EITC/IS/WASF Web Applications Security Fundamentals yra Europos IT sertifikavimo programa, skirta teoriniams ir praktiniams pasaulinio žiniatinklio paslaugų saugumo aspektams, pradedant pagrindinių žiniatinklio protokolų saugumu ir baigiant privatumu, grėsmėmis ir atakomis prieš skirtingus žiniatinklio srauto tinklo komunikacijos, žiniatinklio sluoksnius. serverių saugumas, saugumas aukštesniuose sluoksniuose, įskaitant žiniatinklio naršykles ir žiniatinklio programas, taip pat autentifikavimas, sertifikatai ir sukčiavimas.
EITC/IS/WASF žiniatinklio programų saugos pagrindų mokymo programa apima supažindinimą su HTML ir JavaScript žiniatinklio saugumo aspektais, DNS, HTTP, slapukais, seansais, slapukų ir seansų atakomis, ta pačia kilmės politika, kelių svetainių užklausų klastojimu, to paties išimtimis. Kilmės politika, kelių svetainių scenarijų kūrimas (XSS), kelių svetainių scenarijų apsauga, žiniatinklio pirštų atspaudų ėmimas, privatumas žiniatinklyje, DoS, sukčiavimas ir šalutiniai kanalai, paslaugų atsisakymas, sukčiavimas ir šalutiniai kanalai, injekcijos atakos, kodo įvedimas, transportavimas lygmens sauga (TLS) ir atakos, HTTPS realiame pasaulyje, autentifikavimas, WebAuthn, žiniatinklio saugumo valdymas, saugos problemos projekte Node.js, serverio sauga, saugaus kodavimo praktika, vietinio HTTP serverio sauga, DNS perrišimo atakos, naršyklės atakos, naršyklė architektūra, taip pat saugios naršyklės kodo rašymas pagal šią struktūrą, apimantis išsamų vaizdo didaktinį turinį kaip šio EITC sertifikato nuorodą.
Žiniatinklio programų sauga yra informacijos saugos pogrupis, kuriame pagrindinis dėmesys skiriamas svetainės, žiniatinklio programų ir žiniatinklio paslaugų saugai. Žiniatinklio programų saugumas pačiame pagrindiniame lygmenyje yra pagrįstas programų saugos principais, tačiau jis ypač taikomas internetui ir žiniatinklio platformoms. Žiniatinklio programų saugos technologijos, tokios kaip žiniatinklio programų ugniasienės, yra specializuoti įrankiai, skirti dirbti su HTTP srautu.
Open Web Application Security Project (OWASP) siūlo nemokamus ir atvirus išteklius. Už tai atsakingas ne pelno siekiantis OWASP fondas. 2017 m. OWASP Top 10 yra dabartinio tyrimo, pagrįsto plačiais duomenimis, surinktais iš daugiau nei 40 organizacijų partnerių, rezultatas. Daugiau nei 2.3 50,000 programų, naudojančių šiuos duomenis, aptikta maždaug 10 milijono pažeidžiamumų. Pagal OWASP Top 2017 – XNUMX dešimtuką svarbiausių internetinių programų saugumo problemų yra:
- Įpurškimas
- Autentifikavimo problemos
- Atskleidžiami neskelbtini duomenys XML išoriniai objektai (XXE)
- Prieigos kontrolė, kuri neveikia
- Neteisinga saugos konfigūracija
- Scenarijus iš vienos svetainės į kitą (XSS)
- Deserializacija, kuri nėra saugi
- Naudojant komponentus, kurie turi žinomų trūkumų
- Registravimo ir stebėjimo nepakanka.
Todėl svetainių ir internetinių paslaugų apsauga nuo įvairių saugumo grėsmių, kurios išnaudoja programos kodo trūkumus, yra žinoma kaip žiniatinklio programų sauga. Turinio valdymo sistemos (pvz., „WordPress“, duomenų bazių administravimo įrankiai (pvz., „phpMyAdmin“) ir „SaaS“ programos yra įprasti internetinių programų atakų taikiniai.
Žiniatinklio programas kaltininkai laiko didelio prioriteto taikiniais, nes:
- Dėl šaltinio kodo sudėtingumo labiau tikėtina, kad nepastebimi pažeidžiamumai ir kenkėjiško kodo modifikacijos.
- Didelės vertės atlygis, pvz., neskelbtina asmeninė informacija, gauta efektyviai pažeidžiant šaltinio kodą.
