EITC/IS/WAPT veebirakenduste läbitungimise testimine on Euroopa IT sertifitseerimisprogramm, mis käsitleb veebirakenduste läbitungimise testimise (valge häkkimise) teoreetilisi ja praktilisi aspekte, sealhulgas mitmesuguseid veebisaitide spiring-, skannimis- ja ründetehnikaid, sealhulgas spetsiaalseid läbitungimise testimise tööriistu ja komplekte. .
EITC/IS/WAPT veebirakenduste läbitungimistesti õppekava hõlmab Burp Suite'i sissejuhatust, veebisprideringut ja DVWA-d, brutaalse jõu testimist Burp Suite'iga, veebirakenduse tulemüüri (WAF) tuvastamist WAFW00F-ga, sihtulatust ja spideringi, peidetud failide avastamist ZAP, WordPressi haavatavuse skannimine ja kasutajanimede loendamine, koormuse tasakaalustaja skannimine, saitidevaheline skriptimine, XSS – kajastatud, salvestatud ja DOM, puhverserveri rünnakud, puhverserveri konfigureerimine ZAP-is, failide ja kataloogide rünnakud, failide ja kataloogide avastamine DirBusteriga, veebirünnakute praktika , OWASP Juice Shop, CSRF – saidiüleste taotluste võltsimine, küpsiste kogumine ja pöördprojekteerimine, HTTP atribuudid – küpsiste varastamine, SQL-i sisestamine, DotDotPwn – kataloogi läbimise segamine, iframe'i ja HTML-i süstimine, Heartbleedi ärakasutamine – avastamine ja kasutamine, PHP-koodi sisestamine, bWAPP – HTML-i süstimine, kajastatud POST, OS-i käsusüst koos Commixiga, serveripoolne SSI-süst, pentestimine Dockeris, OverTheWire Natas, LFI ja käsusüst, Google'i häkkimine eeltestimiseks, Google Dorks tungimise testimiseks, Apache2 ModSecurity ja Nginx ModSecurity järgmises struktuuris, mis hõlmab selle EITC sertifikaadi viitena põhjalikku didaktilist videosisu.
Veebirakenduste turvalisus (sageli nimetatakse seda ka Web AppSeciks) on veebisaitide kujundamise põhimõte, et need toimiksid normaalselt isegi siis, kui neid rünnatakse. Mõte on turvameetmete komplekti integreerimine veebirakendusse, et kaitsta selle varasid vaenulike agentide eest. Veebirakendused, nagu ka kõik tarkvarad, võivad esineda vigu. Mõned neist vigadest on tegelikud haavatavused, mida saab ära kasutada ja mis kujutavad endast ohtu ettevõtetele. Selliste vigade eest kaitstakse veebirakenduste turvalisust. See hõlmab turvaliste arendusmeetodite kasutamist ja turvakontrollide kehtestamist kogu tarkvaraarenduse elutsükli (SDLC) jooksul, tagades, et disainivigade ja rakendusprobleemidega tegeletakse. Asjakohase kaitse võimaldamiseks on hädavajalik veebipõhine läbitungimise testimine, mille viivad läbi eksperdid, kelle eesmärk on avastada ja ära kasutada veebirakenduste turvaauke nn valge häkkimise meetodil.
Veebi läbitungimise test, tuntud ka kui veebipliiatsi test, simuleerib küberrünnakut veebirakendusele, et leida kasutatavaid vigu. Läbitungimistesti kasutatakse sageli veebirakenduse tulemüüri täiendamiseks veebirakenduste turbe (WAF) kontekstis. Pliiatsi testimine hõlmab üldiselt katset tungida suvalistesse rakendussüsteemidesse (nt API-d, esi-/tagaserverid), et leida haavatavusi, näiteks puhastamata sisendeid, mis on koodisüstimise rünnakute suhtes haavatavad.
Veebipõhise läbitungimistesti tulemusi saab kasutada WAF-i turvapoliitikate konfigureerimiseks ja avastatud haavatavuste kõrvaldamiseks.
Tungimise testimisel on viis etappi.
Pliiatsi testimise protseduur on jagatud viieks etapiks.
