EITC/IS/WASF Web Applications Security Fundamentals on Euroopa IT sertifitseerimisprogramm, mis käsitleb ülemaailmse veebiteenuste turvalisuse teoreetilisi ja praktilisi aspekte alates põhiliste veebiprotokollide turvalisusest kuni privaatsuse, ohtude ja rünnakuteni veebiliikluse võrgusuhtluse eri kihtidele, veebile. serverite turvalisus, turvalisus kõrgemates kihtides, sealhulgas veebibrauserid ja veebirakendused, samuti autentimine, sertifikaadid ja andmepüügi.
EITC/IS/WASF veebirakenduste turvalisuse põhialuste õppekava hõlmab sissejuhatust HTML-i ja JavaScripti veebiturvalisuse aspektidesse, DNS-i, HTTP-sse, küpsistesse, seanssidesse, küpsise- ja seansirünnakutesse, samasse päritolupoliitikasse, saidiüleste päringu võltsimisse, samade eranditesse. Päritolupoliitika, saidiülene skriptimine (XSS), saidiülene skriptimine, veebisõrmejälgede võtmine, privaatsus veebis, DoS, andmepüügi ja kõrvalkanalid, teenuse keelamine, andmepüügi ja kõrvalkanalid, süstimisrünnakud, koodi sisestamine, transport kihi turvalisus (TLS) ja rünnakud, HTTPS reaalses maailmas, autentimine, WebAuthn, veebiturbe haldamine, turvaprobleemid projektis Node.js, serveri turvalisus, turvalised kodeerimistavad, kohaliku HTTP-serveri turvalisus, DNS-i taassidumise rünnakud, brauseri rünnakud, brauser arhitektuur, samuti turvalise brauseri koodi kirjutamine järgmise struktuuri raames, mis hõlmab selle EITC sertifikaadi viitena kõikehõlmavat videodidaktilist sisu.
Veebirakenduse turvalisus on teabeturbe alamhulk, mis keskendub veebisaidi, veebirakenduse ja veebiteenuste turvalisusele. Veebirakenduste turvalisus põhineb selle kõige elementaarsemal tasemel rakenduste turvalisuse põhimõtetel, kuid see rakendab neid eelkõige Interneti ja veebiplatvormide puhul. Veebirakenduste turbetehnoloogiad, nagu veebirakenduste tulemüürid, on spetsiaalsed tööriistad HTTP-liiklusega töötamiseks.
Open Web Application Security Project (OWASP) pakub nii tasuta kui ka avatud ressursse. Selle eest vastutab mittetulunduslik OWASP-i sihtasutus. 2017. aasta OWASP Top 10 on praeguse uuringu tulemus, mis põhineb enam kui 40 partnerorganisatsioonilt kogutud ulatuslikel andmetel. Neid andmeid kasutavas enam kui 2.3 50,000 rakenduses tuvastati ligikaudu 10 miljonit turvaauku. OWASP Top 2017 – XNUMX andmetel on kümme kõige olulisemat veebirakenduste turvaprobleemi:
- Süst
- Autentimisprobleemid
- Paljastatud tundlikud andmed XML-i välisolemid (XXE)
- Juurdepääsukontroll, mis ei tööta
- Turvalisuse vale konfiguratsioon
- Saidivaheline skriptimine (XSS)
- Deserialiseerimine, mis pole turvaline
- Kasutades komponente, millel on teadaolevad vead
- Logimine ja jälgimine on ebapiisavad.
Seetõttu nimetatakse veebisaitide ja võrguteenuste kaitsmist erinevate turvaohtude eest, mis kasutavad ära rakenduse koodi nõrkusi, veebirakenduste turvalisusena. Sisuhaldussüsteemid (nt WordPress), andmebaasihaldustööriistad (nt phpMyAdmin) ja SaaS-i rakendused on kõik võrgurakenduste rünnakute tavalised sihtmärgid.
Kurjategijad peavad veebirakendusi esmatähtsateks sihtmärkideks, kuna:
- Nende lähtekoodi keerukuse tõttu on järelevalveta haavatavused ja pahatahtliku koodi muutmine tõenäolisem.
- Väärtuslikud hüved, näiteks tundlikud isikuandmed, mis on saadud tõhusa lähtekoodi võltsimise teel.