- Vykdymo paprastumas, nes daugumą išpuolių galima lengvai automatizuoti ir be atodairos panaudoti tūkstančiams, dešimtims ar net šimtams tūkstančių taikinių vienu metu.
- Organizacijos, kurios neapsaugo savo žiniatinklio programų, yra pažeidžiamos atakoms. Be kita ko, tai gali sukelti duomenų vagystę, įtemptus santykius su klientais, atšauktas licencijas ir teisinius veiksmus.
Svetainių pažeidžiamumas
Įvesties/išvesties valymo trūkumai yra dažni žiniatinklio programose ir jie dažnai naudojami norint pakeisti šaltinio kodą arba gauti neteisėtą prieigą.
Šie trūkumai leidžia išnaudoti įvairius atakos vektorius, įskaitant:
- SQL įpurškimas – kai kaltininkas manipuliuoja užpakaline duomenų baze naudodamas kenkėjišką SQL kodą, atskleidžiama informacija. Tarp pasekmių yra neteisėtas sąrašų naršymas, lentelių ištrynimas ir neteisėta administratoriaus prieiga.
- XSS (angl. Cross-site Scripting) yra įpurškimo ataka, nukreipta į vartotojus, siekiant gauti prieigą prie paskyrų, suaktyvinti Trojos arklys arba pakeisti puslapio turinį. Kai kenkėjiškas kodas įterpiamas tiesiai į programą, tai vadinama saugomu XSS. Kai kenkėjiškas scenarijus perkeliamas iš programos į vartotojo naršyklę, tai vadinama atspindėtu XSS.
- Nuotolinio failo įtraukimas – ši atakos forma leidžia įsilaužėliams įterpti failą į žiniatinklio programų serverį iš nuotolinės vietos. Dėl to programoje gali būti vykdomi pavojingi scenarijai arba kodas, taip pat gali būti pavogti arba pakeisti duomenys.
- Kryžminis užklausų klastojimas (CSRF) – atakos tipas, galintis sukelti netyčinį grynųjų pinigų pervedimą, slaptažodžio pakeitimą arba duomenų vagystę. Taip nutinka, kai kenkėjiška žiniatinklio programa nurodo vartotojo naršyklei atlikti nepageidaujamą veiksmą svetainėje, prie kurios jie yra prisijungę.
Teoriškai efektyvus įvesties/išvesties valymas gali panaikinti visus pažeidžiamumus, todėl programa tampa nepralaidi neteisėtam modifikavimui.
Tačiau, kadangi dauguma programų yra nuolat kuriamos, visapusiškas dezinfekavimas retai yra tinkamas pasirinkimas. Be to, programos paprastai integruojamos viena su kita, todėl užkoduota aplinka tampa vis sudėtingesnė.
Norint išvengti tokių pavojų, reikia įdiegti žiniatinklio programų saugos sprendimus ir procesus, tokius kaip PCI duomenų saugos standarto (PCI DSS) sertifikavimas.
Žiniatinklio programų ugniasienė (WAF)
WAF (žiniatinklio programų ugniasienės) yra techninės ir programinės įrangos sprendimai, apsaugantys programas nuo saugumo grėsmių. Šie sprendimai skirti tikrinti įeinantį srautą, siekiant aptikti ir blokuoti atakos bandymus, kompensuojant bet kokius kodo valymo trūkumus.
WAF diegimas atitinka esminį PCI DSS sertifikavimo kriterijų, nes apsaugo duomenis nuo vagystės ir modifikavimo. Visi kredito ir debeto kortelių turėtojo duomenys, saugomi duomenų bazėje, turi būti apsaugoti pagal 6.6 reikalavimą.
Kadangi WAF yra tinklo pakraštyje, jis yra pranašesnis už DMZ, todėl paprastai nereikia keisti programos. Tada jis tarnauja kaip viso įeinančio srauto vartai, filtruojant pavojingas užklausas, kol jos gali sąveikauti su programa.
Norėdami įvertinti, kuriam srautui leidžiama prieiga prie programos, o kuris turi būti pašalintas, WAF naudoja įvairias euristikos priemones. Dėl reguliariai atnaujinamo parašų fondo jie gali greitai atpažinti kenkėjiškus veikėjus ir žinomus atakų vektorius.
