Az EITC/IS/WAPT Web Applications Penetration Testing egy európai informatikai tanúsítási program, amely a webalkalmazások penetrációs tesztelésének (fehér hackelés) elméleti és gyakorlati vonatkozásaival foglalkozik, beleértve a webhelyek átvizsgálási, szkennelési és támadási technikáit, beleértve a speciális penetrációs tesztelő eszközöket és programcsomagokat. .
Az EITC/IS/WAPT webalkalmazások behatolási tesztelésének tananyaga magában foglalja a Burp Suite bevezetését, a webes sprideringet és a DVWA-t, a brute force tesztelést Burp Suite segítségével, a webalkalmazások tűzfalának (WAF) észlelését a WAFW00F segítségével, a célhatókört és a spideringet, valamint a rejtett fájlok felfedezését ZAP, WordPress sebezhetőségek vizsgálata és felhasználónevek felsorolása, terheléselosztó vizsgálat, cross-site scripting, XSS – tükrözött, tárolt és DOM, proxytámadások, proxy konfigurálása ZAP-ban, fájlok és könyvtárak támadásai, fájl- és könyvtárfelderítés DirBuster segítségével, webtámadások gyakorlata , OWASP Juice Shop, CSRF – Cross Site Request Forgery, Cookie-gyűjtés és visszafejtés, HTTP-attribútumok – Cookie-lopás, SQL-injektálás, DotDotPwn – Könyvtárbejárás, iframe-beillesztés és HTML-befecskendezés, Heartbleed exploit – felfedezés és kiaknázás, PHP-kód injekció, bWAPP – HTML beillesztés, tükrözött POST, operációs rendszer parancsinjektálás Commix-szel, szerveroldali SSI-befecskendezés, pentesztelés a Dockerben, OverTheWire Natas, LFI és parancsinjektálás, Google hackelés penteszteléshez, Google Dorks penetrációs teszteléshez, Apache2 ModSecurity, valamint Nginx ModSecurity, az alábbi struktúrán belül, amely átfogó videodidaktikai tartalmat foglal magában, mint hivatkozást ehhez az EITC-tanúsítványhoz.
A webalkalmazások biztonsága (gyakran Web AppSec-ként is emlegetve) a webhelyek tervezése úgy, hogy támadás esetén is normálisan működjenek. Az ötlet egy sor biztonsági intézkedés integrálása egy webalkalmazásba, hogy megvédje eszközeit az ellenséges ügynököktől. A webalkalmazások, mint minden szoftver, hajlamosak a hibákra. E hibák némelyike tényleges sebezhetőség, amely kihasználható, és kockázatot jelent a vállalkozások számára. Az ilyen hibák ellen a webalkalmazások biztonsága véd. Ez magában foglalja a biztonságos fejlesztési megközelítések alkalmazását és a biztonsági ellenőrzések bevezetését a szoftverfejlesztési életciklus (SDLC) során, biztosítva, hogy a tervezési hibákat és a megvalósítási problémákat orvosolják. A megfelelő védekezés érdekében elengedhetetlen gyakorlat az online behatolási tesztelés, amelyet olyan szakértők végeznek, akik a webalkalmazások sebezhetőségeinek feltárását és kihasználását, úgynevezett fehér hacker megközelítést alkalmazzák.
A webpenetrációs teszt, más néven webtoll-teszt, egy webalkalmazás elleni kibertámadást szimulál, hogy kihasználható hibákat keressen. A penetrációs tesztelést gyakran használják a webalkalmazások tűzfalának kiegészítésére a webalkalmazás-biztonság (WAF) összefüggésében. A tolltesztelés általában azt jelenti, hogy megkísérelnek behatolni tetszőleges számú alkalmazásrendszerbe (pl. API-kba, frontend/backend szerverekbe), hogy megtalálják a sebezhetőséget, például a nem megtisztított bemeneteket, amelyek ki vannak téve a kódbefecskendezési támadásoknak.
Az online penetrációs teszt eredményei felhasználhatók a WAF biztonsági szabályzatainak konfigurálására és a felfedezett sebezhetőségek kezelésére.
A penetrációs tesztelés öt lépésből áll.
A tolltesztelési eljárás öt lépésből áll.
- Tervezés és felderítés
Az első lépés a teszt hatókörének és céljainak meghatározása, beleértve a kezelendő rendszereket és az alkalmazandó tesztelési módszereket.
