EITC/IS/WAPT tīmekļa lietojumprogrammu iespiešanās pārbaude ir Eiropas IT sertifikācijas programma par tīmekļa lietojumprogrammu iespiešanās pārbaudes (baltās uzlaušanas) teorētiskajiem un praktiskiem aspektiem, tostarp dažādām tīmekļa vietņu pārveidošanas, skenēšanas un uzbrukuma metodēm, tostarp specializētiem iespiešanās pārbaudes rīkiem un komplektiem. .
EITC/IS/WAPT tīmekļa lietojumprogrammu iespiešanās testēšanas mācību programma ietver ievadu Burp Suite, tīmekļa spridering un DVWA, brutālā spēka testēšanu ar Burp Suite, tīmekļa lietojumprogrammu ugunsmūra (WAF) noteikšanu ar WAFW00F, mērķa tvērumu un spiderēšanu, slēpto failu atklāšanu ar ZAP, WordPress ievainojamības skenēšana un lietotājvārdu uzskaitīšana, slodzes līdzsvara skenēšana, starpvietņu skriptēšana, XSS — atspoguļots, saglabāts un DOM, starpniekservera uzbrukumi, starpniekservera konfigurēšana ZAP, failu un direktoriju uzbrukumi, failu un direktoriju atklāšana ar DirBuster, tīmekļa uzbrukumu prakse , OWASP sulu veikals, CSRF — vairāku vietņu pieprasījumu viltošana, sīkfailu vākšana un reversā inženierija, HTTP atribūti — sīkfailu zagšana, SQL injekcija, DotDotPwn — direktoriju šķērsošana, iframe injekcija un HTML injekcija, Heartbleed izmantošana — atklāšana un izmantošana, PHP koda ievadīšana, bWAPP — HTML injekcija, atspoguļota POST, OS komandu injekcija ar Commix, servera pusē iekļauta SSI injekcija, līdztestēšana programmā Docker, OverTheWire Natas, LFI un komandu injekcija, Google uzlaušana pentestēšanai, Google Dorks iespiešanās pārbaudei, Apache2 ModSecurity, kā arī Nginx ModSecurity šādā struktūrā, kas ietver visaptverošu video didaktisko saturu kā atsauci uz šo EITC sertifikātu.
Tīmekļa lietojumprogrammu drošība (bieži saukta par Web AppSec) ir tīmekļa vietņu izstrāde, lai tās darbotos normāli pat tad, ja tām tiek uzbrukts. Jēdziens ir drošības pasākumu kompleksa integrēšana tīmekļa lietojumprogrammā, lai aizsargātu tās līdzekļus no naidīgiem aģentiem. Tīmekļa lietojumprogrammām, tāpat kā jebkurai programmatūrai, ir tendence uz trūkumiem. Daži no šiem trūkumiem ir reālas ievainojamības, kuras var izmantot, radot risku uzņēmumiem. No šādiem trūkumiem tiek nodrošināta tīmekļa lietojumprogrammu drošība. Tas ietver drošu izstrādes pieeju izmantošanu un drošības kontroles ieviešanu visā programmatūras izstrādes dzīves ciklā (SDLC), nodrošinot, ka tiek novērsti dizaina trūkumi un ieviešanas problēmas. Tiešsaistes iespiešanās pārbaude, ko veic eksperti, kuru mērķis ir atklāt un izmantot tīmekļa lietojumprogrammu ievainojamības, izmantojot tā saukto balto uzlaušanas pieeju, ir būtiska prakse, lai nodrošinātu atbilstošu aizsardzību.
Tīmekļa iespiešanās tests, kas pazīstams arī kā tīmekļa pildspalvas tests, simulē kiberuzbrukumu tīmekļa lietojumprogrammai, lai atrastu izmantojamus trūkumus. Iespiešanās pārbaude bieži tiek izmantota, lai papildinātu tīmekļa lietojumprogrammu ugunsmūri tīmekļa lietojumprogrammu drošības (WAF) kontekstā. Pildspalvas testēšana parasti ir saistīta ar mēģinājumu iekļūt daudzās lietojumprogrammu sistēmās (piemēram, API, frontend/backend serveros), lai atrastu ievainojamības, piemēram, neattīrītas ievades, kas ir neaizsargātas pret koda ievadīšanas uzbrukumiem.
Tiešsaistes iespiešanās testa rezultātus var izmantot, lai konfigurētu WAF drošības politikas un novērstu atklātās ievainojamības.
Iespiešanās pārbaude sastāv no piecām darbībām.
Pildspalvas testēšanas procedūra ir sadalīta piecos posmos.
- Plānošana un izlūkošana
Testa darbības jomas un mērķu noteikšana, tostarp izmantojamās sistēmas un izmantojamās testēšanas metodoloģijas, ir pirmais posms.
Lai labāk izprastu, kā darbojas mērķis un tā iespējamās vājās vietas, apkopojiet informāciju (piemēram, tīkla un domēna nosaukumus, pasta serveri). - Skenēšana
Nākamais posms ir noskaidrot, kā mērķa lietojumprogramma reaģēs uz dažāda veida ielaušanās mēģinājumiem. Parasti to panāk, izmantojot šādas metodes:
Statiskā analīze — lietojumprogrammas koda pārbaude, lai paredzētu, kā tā darbosies, kad tā tiks palaists. Ar vienu piegājienu šie rīki var skenēt visu kodu.