- Planeerimine ja skautlus
Testi ulatuse ja eesmärkide määratlemine, sealhulgas käsitletavad süsteemid ja kasutatavad testimismetoodikad, on esimene etapp.
Sihtmärgi toimimise ja selle võimalike nõrkade külgede paremaks mõistmiseks koguge luureandmeid (nt võrgu- ja domeeninimed, meiliserver). - Skaneerimine
Järgmine etapp on välja selgitada, kuidas sihtrakendus reageerib erinevat tüüpi sissetungimiskatsetele. Tavaliselt saavutatakse see järgmiste meetodite abil:
Staatiline analüüs – rakenduse koodi uurimine, et ennustada, kuidas see käivitamisel käitub. Need tööriistad saavad ühe käiguga skannida kogu koodi.
Dünaamiline analüüs on protsess, mille käigus kontrollitakse rakenduse koodi selle töötamise ajal. See skannimismeetod on praktilisem, kuna see annab rakenduse jõudlusest reaalajas ülevaate. - Juurdepääsu saamine
Sihtmärgi nõrkade külgede leidmiseks kasutab see samm veebirakenduste rünnakuid, nagu saidiülene skriptimine, SQL-i süstimine ja tagauksed. Et mõista, millist kahju need haavatavused võivad tekitada, proovivad testijad neid ära kasutada, suurendades privileege, varastades andmeid, peatades liiklust ja nii edasi. - Juurdepääsu säilitamine
Selle etapi eesmärk on hinnata, kas haavatavust saab ära kasutada ohustatud süsteemis pikaajalise kohaloleku loomiseks, võimaldades halvale osalejale põhjaliku juurdepääsu. Eesmärk on jäljendada arenenud püsivaid ohte, mis võivad jääda süsteemi kuudeks, et varastada ettevõtte kõige tundlikumat teavet. - analüüs
Läbitungimiskatse tulemused lisatakse seejärel aruandesse, mis sisaldab järgmist teavet:
Haavatavused, mida kasutati üksikasjalikult ära
Saadud andmed olid tundlikud
Aeg, mille jooksul suutis pliiatsitester süsteemis märkamatuks jääda.
Turvaeksperdid kasutavad neid andmeid, et aidata konfigureerida ettevõtte WAF-i sätteid ja muid rakenduste turbelahendusi, et parandada haavatavusi ja vältida edasisi ründeid.
Tungimise testimise meetodid
- Väline läbitungimiskatse keskendub ettevõtte varadele, mis on Internetis nähtavad, nagu veebirakendus ise, ettevõtte veebisait, aga ka meili- ja domeeninimeserverid (DNS). Eesmärk on saada juurdepääs kasulikule teabele ja sellest saada.
- Sisetestimine tähendab, et testijal on juurdepääs ettevõtte tulemüüri taga olevale rakendusele, mis simuleerib vaenulikku siseringi. See pole vajalik petturitest töötajate simulatsioonist. Töötaja, kelle volikirjad saadi andmepüügikatse tulemusel, on tavaline lähtepunkt.
- Pimetestimine on see, kui testijale antakse lihtsalt testitava ettevõtte nimi. See võimaldab turbeekspertidel näha, kuidas tegelik rakenduse rünnak võib reaalajas välja käia.
- Topeltpime testimine: topeltpimedates testides ei ole turvaspetsialistid simuleeritud rünnakust eelnevalt teadlikud. Neil ei ole aega oma kindlustusi kaldale seada enne sissemurdmiskatset, nagu pärismaailmas.
- Sihttestimine – selle stsenaariumi korral teevad testija ja turvatöötajad koostööd ning jälgivad üksteise liikumist. See on suurepärane treeningharjutus, mis annab turvameeskonnale reaalajas tagasisidet häkkeri vaatenurgast.
Veebirakenduste tulemüürid ja läbitungimistestid
Tungimise testimine ja WAF-id on kaks eraldiseisvat, kuid üksteist täiendavat turvatehnikat. Tõenäoliselt kasutab tester WAF-andmeid, näiteks logisid, et leida ja ära kasutada rakenduse nõrku kohti paljudes pliiatsitestides (välja arvatud pime- ja topeltpimedestid).
