Az EITC/IS/WASF Web Applications Security Fundamentals az európai informatikai tanúsítási program a World Wide Web szolgáltatások biztonságának elméleti és gyakorlati vonatkozásairól, az alapvető webprotokollok biztonságától kezdve a magánéleten át a fenyegetéseken és a webes forgalmi hálózati kommunikáció különböző rétegei elleni támadásokon át a weben keresztül. szerverek biztonsága, magasabb szintű biztonság, beleértve a webböngészőket és webalkalmazásokat, valamint a hitelesítés, a tanúsítványok és az adathalászat.
Az EITC/IS/WASF Web Applications Security Fundamentals tananyaga magában foglalja a HTML és JavaScript webbiztonsági szempontok bevezetését, a DNS-t, a HTTP-t, a cookie-kat, a munkameneteket, a cookie- és a munkamenet-támadásokat, az azonos eredetszabályzatot, a webhelyek közötti kérelmek hamisítását és az ugyanazon kivételeket. Eredeti irányelvek, Cross-Site Scripting (XSS), Cross-Site Scripting védelme, web ujjlenyomat, adatvédelem az interneten, DoS, adathalászat és mellékcsatornák, szolgáltatásmegtagadás, adathalászat és mellékcsatornák, injekciós támadások, kódbeillesztés, szállítás rétegbiztonság (TLS) és támadások, HTTPS a valós világban, hitelesítés, WebAuthn, webbiztonság kezelése, biztonsági problémák a Node.js projektben, szerver biztonság, biztonságos kódolási gyakorlatok, helyi HTTP szerver biztonság, DNS újrakötési támadások, böngészőtámadások, böngésző architektúra, valamint biztonságos böngészőkód írása a következő struktúrán belül, amely átfogó videodidaktikai tartalmat foglal magában, amely referenciaként szolgál ehhez az EITC-tanúsítványhoz.
A webalkalmazások biztonsága az információbiztonság egy részhalmaza, amely a webhelyek, webalkalmazások és webszolgáltatások biztonságára összpontosít. A webalkalmazások biztonsága a legalapvetőbb szinten az alkalmazásbiztonsági elveken alapul, de ezeket különösen az internetre és webes platformokra alkalmazza. A webalkalmazások biztonsági technológiái, például a webalkalmazások tűzfalai, speciális eszközök a HTTP-forgalom kezelésére.
Az Open Web Application Security Project (OWASP) ingyenes és nyílt forrásokat is kínál. Egy non-profit OWASP Alapítvány felelős érte. A 2017-es OWASP Top 10 egy jelenlegi tanulmány eredménye, amely több mint 40 partnerszervezettől gyűjtött kiterjedt adatokon alapul. Körülbelül 2.3 millió sebezhetőséget észleltek több mint 50,000 10 alkalmazásban, amelyek ezeket az adatokat használták. Az OWASP Top 2017 – XNUMX szerint a tíz legkritikusabb online alkalmazásbiztonsági probléma a következő:
- Injekció
- Hitelesítési problémák
- Kitett érzékeny adatok XML külső entitások (XXE)
- Nem működő hozzáférés-vezérlés
- A biztonság hibás beállítása
- Site-to-site scripting (XSS)
- Nem biztonságos deszerializáció
- Olyan alkatrészek használata, amelyeknek ismert hibái vannak
- A naplózás és a megfigyelés nem elegendő.
Ezért a webhelyek és online szolgáltatások különféle biztonsági fenyegetésekkel szembeni védelmének gyakorlatát, amelyek kihasználják az alkalmazás kódjának gyengeségeit, webalkalmazás-biztonságnak nevezik. A tartalomkezelő rendszerek (pl. WordPress), az adatbázis-adminisztrációs eszközök (pl. phpMyAdmin) és a SaaS-alkalmazások mind gyakori célpontjai az online alkalmazástámadásoknak.
A webalkalmazásokat kiemelt célpontnak tekintik az elkövetők, mert:
- Forráskódjuk bonyolultsága miatt nagyobb a valószínűsége a felügyelet nélküli biztonsági réseknek és a rosszindulatú kódmódosításoknak.
- Nagy értékű jutalmak, például a forráskód hatékony manipulálásával szerzett bizalmas személyes adatok.
- Könnyű végrehajtás, mert a legtöbb támadás könnyen automatizálható és válogatás nélkül bevethető több ezer, tíz vagy akár több százezer célpont ellen egyszerre.