- Täitmise lihtsus, sest enamikku rünnakuid saab hõlpsasti automatiseerida ja kasutada valimatult tuhandete, kümnete või isegi sadade tuhandete sihtmärkide vastu korraga.
- Organisatsioonid, kes ei suuda oma veebirakendusi kaitsta, on rünnakute suhtes haavatavad. See võib muu hulgas põhjustada andmete vargusi, pingelisi kliendisuhteid, tühistada litsentse ja kohtulikke meetmeid.
Veebisaitide haavatavused
Sisendi/väljundi puhastamise vead on veebirakendustes tavalised ja neid kasutatakse sageli ära lähtekoodi muutmiseks või volitamata juurdepääsu saamiseks.
Need vead võimaldavad ära kasutada mitmesuguseid rünnakute vektoreid, sealhulgas:
- SQL-i sisestamine – kui toimepanija manipuleerib taustaandmebaasi pahatahtliku SQL-koodiga, avaldatakse teave. Ebaseaduslik loendi sirvimine, tabeli kustutamine ja volitamata administraatori juurdepääs on üks tagajärgi.
- XSS (saitidevaheline skriptimine) on süstimisrünnak, mis sihib kasutajaid kontodele juurdepääsu saamiseks, troojalaste aktiveerimiseks või lehe sisu muutmiseks. Kui pahatahtlik kood sisestatakse otse rakendusse, nimetatakse seda salvestatud XSS-iks. Kui pahatahtlik skript peegeldub rakendusest kasutaja brauserisse, nimetatakse seda peegeldunud XSS-iks.
- Kaugfailide kaasamine – see ründevorm võimaldab häkkeril sisestada faili kaugemast asukohast veebirakenduse serverisse. See võib viia ohtlike skriptide või koodide käivitamiseni rakenduses, samuti andmete varguseni või muutmiseni.
- Saidiülene päringu võltsimine (CSRF) – teatud tüüpi rünnak, mille tulemuseks võib olla raha tahtmatu ülekandmine, parooli muutmine või andmete vargus. See juhtub siis, kui pahatahtlik veebiprogramm juhendab kasutaja brauserit sooritama soovimatuid toiminguid veebisaidil, kuhu ta on sisse logitud.
Teoreetiliselt võib tõhus sisendi/väljundi desinfitseerimine kõrvaldada kõik haavatavused, muutes rakenduse volitamata muutmise suhtes läbitungimatuks.
Kuna enamik programme on aga pidevas arengujärgus, on igakülgne desinfitseerimine harva mõistlik valik. Lisaks on rakendused tavaliselt üksteisega integreeritud, mille tulemuseks on kodeeritud keskkond, mis muutub üha keerukamaks.
Selliste ohtude vältimiseks tuleks juurutada veebirakenduste turbelahendused ja -protsessid, näiteks PCI Data Security Standardi (PCI DSS) sertifikaat.
Veebirakenduste tulemüür (WAF)
WAF-id (veebirakenduste tulemüürid) on riist- ja tarkvaralahendused, mis kaitsevad rakendusi turvaohtude eest. Need lahendused on loodud sissetuleva liikluse kontrollimiseks, et tuvastada ja blokeerida ründekatseid, kompenseerides kõik koodide puhastamise vead.
WAF-i juurutamine vastab PCI DSS-i sertifitseerimise olulisele kriteeriumile, kaitstes andmeid varguse ja muutmise eest. Kõik andmebaasis hoitavad krediit- ja deebetkaardi omaniku andmed peavad olema kaitstud vastavalt nõudele 6.6.
Kuna WAF-i loomine on võrgu serval oma DMZ-st ees, ei nõua WAF-i loomine tavaliselt rakenduses muudatusi. Seejärel toimib see kogu sissetuleva liikluse lüüsina, filtreerides ohtlikud päringud välja enne, kui nad saavad rakendusega suhelda.
Et hinnata, millisele liiklusele on rakendusele juurdepääs lubatud ja milline tuleb välja rookida, kasutavad WAF-id mitmesuguseid heuristikaid. Tänu regulaarselt uuendatavale allkirjade kogumile suudavad nad kiiresti tuvastada pahatahtlikud osalejad ja teadaolevad rünnakuvektorid.
