EITC/IS/WAPT žiniatinklio taikomųjų programų skverbties testavimas yra Europos IT sertifikavimo programa, skirta teoriniams ir praktiniams žiniatinklio programų įsiskverbimo bandymo (baltojo įsilaužimo) aspektams, įskaitant įvairias žiniatinklio svetainių žvalgymo, nuskaitymo ir atakų technikos technologijas, įskaitant specializuotus įsiskverbimo testavimo įrankius ir rinkinius. .
EITC/IS/WAPT žiniatinklio programų skverbties testavimo programa apima supažindinimą su Burp Suite, žiniatinklio sparderavimą ir DVWA, brutalios jėgos testavimą su Burp Suite, žiniatinklio programų ugniasienės (WAF) aptikimą su WAFW00F, tikslo apimtį ir aptikimą, paslėptų failų atradimą su ZAP, „WordPress“ pažeidžiamumo nuskaitymas ir naudotojo vardų išvardijimas, apkrovos balanso nuskaitymas, scenarijų kūrimas tarp svetainių, XSS – atspindimas, saugomas ir DOM, tarpinio serverio atakos, tarpinio serverio konfigūravimas ZAP, failų ir katalogų atakos, failų ir katalogų aptikimas naudojant „DirBuster“, žiniatinklio atakų praktika , OWASP sulčių parduotuvė, CSRF – kelių svetainių užklausų klastojimas, slapukų rinkimas ir atvirkštinė inžinerija, HTTP atributai – slapukų vagystė, SQL įterpimas, „DotDotPwn“ – katalogų perėjimas, „iframe“ įterpimas ir HTML įterpimas, „Heartbleed“ išnaudojimas – aptikimas ir išnaudojimas, PHP kodo įterpimas, bWAPP – HTML įterpimas, atspindėtas POST, OS komandų įterpimas su Commix, serverio pusė apima SSI įterpimą, tikrinimas naudojant Docker, OverTheWire Natas, LFI ir komandų įpurškimas, „Google“ įsilaužimas, skirtas pentestavimui, „Google Dorks“ įsiskverbimo testavimui, „Apache2 ModSecurity“, taip pat „Nginx ModSecurity“ pagal šią struktūrą, apimantį išsamų vaizdo didaktinį turinį kaip šio EITC sertifikato nuorodą.
Žiniatinklio programų sauga (dažnai vadinama Web AppSec) yra svetainių kūrimo, kad jos veiktų normaliai, net kai jos yra užpultos, koncepcija. Sąvoka yra saugos priemonių rinkinio integravimas į žiniatinklio programą, siekiant apsaugoti jos turtą nuo priešiškų agentų. Žiniatinklio programos, kaip ir visa programinė įranga, gali turėti trūkumų. Kai kurie iš šių trūkumų yra tikri pažeidžiamumai, kuriuos galima išnaudoti, o tai kelia pavojų įmonėms. Nuo tokių trūkumų apsaugoma žiniatinklio programų sauga. Tai apima saugaus kūrimo metodų taikymą ir saugumo kontrolės priemonių įdiegimą per visą programinės įrangos kūrimo gyvavimo ciklą (SDLC), užtikrinant, kad būtų išspręstos projektavimo ir įgyvendinimo problemos. Internetinis įsiskverbimo testas, kurį atlieka ekspertai, siekiantys atskleisti ir išnaudoti žiniatinklio programų pažeidžiamumą, taikydami vadinamąjį baltojo įsilaužimo metodą, yra esminė praktika, kad būtų galima tinkamai apsisaugoti.
Interneto skverbties testas, taip pat žinomas kaip žiniatinklio rašiklio testas, imituoja kibernetinį puolimą prieš žiniatinklio programą, siekiant rasti išnaudojamų trūkumų. Prasiskverbimo testavimas dažnai naudojamas siekiant papildyti žiniatinklio programų užkardą žiniatinklio programų saugos (WAF) kontekste. Išbandymas rašikliu paprastai apima bandymą įsiskverbti į bet kokį taikomųjų sistemų skaičių (pvz., API, priekinių ir (arba) užpakalinių serverių) pažeidžiamumą, pvz., nevalytas įvestis, kurios yra pažeidžiamos kodo įpurškimo atakoms.
Internetinio įsiskverbimo testo išvados gali būti naudojamos WAF saugos strategijoms konfigūruoti ir aptiktoms pažeidžiamoms vietoms pašalinti.
Prasiskverbimo testą sudaro penki etapai.