A cél működésének és lehetséges gyenge pontjainak jobb megértéséhez gyűjtsön intelligens információkat (pl. hálózat- és tartománynevek, levelezőszerver). - Letapogatás
A következő lépés annak kiderítése, hogy a célalkalmazás hogyan reagál a különböző típusú behatolási kísérletekre. Ezt általában a következő módszerek alkalmazásával érik el:
Statikus elemzés – Egy alkalmazás kódjának vizsgálata annak előrejelzésére, hogyan fog viselkedni futás közben. Ezek az eszközök egyetlen lépésben beolvashatják a teljes kódot.
A dinamikus elemzés egy alkalmazás kódjának ellenőrzési folyamata, miközben az működik. Ez a szkennelési módszer praktikusabb, mert valós idejű képet ad az alkalmazás teljesítményéről. - Hozzáférés megszerzése
A cél gyenge pontjainak felderítésére ez a lépés webalkalmazás-támadásokat alkalmaz, mint például a webhelyek közötti szkriptelés, az SQL-befecskendezés és a hátsó ajtók. A sérülékenységek által okozott károk megértése érdekében a tesztelők megpróbálják kihasználni ezeket a jogosultságok kiterjesztésével, adatok ellopásával, forgalom elfogásával stb. - A hozzáférés megtartása
Ennek a szakasznak a célja annak felmérése, hogy a sérülékenység kihasználható-e a feltört rendszerben való hosszú távú jelenlét kialakítására, lehetővé téve a rossz szereplő számára, hogy mélyreható hozzáférést kapjon. A cél a fejlett, állandó fenyegetések utánzása, amelyek akár hónapokig is a rendszerben maradhatnak, hogy ellopják a vállalat legérzékenyebb adatait. - Elemzés
A penetrációs teszt eredményei ezután egy jelentésbe kerülnek, amely olyan információkat tartalmaz, mint:
Részletesen kihasznált sebezhetőségek
A kapott adatok érzékenyek voltak
Az az idő, ameddig a tolltesztelő észrevétlenül tudott maradni a rendszerben.
A biztonsági szakértők ezeket az adatokat a vállalat WAF-beállításainak és más alkalmazások biztonsági megoldásainak konfigurálására használják fel a sebezhetőségek javítása és a további támadások megelőzése érdekében.
A penetrációs vizsgálat módszerei
- A külső penetrációs tesztelés a cég interneten látható eszközeire összpontosít, például magára a webalkalmazásra, a cég webhelyére, valamint az e-mail- és domain névszerverekre (DNS). A cél a hasznos információk elérése és kinyerése.
- A belső tesztelés azt jelenti, hogy a tesztelő hozzáfér egy olyan alkalmazáshoz, amely a vállalat tűzfala mögött ellenséges bennfentes támadást szimulál. Ez nem szükséges egy szélhámos alkalmazott szimulációja. Gyakori kiindulópont az olyan alkalmazott, akinek a hitelesítő adatait adathalászati kísérlet eredményeként szerezték meg.
- A vakteszt az, amikor a tesztelőnek egyszerűen megadják a tesztelt cég nevét. Ez lehetővé teszi a biztonsági szakértők számára, hogy valós időben lássák, hogyan játszhat le egy tényleges alkalmazástámadás.
- Kettős vak tesztelés: A kettős vak teszt során a biztonsági szakemberek előzetesen nem tudnak a szimulált támadásról. Nem lesz idejük megerősíteni erődítményeiket egy áttörési kísérlet előtt, akárcsak a való világban.
- Célzott tesztelés – ebben a forgatókönyvben a tesztelő és a biztonsági személyzet együttműködik, és nyomon követik egymás mozgását. Ez egy kiváló képzési gyakorlat, amely valós idejű visszajelzést ad a biztonsági csapatnak a hacker szemszögéből.
Webes alkalmazások tűzfalai és penetrációs tesztelése
A penetrációs tesztelés és a WAF két különálló, de egymást kiegészítő biztonsági technika. A tesztelő valószínűleg felhasználja a WAF-adatokat, például a naplókat, hogy megtalálja és kihasználja az alkalmazás gyenge pontjait számos tollteszt során (kivéve a vak és kettős vak teszteket).
