошибок. Повышение полноты анализа. Конкурентное преимущество. За последнее время появилось большое количество сканеров веб-приложений, как коммерческих, так бесплатных, как специализированных, так и общего назначения. В контексте проведенного рассуждения, логично задаться вопросом, а какие средства нужно применять для того, чтобы по максимуму собрать тех самых простых ошибок, освободив время эксперта для поиска более сложных?