Pliiatsi testimise andmed võivad omakorda aidata WAF-i administraatoreid. Pärast testi lõppu saab WAF-i konfiguratsioone muuta, et kaitsta end testi käigus tuvastatud vigade eest.
Lõpuks vastab pliiatsi testimine teatud turbeauditeerimismeetodite vastavusnõuetele, nagu PCI DSS ja SOC 2. Teatud nõudeid, nagu PCI-DSS 6.6, saab täita ainult siis, kui kasutatakse sertifitseeritud WAF-i. Eelnimetatud eeliste ja WAF-i sätete muutmise võimaluse tõttu ei muuda see aga pliiatsi testimist vähem kasulikuks.
Mis tähtsus on veebiturvalisuse testimisel?
Veebiturbe testimise eesmärk on tuvastada turvavead veebirakendustes ja nende häälestuses. Rakenduskiht on esmane sihtmärk (st see, mis töötab HTTP-protokolliga). Erinevate sisendite saatmine veebirakendusse, et tekitada probleeme ja panna süsteem ootamatult reageerima, on selle turvalisuse testimiseks levinud lähenemisviis. Need "negatiivsed testid" näevad, kas süsteem teeb midagi, mida see ei kavatsenud saavutada.
Samuti on oluline mõista, et veebiturbe testimine hõlmab enamat kui lihtsalt rakenduse turvafunktsioonide (nagu autentimine ja autoriseerimine) kontrollimist. Samuti on oluline tagada muude funktsioonide ohutu juurutamine (nt äriloogika ning õige sisendi valideerimise ja väljundi kodeeringu kasutamine). Eesmärk on veenduda, et veebirakenduse funktsioonid on ohutud.
Millised on mitut tüüpi turvahinnangud?
- Dynamic Application Security (DAST) test. See automatiseeritud rakenduse turbetest sobib kõige paremini madala riskitasemega sisemiste rakenduste jaoks, mis peavad vastama regulatiivsetele turbenõuetele. DAST-i kombineerimine mõne käsitsi veebiturvalisuse testimisega tavaliste haavatavuste jaoks on parim strateegia keskmise riskiga rakenduste ja oluliste rakenduste jaoks, mida tehakse väiksemaid muudatusi.
- Staatiliste rakenduste turvakontroll (SAST). See rakenduse turvastrateegia hõlmab nii automatiseeritud kui ka käsitsi testimise meetodeid. See on ideaalne vigade tuvastamiseks, ilma et peaksite rakendusi reaalajas keskkonnas käivitama. Samuti võimaldab see inseneridel skannida lähtekoodi, et tuvastada ja süstemaatiliselt parandada tarkvara turbevigu.
- Läbitungimise eksam. See käsitsi rakenduste turvatest on ideaalne oluliste rakenduste jaoks, eriti nende jaoks, mis läbivad olulisi muudatusi. Täiustatud ründestsenaariumide leidmiseks kasutab hindamine äriloogikat ja vastase testimist.
- Rakenduse enesekaitse käitusajal (RASP). See kasvav rakenduste turbemeetod hõlmab mitmesuguseid tehnoloogilisi võtteid rakenduse instrumenteerimiseks, nii et ohte saab jälgida ja loodetavasti vältida nende ilmnemisel reaalajas.
Millist rolli mängib rakenduse turvatestimine ettevõtte riskide vähendamisel?
Suurem osa veebirakenduste vastu suunatud rünnakutest on järgmised:
- SQL Injection
- XSS (saitidevaheline skriptimine)
- Kaugkäskude täitmine
- Raja läbimise rünnak
- Piiratud juurdepääs sisule
- Ohustatud kasutajakontod
- Pahatahtliku koodi installimine
- Kaotamata müügitulu
- Klientide usaldus väheneb
- Kaubamärgi maine kahjustamine
- Ja palju muid rünnakuid
Tänapäeva Interneti-keskkonnas võivad veebirakendust kahjustada mitmesugused väljakutsed. Ülaltoodud graafikul on kujutatud mõningaid levinumaid ründajate rünnakuid, millest igaüks võib üksikule rakendusele või tervele ettevõttele märkimisväärset kahju tekitada. Teades paljusid rünnakuid, mis muudavad rakenduse haavatavaks, ja ka rünnaku võimalikke tagajärgi, võimaldab ettevõttel haavatavused enne tähtaega lahendada ja neid tõhusalt testida.