Rašiklio testavimo procedūra suskirstyta į penkis etapus.
- Planavimas ir žvalgyba
Pirmasis etapas yra bandymo apimties ir tikslų apibrėžimas, įskaitant sistemas, į kurias reikia atkreipti dėmesį, ir naudotinas testavimo metodikas.
Norėdami geriau suprasti, kaip taikinys veikia, ir galimas jo silpnybes, rinkkite informaciją (pvz., tinklo ir domenų pavadinimus, pašto serverį). - Skenavimo
Kitas etapas yra išsiaiškinti, kaip tikslinė programa reaguos į įvairių tipų įsilaužimo bandymus. Paprastai tai atliekama naudojant šiuos metodus:
Statinė analizė – programos kodo tyrimas, siekiant numatyti, kaip ji veiks, kai ji bus paleista. Vienu praėjimu šie įrankiai gali nuskaityti visą kodą.
Dinaminė analizė yra programos kodo tikrinimo procesas jai veikiant. Šis nuskaitymo būdas yra praktiškesnis, nes suteikia programos našumo vaizdą realiuoju laiku. - Prieigos gavimas
Norint nustatyti tikslo trūkumus, atliekant šį veiksmą, naudojami žiniatinklio programų puolimai, pvz., scenarijus įvairiose svetainėse, SQL injekcija ir užpakalinės durys. Kad suprastų žalą, kurią gali padaryti šie pažeidžiamumai, bandytojai bando jais pasinaudoti didindami privilegijas, vogdami duomenis, perimdami srautą ir pan. - Išlaikyti prieigą
Šio etapo tikslas – įvertinti, ar pažeidžiamumu galima pasinaudoti siekiant užtikrinti ilgalaikį buvimą pažeistoje sistemoje, leidžiantį blogam veikėjui gauti išsamią prieigą. Tikslas yra imituoti pažangias nuolatines grėsmes, kurios sistemoje gali išlikti mėnesius, kad pavogtų jautriausią įmonės informaciją. - Analizė
Tada skverbties bandymo rezultatai įtraukiami į ataskaitą, kurioje pateikiama tokia informacija kaip:
Pažeidžiamumas, kuris buvo detaliai išnaudotas
Gauti jautrūs duomenys
Laikas, kurį rašiklio testeris galėjo likti nepastebėtas sistemoje.
Saugos ekspertai naudoja šiuos duomenis, kad padėtų konfigūruoti įmonės WAF nustatymus ir kitus programų saugos sprendimus, kad pataisytų pažeidžiamumą ir užkirstų kelią tolimesnėms atakoms.
Prasiskverbimo bandymo metodai
- Išorinio įsiskverbimo testavimas skirtas įmonės turtui, kuris matomas internete, pvz., pačiai žiniatinklio programai, įmonės svetainei, taip pat el. pašto ir domenų vardų serveriams (DNS). Tikslas yra gauti prieigą prie naudingos informacijos ir ją išgauti.
- Vidinis testavimas reiškia, kad bandytojas turi prieigą prie programos, esančios už įmonės užkardos, imituojančios priešišką viešai neatskleistą informaciją. Tai nėra būtina nesąžiningam darbuotojo modeliavimui. Darbuotojas, kurio įgaliojimai buvo gauti dėl bandymo sukčiauti, yra įprastas išeities taškas.
- Aklas testavimas yra tada, kai testuotojui tiesiog pateikiamas testuojamos įmonės pavadinimas. Tai leidžia saugumo ekspertams pamatyti, kaip realiu laiku gali vykti tikrasis programos užpuolimas.
- Dvigubai aklas testavimas: atliekant dvigubai aklą testą, saugumo specialistai iš anksto nežino apie imituojamą ataką. Jie neturės laiko pastatyti į krantą savo įtvirtinimų prieš bandymą įsilaužti, kaip ir realiame pasaulyje.
- Tikslinis testavimas – pagal šį scenarijų testuotojas ir apsaugos darbuotojai bendradarbiauja ir stebi vienas kito judesius. Tai puikus pratimas, suteikiantis saugumo komandai realiu laiku grįžtamąjį ryšį iš įsilaužėlio perspektyvos.
Žiniatinklio programų ugniasienės ir įsiskverbimo testavimas
Skverbties testavimas ir WAF yra du atskiri, bet vienas kitą papildantys saugumo metodai. Tikėtina, kad testeris panaudos WAF duomenis, pvz., žurnalus, kad surastų ir išnaudotų silpnąsias programos vietas atliekant daugelio tipų rašiklio testavimą (išskyrus akluosius ir dvigubai aklus testus).