A tolltesztelési adatok viszont segíthetik a WAF-adminisztrátorokat. A teszt befejezése után a WAF konfigurációk módosíthatók a teszt során észlelt hibák elleni védelem érdekében.
Végül, a tollteszt megfelel bizonyos biztonsági auditálási módszerek megfelelőségi követelményeinek, mint például a PCI DSS és SOC 2. Bizonyos követelmények, például a PCI-DSS 6.6, csak tanúsított WAF használata esetén teljesíthetők. A fent említett előnyök és a WAF-beállítások módosításának lehetősége miatt azonban ez nem teszi kevésbé hasznossá a tolltesztet.
Mi a jelentősége a webes biztonsági tesztelésnek?
A webes biztonsági tesztelés célja a webalkalmazások és beállításuk biztonsági hibáinak azonosítása. Az alkalmazási réteg az elsődleges cél (azaz ami a HTTP protokollon fut). A különböző formájú bemenetek küldése egy webalkalmazásnak, hogy problémákat idézzen elő, és a rendszer váratlan módon reagáljon, általános módszer a biztonság tesztelésére. Ezek a „negatív tesztek” azt vizsgálják, hogy a rendszer csinál-e valamit, amit nem szántak.
Létfontosságú annak felismerése is, hogy a webes biztonsági tesztelés többet jelent, mint az alkalmazás biztonsági funkcióinak (például hitelesítés és engedélyezés) ellenőrzését. Szintén létfontosságú annak biztosítása, hogy a többi szolgáltatás biztonságosan legyen üzembe helyezve (pl. az üzleti logika és a megfelelő bemenet-ellenőrzés és kimeneti kódolás). A cél annak biztosítása, hogy a webalkalmazás funkciói biztonságosak legyenek.
Milyen sokféle biztonsági értékelés létezik?
- Teszt a dinamikus alkalmazásbiztonsághoz (DAST). Ez az automatizált alkalmazásbiztonsági teszt a legalkalmasabb az alacsony kockázatú, belső használatra szánt alkalmazásokhoz, amelyeknek meg kell felelniük a szabályozási biztonsági követelményeknek. A DAST és néhány manuális online biztonsági tesztelés kombinálása a gyakori sebezhetőségek felderítésére a legjobb stratégia a közepes kockázatú alkalmazások és a kisebb változtatásokon áteső alapvető alkalmazások esetében.
- Statikus alkalmazások biztonsági ellenőrzése (SAST). Ez az alkalmazásbiztonsági stratégia automatizált és kézi tesztelési módszereket is tartalmaz. Ideális a hibák észleléséhez anélkül, hogy élő környezetben kellene futtatnia az alkalmazásokat. Ezenkívül lehetővé teszi a mérnökök számára a forráskód beolvasását a szoftver biztonsági hibáinak szisztematikus észlelése és javítása érdekében.
- Behatolási vizsgálat. Ez a kézi alkalmazásbiztonsági teszt ideális az alapvető alkalmazásokhoz, különösen azokhoz, amelyek jelentős változásokon mennek keresztül. A fejlett támadási forgatókönyvek megtalálásához az értékelés üzleti logikát és ellenfél-alapú tesztelést használ.
- Alkalmazás önvédelem a futási környezetben (RASP). Ez a növekvő alkalmazásbiztonsági módszer különféle technológiai technikákat foglal magában az alkalmazások olyan eszközzésére, amelyek lehetővé teszik a fenyegetések megfigyelését és, remélhetőleg, valós időben történő megelőzését.
Milyen szerepet játszik az alkalmazásbiztonsági tesztelés a vállalat kockázatának csökkentésében?
A webalkalmazások elleni támadások túlnyomó többsége a következőket tartalmazza:
- SQL Injection
- XSS (Cross Site Scripting)
- Távoli parancsvégrehajtás
- Út bejárási támadás
- Korlátozott hozzáférés a tartalomhoz
- Feltört felhasználói fiókok
- Rosszindulatú kód telepítése
- Elesett árbevétel
- Az ügyfelek bizalma alábbhagy
- Károsítja a márka hírnevét
- És még sok más támadás
A mai internetes környezetben a webalkalmazásokat számos kihívás érheti. A fenti ábra a támadók által elkövetett leggyakoribb támadások közül néhányat ábrázol, amelyek mindegyike jelentős károkat okozhat egy egyedi alkalmazásban vagy egy egész vállalkozásban. Az alkalmazásokat sebezhetővé tevő számos támadás, valamint a támadások lehetséges következményeinek ismerete lehetővé teszi a vállalat számára, hogy idő előtt feloldja a biztonsági réseket, és hatékonyan tesztelje azokat.