- Azok a szervezetek, amelyek nem védik webalkalmazásaikat, ki vannak téve a támadásoknak. Ez többek között adatlopáshoz, feszült ügyfélkapcsolatokhoz, licencek törléséhez és jogi lépésekhez vezethet.
Sebezhetőségek a webhelyeken
A bemeneti/kimeneti fertőtlenítési hibák gyakoriak a webes alkalmazásokban, és gyakran használják őket forráskód módosítására vagy jogosulatlan hozzáférésre.
Ezek a hibák számos támadási vektor kihasználását teszik lehetővé, beleértve:
- SQL-befecskendezés – Amikor az elkövető rosszindulatú SQL-kóddal manipulál egy háttéradatbázist, információ derül ki. A következmények közé tartozik az illegális listák böngészése, a táblázatok törlése és a jogosulatlan rendszergazdai hozzáférés.
- Az XSS (Cross-site Scripting) egy injekciós támadás, amely a felhasználókat célozza meg fiókokhoz való hozzáférés, trójai programok aktiválása vagy az oldal tartalmának megváltoztatása érdekében. Amikor a rosszindulatú kódot közvetlenül egy alkalmazásba fecskendezik, ezt tárolt XSS-nek nevezik. Amikor a rosszindulatú szkript tükröződik egy alkalmazásból a felhasználó böngészőjébe, ezt tükröző XSS-nek nevezik.
- Távoli fájlbefoglalás – Ez a támadási forma lehetővé teszi a hacker számára, hogy egy távoli helyről fájlt fecskendezzen be egy webalkalmazás-kiszolgálóba. Ez veszélyes szkriptek vagy kódok végrehajtásához vezethet az alkalmazáson belül, valamint adatlopáshoz vagy módosításhoz.
- Cross-site Request Forgery (CSRF) – Olyan típusú támadás, amely nem szándékos készpénzátutalást, jelszómódosítást vagy adatlopást eredményezhet. Ez akkor fordul elő, amikor egy rosszindulatú webprogram arra utasítja a felhasználó böngészőjét, hogy végezzen nem kívánt műveletet egy olyan webhelyen, amelyre bejelentkezett.
Elméletileg a hatékony bemeneti/kimeneti fertőtlenítés megszüntetheti az összes sebezhetőséget, és az alkalmazást áthatolhatatlanná teheti a jogosulatlan módosításokkal szemben.
Mivel azonban a legtöbb program folyamatos fejlesztés alatt áll, az átfogó fertőtlenítés ritkán járható út. Ezenkívül az alkalmazásokat gyakran integrálják egymással, ami egy kódolt környezetet eredményez, amely egyre összetettebbé válik.
Az ilyen veszélyek elkerülése érdekében webalkalmazás-biztonsági megoldásokat és folyamatokat kell megvalósítani, például a PCI Data Security Standard (PCI DSS) tanúsítását.
Tűzfal webes alkalmazásokhoz (WAF)
A WAF-ok (webes alkalmazások tűzfalai) olyan hardver- és szoftvermegoldások, amelyek megvédik az alkalmazásokat a biztonsági fenyegetésektől. Ezeket a megoldásokat a bejövő forgalom vizsgálatára tervezték, hogy észleljék és blokkolják a támadási kísérleteket, kompenzálva a kódtisztítási hibákat.
A WAF telepítése a PCI DSS-tanúsítvány kulcsfontosságú kritériumának felel meg azáltal, hogy megvédi az adatokat a lopástól és módosítástól. Az adatbázisban tárolt összes hitel- és betéti kártyabirtokos adatot óvni kell a 6.6. követelmény szerint.
Mivel a hálózat szélén a DMZ előrébb van, a WAF létrehozása általában nem teszi szükségessé az alkalmazás módosítását. Ezután átjáróként szolgál az összes bejövő forgalom számára, és kiszűri a veszélyes kéréseket, mielőtt interakcióba léphetnének egy alkalmazással.
A WAF-ok különféle heurisztikákat alkalmaznak annak felmérésére, hogy melyik forgalom számára engedélyezett a hozzáférés egy alkalmazáshoz, és melyiket kell kiszűrni. A rendszeresen frissített aláíráskészletnek köszönhetően gyorsan azonosítani tudják a rosszindulatú szereplőket és az ismert támadási vektorokat.