Savo ruožtu rašiklio testavimo duomenys gali padėti WAF administratoriams. Baigę testą, WAF konfigūracijas galima modifikuoti, kad būtų apsaugota nuo bandymo metu aptiktų trūkumų.
Galiausiai, rašiklio testavimas atitinka tam tikrus saugos audito metodų atitikties reikalavimus, pvz., PCI DSS ir SOC 2. Tam tikri reikalavimai, pvz., PCI-DSS 6.6, gali būti įvykdyti tik naudojant sertifikuotą WAF. Tačiau dėl pirmiau minėtų pranašumų ir galimybės keisti WAF nustatymus, rašiklio testavimas netampa mažiau naudingas.
Kokia žiniatinklio saugumo testavimo reikšmė?
Žiniatinklio saugumo testavimo tikslas – nustatyti žiniatinklio programų ir jų sąrankos saugos trūkumus. Programos sluoksnis yra pagrindinis tikslas (ty tai, kas veikia HTTP protokolu). Įvairių formų įvesties siuntimas į žiniatinklio programą, siekiant sukelti problemų ir priversti sistemą reaguoti netikėtai, yra įprastas būdas patikrinti jos saugumą. Šie „neigiami testai“ nustato, ar sistema daro ką nors, ko neketino atlikti.
Taip pat labai svarbu suprasti, kad žiniatinklio saugos testavimas apima ne tik programos saugos funkcijų (pvz., autentifikavimo ir autorizacijos) patikrinimą. Taip pat labai svarbu užtikrinti, kad kitos funkcijos būtų įdiegtos saugiai (pvz., verslo logika ir tinkamo įvesties patvirtinimo bei išvesties kodavimo naudojimas). Tikslas yra užtikrinti, kad žiniatinklio programos funkcijos būtų saugios.
Kokie yra daugybė saugumo įvertinimų tipų?
- Dinaminės taikomųjų programų saugos (DAST) testas. Šis automatinis programų saugos testas geriausiai tinka mažos rizikos, vidinėms programoms, kurios turi atitikti norminius saugos reikalavimus. DAST derinimas su kai kuriais rankiniais internetiniais saugos testais, siekiant nustatyti įprastus pažeidžiamumus, yra geriausia strategija vidutinės rizikos programoms ir svarbioms programoms, kuriose atliekami nedideli pakeitimai.
- Statinių programų saugos patikra (SAST). Ši programų saugos strategija apima automatinius ir rankinius testavimo metodus. Tai idealiai tinka aptikti klaidas nenaudojant programų tiesioginėje aplinkoje. Tai taip pat leidžia inžinieriams nuskaityti šaltinio kodą, kad būtų galima sistemingai aptikti ir ištaisyti programinės įrangos saugos trūkumus.
- Skverbties egzaminas. Šis rankinis taikomųjų programų saugos testas idealiai tinka svarbioms programoms, ypač toms, kurios smarkiai keičiasi. Norint rasti išplėstinius atakos scenarijus, vertinime naudojama verslo logika ir priešu pagrįsti bandymai.
- Programos savisauga vykdymo metu (RASP). Šis augantis programų saugos metodas apima daugybę technologijų metodų, skirtų programai pritaikyti taip, kad grėsmės būtų stebimos ir, tikėkimės, būtų išvengta realiuoju laiku, kai jos atsiranda.
Kokį vaidmenį programos saugumo testavimas atlieka mažinant įmonės riziką?
Dauguma atakų prieš žiniatinklio programas apima:
- SQL injekcija
- XSS (kryžminis scenarijus)
- Nuotolinis komandų vykdymas
- Kelio perėjimo ataka
- Apribota prieiga prie turinio
- Pažeistos vartotojų paskyros
- Kenkėjiško kodo įdiegimas
- Prarastos pardavimo pajamos
- Klientų pasitikėjimas griauna
- Kenkia prekės ženklo reputacijai
- Ir daug kitų išpuolių
Šiandieninėje interneto aplinkoje žiniatinklio programai gali pakenkti įvairūs iššūkiai. Aukščiau pateiktame paveikslėlyje pavaizduotos kelios dažniausiai užpuolikų vykdomos atakos, kurių kiekviena gali padaryti didelės žalos atskirai programai arba visam verslui. Žinant daugybę užpuolimų, dėl kurių programa tampa pažeidžiama, ir galimus atakos rezultatus, įmonė gali iš anksto pašalinti pažeidžiamumą ir efektyviai juos patikrinti.