Peaaegu kõiki WAF-e saab kohandada vastavalt individuaalsetele kasutusjuhtumitele ja turvaeeskirjadele, samuti uute (tuntud ka kui nullpäeva) ohtude vastu võitlemisele. Lõpuks, sissetulevate külastajate kohta täiendava ülevaate saamiseks kasutavad enamik kaasaegseid lahendusi maine- ja käitumisandmeid.
Turvaperimeetri rajamiseks kombineeritakse WAF-e tavaliselt täiendavate turvalahendustega. Need võivad hõlmata hajutatud teenusekeelu (DDoS) ennetusteenuseid, mis annavad suuremahuliste rünnakute ärahoidmiseks vajaliku täiendava mastaapsuse.
Veebirakenduste turvalisuse kontroll-loend
Lisaks WAF-idele on veebirakenduste kaitsmiseks palju erinevaid lähenemisviise. Iga veebirakenduse turvalisuse kontroll-loend peaks sisaldama järgmisi protseduure.
- Andmete kogumine — Sirvige rakendus käsitsi, otsides sisestuspunkte ja kliendipoolseid koode. Klassifitseerige sisu, mida hostib kolmas osapool.
- Autoriseerimine – otsige rakenduse testimisel tee läbimist, vertikaalse ja horisontaalse juurdepääsu juhtimise probleeme, puuduvat autoriseerimist ja ebaturvalisi otseseid objektiviiteid.
- Kaitske kõik andmeedastused krüptograafiaga. Kas tundlikku teavet on krüptitud? Kas olete kasutanud mingeid algoritme, mis ei sobi? Kas juhuslikkuses on vigu?
- Teenuse keelamine – testige automatiseerimist, konto lukustamist, HTTP-protokolli DoS-i ja SQL-i metamärgiga DoS-i, et parandada rakenduse vastupanuvõimet teenuse keelamise rünnakute vastu. See ei hõlma turvalisust suuremahuliste DoS- ja DDoS-rünnakute vastu, mille vastu seismiseks on vaja erinevaid filtreerimistehnoloogiaid ja skaleeritavaid ressursse.
Lisateabe saamiseks võite vaadata OWASP-i veebirakenduste turbetestimise petulehte (see on ka suurepärane ressurss muude turvalisusega seotud teemade jaoks).
DDoS kaitse
DDoS-i rünnakud või hajutatud teenusekeelurünnakud on tüüpiline viis veebirakenduse katkestamiseks. DDoS-i rünnakute leevendamiseks on mitmeid lähenemisviise, sealhulgas mahulise ründeliikluse kõrvaldamine sisu edastamise võrkudes (CDN) ja välisvõrkude kasutamine ehtsate päringute sobivaks suunamiseks ilma teenust katkestamata.
DNSSEC (domeeninimede süsteemi turvalaiendite) kaitse
Domeeninimesüsteem ehk DNS on Interneti telefoniraamat ja see peegeldab seda, kuidas Interneti-tööriist, näiteks veebibrauser, vastava serveri leiab. Halvad osalejad kasutavad DNS-i päringuprotsessi kaaperdamiseks DNS-i vahemälu mürgitamist, rünnakuid ja muid DNS-i otsingu elutsükli häirimise vahendeid. Kui DNS on Interneti telefoniraamat, on DNSSEC helistaja ID, mida ei saa võltsida. DNS-i otsingupäringut saab kaitsta DNSSEC-tehnoloogia abil.
Sertifitseerimisõppekavaga põhjalikumalt tutvumiseks saate allolevat tabelit laiendada ja analüüsida.
EITC/IS/WASF veebirakenduste turbealuste sertifitseerimise õppekava viitab vaba juurdepääsuga didaktilistele materjalidele video kujul. Õppeprotsess on jagatud samm-sammult struktuuriks (programmid -> tunnid -> teemad), mis hõlmab vastavaid õppekavaosi. Pakutakse ka piiramatut nõustamist domeeniekspertidega.
Sertifitseerimisprotseduuri üksikasjad leiate Mugav tellimus.
Laadige PDF-failina alla täielikud võrguühenduseta iseõppimise ettevalmistavad materjalid programmi EITC/IS/WASF Web Applications Security Fundamentals jaoks
EITC/IS/WASF ettevalmistusmaterjalid – standardversioon
EITC/IS/WASF ettevalmistavad materjalid – laiendatud versioon ülevaateküsimustega