Beveik visi WAF gali būti pritaikyti individualiems naudojimo atvejams ir saugumo taisyklėms, taip pat kovojant su kylančiomis (taip pat žinomomis kaip nulinės dienos) grėsmėmis. Galiausiai, norint gauti papildomų įžvalgų apie atvykstančius lankytojus, dauguma šiuolaikinių sprendimų naudoja reputacijos ir elgesio duomenis.
Norint nutiesti apsaugos perimetrą, WAF dažniausiai derinami su papildomais apsaugos sprendimais. Tai gali būti paskirstytos atsisakymo teikti paslaugas (DDoS) prevencijos paslaugos, kurios suteikia papildomo mastelio, reikalingo norint išvengti didelės apimties atakų.
Žiniatinklio programų saugos kontrolinis sąrašas
Yra įvairių būdų, kaip apsaugoti žiniatinklio programas, be WAF. Bet koks žiniatinklio programų saugos kontrolinis sąrašas turėtų apimti šias procedūras:
- Duomenų rinkimas – ranka peržiūrėkite programą, ieškodami įėjimo taškų ir kliento kodų. Klasifikuokite turinį, kurį priglobia trečioji šalis.
- Autorizacija – testuodami programą ieškokite kelių, vertikalių ir horizontalių prieigos kontrolės problemų, trūkstamų įgaliojimų ir nesaugių, tiesioginių objektų nuorodų.
- Apsaugokite visus duomenų perdavimą kriptografija. Ar slapta informacija buvo užšifruota? Ar naudojote kokius nors algoritmus, kurie nėra tinkami? Ar yra atsitiktinumo klaidų?
- Paslaugų atsisakymas – patikrinkite, ar nėra automatizavimo, paskyros blokavimo, HTTP protokolo DoS ir SQL pakaitos simbolio DoS, siekiant pagerinti programos atsparumą paslaugų atsisakymo atakoms. Tai neapima saugumo nuo didelės apimties DoS ir DDoS atakų, kurioms norint atsispirti reikia įvairių filtravimo technologijų ir keičiamo dydžio išteklių.
Norėdami gauti daugiau informacijos, galite peržiūrėti OWASP žiniatinklio programos saugos testavimo lapą (tai taip pat puikus šaltinis kitoms su saugumu susijusioms temoms).
DDoS apsauga
DDoS atakos arba paskirstytos paslaugų atsisakymo atakos yra įprastas būdas nutraukti žiniatinklio taikomąją programą. Yra keletas būdų, kaip sumažinti DDoS atakas, įskaitant tūrinio atakų srauto pašalinimą turinio pristatymo tinkluose (CDN) ir išorinių tinklų naudojimą, kad būtų tinkamai nukreiptos tikros užklausos, nenutraukiant paslaugos.
DNSSEC (Domain Name System Security Extensions) apsauga
Domeno vardų sistema arba DNS yra interneto telefonų knyga ir atspindi, kaip interneto įrankis, pvz., žiniatinklio naršyklė, suranda atitinkamą serverį. DNS talpyklos apsinuodijimas, tiesioginės atakos ir kitos priemonės, trukdančios DNS peržvalgos gyvavimo ciklą, bus naudojamos blogų veikėjų, kad užgrobtų šį DNS užklausos procesą. Jei DNS yra interneto telefonų knyga, DNSSEC yra netikras skambintojo ID. DNS paieškos užklausą galima apsaugoti naudojant DNSSEC technologiją.
Norėdami išsamiai susipažinti su sertifikavimo programa, galite išplėsti ir išanalizuoti toliau pateiktą lentelę.
EITC/IS/WASF žiniatinklio taikomųjų programų saugos pagrindų sertifikavimo mokymo programoje pateikiamos nuorodos į atviros prieigos didaktinę medžiagą vaizdo įrašo forma. Mokymosi procesas yra padalintas į laipsnišką struktūrą (programos -> pamokos -> temos), apimančią atitinkamas mokymo programos dalis. Taip pat teikiamos neribotos konsultacijos su domenų ekspertais.
Norėdami gauti daugiau informacijos apie sertifikavimo procedūrą, patikrinkite Patogus abonementas.
Atsisiųskite visą savarankiško mokymosi neprisijungus parengiamąją medžiagą EITC/IS/WASF žiniatinklio programų saugos pagrindų programai PDF faile
EITC/IS/WASF paruošiamoji medžiaga – standartinė versija
EITC/IS/WASF parengiamoji medžiaga – išplėstinė versija su peržiūros klausimais