Ankstyvosiose SDLC fazėse galima nustatyti švelninimo priemones, kad būtų išvengta problemų, nustatant pagrindinę pažeidžiamumo priežastį. Atliekant žiniatinklio taikomųjų programų saugos testą, žinios apie šių grėsmių veikimą taip pat gali būti panaudotos taikant žinomas lankytinas vietas.
Atakos poveikio atpažinimas taip pat svarbus valdant įmonės riziką, nes sėkmingos atakos poveikis gali būti naudojamas siekiant nustatyti bendrą pažeidžiamumo sunkumą. Jei saugumo testo metu aptinkami pažeidžiamumai, jų rimtumo nustatymas leidžia įmonei veiksmingiau teikti pirmenybę taisomoms pastangoms. Norėdami sumažinti įmonei kylančią riziką, pradėkite nuo kritinių rimtumo problemų ir stenkitės sumažinti jų poveikį.
Prieš nustatydami problemą, įvertinę galimą kiekvienos programos poveikį įmonės programų bibliotekoje, galėsite nustatyti programos saugos testavimo prioritetus. „Wenb“ saugos testavimas gali būti suplanuotas, kad pirmiausia būtų nukreiptas į svarbias įmonės programas, o tikslingesni bandymai sumažintų riziką verslui. Turint nustatytą aukšto lygio programų sąrašą, „wenb“ saugos testavimas gali būti suplanuotas taip, kad pirmiausia būtų nukreiptas į svarbias įmonės programas, o tikslingiau tikrinant, kad būtų sumažinta rizika verslui.
Kokias funkcijas reikia ištirti atliekant žiniatinklio programos saugos testą?
Vykdydami žiniatinklio programų saugos bandymus, apsvarstykite toliau pateiktą neišsamų funkcijų sąrašą. Neefektyvus kiekvieno iš jų įgyvendinimas gali sukelti trūkumų ir sukelti pavojų įmonei.
- Programos ir serverio konfigūravimas. Šifravimo/kriptografinės sąrankos, žiniatinklio serverio konfigūracijos ir kt. yra galimų trūkumų pavyzdžiai.
- Įvesties ir klaidų apdorojimo patvirtinimas Dėl prasto įvesties ir išvesties apdorojimo atsiranda SQL įterpimas, scenarijus tarp svetainių (XSS) ir kitos tipiškos injekcijos problemos.
- Seansų autentifikavimas ir priežiūra. Pažeidžiamumas, dėl kurio gali būti apsimetinėjama naudotoju. Taip pat reikėtų atsižvelgti į įgaliojimų stiprumą ir apsaugą.
- Autorizacija. Bandomas programos gebėjimas apsaugoti nuo vertikalių ir horizontalių privilegijų padidėjimo.
- Logika versle. Dauguma verslo funkcionalumą teikiančių programų remiasi jomis.
- Logika kliento gale. Tokio tipo funkcija vis dažniau naudojama šiuolaikiniuose, „JavaScript“ turinčiuose tinklalapiuose, taip pat tinklalapiuose, kuriuose naudojamos kitų tipų kliento technologijos (pvz., „Silverlight“, „Flash“, „Java“ programėlės).
Norėdami išsamiai susipažinti su sertifikavimo programa, galite išplėsti ir išanalizuoti toliau pateiktą lentelę.
EITC/IS/WAPT žiniatinklio taikomųjų programų skverbties testavimo sertifikavimo mokymo programoje pateikiamos nuorodos į atviros prieigos didaktinę medžiagą vaizdo įrašo forma. Mokymosi procesas yra padalintas į laipsnišką struktūrą (programos -> pamokos -> temos), apimančią atitinkamas mokymo programos dalis. Taip pat teikiamos neribotos konsultacijos su domenų ekspertais.
Norėdami gauti daugiau informacijos apie sertifikavimo procedūrą, patikrinkite Patogus abonementas.
Atsisiųskite visą savarankiško mokymosi neprisijungus parengiamąją medžiagą, skirtą EITC/IS/WAPT žiniatinklio programų skverbties testavimo programai PDF faile
EITC/IS/WAPT paruošiamoji medžiaga – standartinė versija
EITC/IS/WAPT parengiamoji medžiaga – išplėstinė versija su peržiūros klausimais