Leevenduskontrolle saab luua SDLC varajastes faasides, et vältida probleeme, tuvastades haavatavuse algpõhjuse. Veebirakenduse turbetesti ajal saab teadmisi nende ohtude toimimise kohta kasutada ka teadaolevate huviväärsuste sihtimiseks.
Rünnaku mõju äratundmine on oluline ka ettevõtte riskide juhtimiseks, kuna eduka ründe mõjusid saab kasutada haavatavuse üldise raskusastme määramiseks. Kui turvatesti käigus avastatakse haavatavused, võimaldab nende tõsiduse kindlaksmääramine ettevõttel parandusmeetmeid tõhusamalt prioriseerida. Ettevõtte riskide vähendamiseks alustage kriitiliste tõsidusprobleemidega ja püüdke vähendada mõjuga probleeme.
Enne probleemi tuvastamist aitab iga programmi võimaliku mõju hindamine ettevõtte rakenduste teegis seada prioriteediks rakenduse turvatesti. Wenb-i turvatesti saab planeerida nii, et see sihiks esmalt ettevõtte kriitilisi rakendusi, sihipärasema testimisega ettevõtte riski vähendamiseks. Kõrgetasemeliste rakenduste väljatöötatud loendi abil saab Wenb-turvatesti ajastada esmalt ettevõtte kriitilistele rakendustele, sihipärasema testimisega, et vähendada ettevõtte ohtu.
Milliseid funktsioone tuleks veebirakenduse turvatesti ajal uurida?
Veebirakenduse turbe testimise ajal võtke arvesse järgmist funktsioonide mittetäielikku loendit. Kõigi nende ebatõhus rakendamine võib põhjustada nõrkusi, seades ettevõtte ohtu.
- Rakenduse ja serveri konfigureerimine. Krüpteerimis-/krüptograafilised seadistused, veebiserveri konfiguratsioonid ja nii edasi on kõik näited võimalikest vigadest.
- Sisend- ja veakäsitluse valideerimine Kehv sisendi ja väljundi töötlemine põhjustab SQL-i sisestamist, saidiüleseid skripte (XSS) ja muid tüüpilisi süstimisprobleeme.
- Seansside autentimine ja hooldus. Turvaaugud, mis võivad viia kasutaja kellegi teisena esinemiseni. Arvesse tuleks võtta ka mandaadi tugevust ja kaitset.
- Autoriseerimine. Rakenduse kaitsevõimet vertikaalsete ja horisontaalsete privileegide eskalatsioonide eest testitakse.
- Loogika äris. Enamik ärifunktsioone pakkuvaid programme toetub neile.
- Loogika kliendi otsas. Seda tüüpi funktsioon on muutumas tavalisemaks kaasaegsete JavaScripti sisaldavate veebilehtede puhul, aga ka veebilehtede puhul, mis kasutavad muud tüüpi kliendipoolseid tehnoloogiaid (nt Silverlight, Flash, Java apletid).
Sertifitseerimisõppekavaga põhjalikumalt tutvumiseks saate allolevat tabelit laiendada ja analüüsida.
EITC/IS/WAPT veebirakenduste läbitungimise testimise sertifitseerimise õppekava viitab vaba juurdepääsuga didaktilistele materjalidele video kujul. Õppeprotsess on jagatud samm-sammult struktuuriks (programmid -> tunnid -> teemad), mis hõlmab vastavaid õppekavaosi. Pakutakse ka piiramatut nõustamist domeeniekspertidega.
Sertifitseerimisprotseduuri üksikasjad leiate Mugav tellimus.
Laadige PDF-failina alla täielikud võrguühenduseta iseõppimise ettevalmistavad materjalid EITC/IS/WAPT veebirakenduste läbitungimise testimise programmi jaoks
EITC/IS/WAPT ettevalmistusmaterjalid – standardversioon
EITC/IS/WAPT ettevalmistavad materjalid – laiendatud versioon ülevaateküsimustega