Az SDLC korai fázisaiban enyhítő vezérlők hozhatók létre a problémák megelőzésére a sebezhetőség kiváltó okának azonosításával. A webalkalmazások biztonsági tesztje során a fenyegetések működésének ismerete felhasználható az ismert látnivalók megcélzására is.
A támadás hatásának felismerése a vállalati kockázatok kezelése szempontjából is fontos, mivel a sikeres támadás hatásai felhasználhatók a sérülékenység általános súlyosságának meghatározására. Ha egy biztonsági teszt során sebezhetőséget fedeznek fel, a súlyosságuk meghatározása lehetővé teszi a vállalat számára, hogy hatékonyabban rangsorolja a javítási erőfeszítéseket. A vállalat kockázatának csökkentése érdekében kezdje a kritikus súlyosságú problémákkal, és haladjon a kisebb hatásúak felé.
A probléma azonosítása előtt az egyes programok lehetséges hatásának felmérése a vállalati alkalmazáskönyvtárban segít az alkalmazásbiztonsági tesztelés prioritásainak meghatározásában. A Wenb biztonsági tesztelése úgy ütemezhető, hogy először a vállalat kritikus alkalmazásait célozza meg, célzottabb teszteléssel pedig csökkenti a vállalkozással szembeni kockázatot. A nagy horderejű alkalmazások összeállított listájával a wenb biztonsági tesztelés ütemezhető úgy, hogy először a cég kritikus alkalmazásait célozza meg, célzottabb teszteléssel pedig csökkenti a vállalkozással szembeni kockázatot.
A webalkalmazás biztonsági tesztje során milyen funkciókat érdemes megvizsgálni?
A webalkalmazások biztonsági tesztelése során vegye figyelembe a szolgáltatások alábbi, nem teljes listáját. Mindegyik nem hatékony végrehajtása gyengeségekhez vezethet, veszélybe sodorva a vállalatot.
- Az alkalmazás és a szerver konfigurálása. A titkosítási/kriptográfiai beállítások, a webszerver-konfigurációk és így tovább mind-mind példák a lehetséges hibákra.
- Bemeneti és hibakezelési ellenőrzés A gyenge bemeneti és kimeneti feldolgozás SQL-befecskendezéshez, helyközi parancsfájlokhoz (XSS) és más tipikus beillesztési problémákhoz vezet.
- A munkamenetek hitelesítése és karbantartása. Sebezhetőségek, amelyek a felhasználók megszemélyesítéséhez vezethetnek. A hitelesítő adatok erejét és védelmét is figyelembe kell venni.
- Engedélyezés. Az alkalmazás vertikális és vízszintes jogosultság-eszkaláció elleni védelmi képességét tesztelik.
- Logika az üzleti életben. A legtöbb üzleti funkciót biztosító program ezekre támaszkodik.
- Logika az ügyfél oldalán. Ez a fajta funkció egyre elterjedtebb a modern, JavaScript-erős weboldalakon, valamint az egyéb kliensoldali technológiákat (pl. Silverlight, Flash, Java kisalkalmazások) használó weboldalakon.
A tanúsítási tanterv részletes megismeréséhez bővítheti és elemezheti az alábbi táblázatot.
Az EITC/IS/WAPT webalkalmazások penetrációs tesztelési tanúsítási tantervében hivatkozik a nyílt hozzáférésű didaktikai anyagokra videó formában. A tanulási folyamat lépésről lépésre tagolódik (programok -> órák -> témák), amely lefedi a megfelelő tantervi részeket. Korlátlan szaktanácsadás is biztosított domain szakértőkkel.
A tanúsítási eljárás részleteiért ellenőrizze Hogyan működik.
Töltse le a teljes offline öntanuló előkészítő anyagokat az EITC/IS/WAPT Web Applications Penetration Testing programhoz PDF-fájlban
EITC/IS/WAPT előkészítő anyagok – standard változat
EITC/IS/WAPT előkészítő anyagok – kibővített változat felülvizsgálati kérdésekkel