Szinte minden WAF személyre szabható az egyedi használati esetekhez és biztonsági előírásokhoz, valamint a feltörekvő (más néven nulladik napi) fenyegetések elleni küzdelemhez. Végül, hogy további betekintést nyerjen a beérkező látogatókba, a legtöbb modern megoldás hírnév- és viselkedésadatokat használ.
A biztonsági övezet kialakítása érdekében a WAF-okat általában kiegészítő biztonsági megoldásokkal kombinálják. Ezek közé tartozhatnak az elosztott szolgáltatásmegtagadás (DDoS) megelőzési szolgáltatások, amelyek a nagy mennyiségű támadások megelőzéséhez szükséges extra méretezhetőséget biztosítják.
Ellenőrzőlista a webalkalmazások biztonságához
A WAF-okon kívül számos megközelítés létezik a webalkalmazások védelmére. Minden webalkalmazás biztonsági ellenőrzőlistájának tartalmaznia kell a következő eljárásokat:
- Adatgyűjtés — Menjen végig az alkalmazáson kézzel, keresse meg a belépési pontokat és az ügyféloldali kódokat. Osztályozza a harmadik fél által tárolt tartalmat.
- Engedélyezés – Az alkalmazás tesztelésekor keresse az útvonal bejárását, a függőleges és vízszintes hozzáférés-vezérlési problémákat, a hiányzó jogosultságokat és a nem biztonságos, közvetlen objektumhivatkozásokat.
- Biztosítson minden adatátvitelt titkosítással. Titkosítottak valamilyen érzékeny információt? Használt olyan algoritmust, amely nem megfelelő? Vannak véletlenszerűségi hibák?
- Szolgáltatásmegtagadás — Tesztelje az automatizálást, a fiókzárolást, a HTTP-protokoll DoS-t és az SQL helyettesítő karakteres DoS-t, hogy javítsa az alkalmazások szolgáltatásmegtagadási támadásokkal szembeni ellenálló képességét. Ez nem foglalja magában a nagy volumenű DoS és DDoS támadások elleni védelmet, amelyek ellen szűrőtechnológiák és méretezhető erőforrások keveréke szükséges.
További részletekért tekintse meg az OWASP Web Application Security Testing Cheat Sheet-et (ez egyben nagyszerű forrás egyéb biztonsággal kapcsolatos témákhoz is).
DDoS védelem
A DDoS-támadások vagy az elosztott szolgáltatásmegtagadási támadások tipikus módjai a webalkalmazások megszakításának. Számos megközelítés létezik a DDoS-támadások mérséklésére, ideértve a volumetrikus támadási forgalom elvetését a tartalomszolgáltató hálózatokon (CDN) és a külső hálózatok alkalmazását a valódi kérések megfelelő irányítására a szolgáltatás megszakítása nélkül.
DNSSEC (Domain Name System Security Extensions) védelem
A domain névrendszer vagy DNS az internet telefonkönyve, és azt tükrözi, hogy egy internetes eszköz, például egy webböngésző hogyan találja meg a megfelelő szervert. A DNS-gyorsítótár-mérgezést, az on-path támadásokat és a DNS-keresési életciklust megzavaró egyéb eszközöket a rossz szereplők fogják használni a DNS-kérés folyamatának eltérítésére. Ha a DNS az internet telefonkönyve, a DNSSEC egy hamisíthatatlan hívóazonosító. A DNS-keresési kérelmek a DNSSEC technológia segítségével védhetők.
A tanúsítási tanterv részletes megismeréséhez bővítheti és elemezheti az alábbi táblázatot.
Az EITC/IS/WASF webalkalmazások biztonsági alapjai tanúsítási tanterv nyílt hozzáférésű didaktikai anyagokra hivatkozik videó formában. A tanulási folyamat lépésről lépésre tagolódik (programok -> órák -> témák), amely lefedi a megfelelő tantervi részeket. Korlátlan szaktanácsadás is biztosított domain szakértőkkel.
A tanúsítási eljárás részleteiért ellenőrizze Hogyan működik.
Töltse le a teljes offline öntanuló előkészítő anyagokat az EITC/IS/WASF Web Applications Security Fundamentals programhoz PDF-fájlban
EITC/IS/WASF előkészítő anyagok – standard változat
EITC/IS/WASF előkészítő anyagok – kibővített változat felülvizsgálati kérdésekkel