Dinamiskā analīze ir lietojumprogrammas koda pārbaudes process, kamēr tā darbojas. Šī skenēšanas metode ir praktiskāka, jo tā nodrošina reāllaika skatījumu uz lietojumprogrammas veiktspēju. - Piekļuves iegūšana
Lai atrastu mērķa vājās vietas, šajā darbībā tiek izmantoti tīmekļa lietojumprogrammu uzbrukumi, piemēram, starpvietņu skriptēšana, SQL injekcija un aizmugures durvis. Lai saprastu, kādu kaitējumu šīs ievainojamības var nodarīt, testētāji mēģina tās izmantot, palielinot privilēģijas, zogot datus, pārtverot trafiku un tā tālāk. - Piekļuves saglabāšana
Šī posma mērķis ir novērtēt, vai ievainojamību var izmantot, lai izveidotu ilgtermiņa klātbūtni apdraudētajā sistēmā, ļaujot sliktam dalībniekam iegūt padziļinātu piekļuvi. Mērķis ir atdarināt progresīvus pastāvīgus draudus, kas var palikt sistēmā vairākus mēnešus, lai nozagtu uzņēmuma sensitīvāko informāciju. - Analīze
Iespiešanās testa rezultāti pēc tam tiek ievietoti ziņojumā, kurā ir iekļauta tāda informācija kā:
Ievainojamības, kas tika detalizēti izmantotas
Iegūtie dati bija sensitīvi
Laiks, cik ilgi pildspalvas testeris varēja palikt nepamanīts sistēmā.
Drošības eksperti izmanto šos datus, lai palīdzētu konfigurēt uzņēmuma WAF iestatījumus un citus lietojumprogrammu drošības risinājumus, lai novērstu ievainojamības un novērstu turpmākus uzbrukumus.
Iespiešanās pārbaudes metodes
- Ārējā iespiešanās pārbaude koncentrējas uz uzņēmuma aktīviem, kas ir redzami internetā, piemēram, pašu tīmekļa lietojumprogrammu, uzņēmuma vietni, kā arī e-pasta un domēna nosaukumu serverus (DNS). Mērķis ir iegūt piekļuvi noderīgai informācijai un iegūt to.
- Iekšējā testēšana nozīmē, ka testētājam ir piekļuve lietojumprogrammai aiz uzņēmuma ugunsmūra, kas simulē naidīgu iekšējās informācijas uzbrukumu. Tā nav nepieciešama negodīga darbinieka simulācija. Darbinieks, kura akreditācijas dati tika iegūti pikšķerēšanas mēģinājuma rezultātā, ir izplatīts sākumpunkts.
- Aklā pārbaude ir tad, kad testētājam vienkārši tiek norādīts pārbaudāmā uzņēmuma nosaukums. Tas ļauj drošības ekspertiem redzēt, kā reāllaikā var izpausties faktiskais lietojumprogrammas uzbrukums.
- Dubultaklā pārbaude: dubultaklā testā drošības speciālisti iepriekš nezina par simulēto uzbrukumu. Viņiem nebūs laika nostiprināt savus nocietinājumus pirms pārkāpuma mēģinājuma, tāpat kā reālajā pasaulē.
- Mērķtiecīga pārbaude – šajā scenārijā testētājs un drošības personāls sadarbojas un seko līdzi viens otra kustībām. Šis ir lielisks treniņš, kas sniedz drošības komandai reāllaika atgriezenisko saiti no hakera perspektīvas.
Tīmekļa lietojumprogrammu ugunsmūri un iespiešanās pārbaude
Iespiešanās pārbaude un WAF ir divas atsevišķas, bet viena otru papildinošas drošības metodes. Testeris, iespējams, izmantos WAF datus, piemēram, žurnālus, lai atrastu un izmantotu lietojumprogrammas vājās vietas daudzos pildspalvu testēšanas veidos (izņemot aklos un dubultaklās pārbaudes).
Savukārt pildspalvu testēšanas dati var palīdzēt WAF administratoriem. Pēc testa pabeigšanas WAF konfigurācijas var mainīt, lai aizsargātu pret testa laikā atklātajiem trūkumiem.
Visbeidzot, pildspalvu testēšana atbilst noteiktām drošības audita metožu atbilstības prasībām, piemēram, PCI DSS un SOC 2. Dažas prasības, piemēram, PCI-DSS 6.6, var izpildīt tikai tad, ja tiek izmantots sertificēts WAF. Tomēr, ņemot vērā iepriekš minētās priekšrocības un iespēju mainīt WAF iestatījumus, tas nepadara pildspalvas testēšanu mazāk noderīgu.
Kāda ir tīmekļa drošības pārbaudes nozīme?
Tīmekļa drošības pārbaudes mērķis ir noteikt drošības trūkumus tīmekļa lietojumprogrammās un to iestatījumos. Lietojumprogrammas slānis ir primārais mērķis (ti, tas, kas darbojas HTTP protokolā). Dažādu veidu ievades sūtīšana tīmekļa lietojumprogrammai, lai radītu problēmas un liktu sistēmai reaģēt neparedzētā veidā, ir izplatīta pieeja tās drošības pārbaudei. Šie “negatīvie testi” pārbauda, vai sistēma dara kaut ko tādu, ko tai nebija paredzēts paveikt.
Ir arī svarīgi apzināties, ka tīmekļa drošības pārbaude ietver vairāk nekā tikai lietojumprogrammas drošības līdzekļu (piemēram, autentifikācijas un autorizācijas) pārbaudi. Ir svarīgi arī nodrošināt, lai citi līdzekļi tiktu droši izvietoti (piemēram, biznesa loģika un pareizas ievades validācijas un izvades kodēšanas izmantošana). Mērķis ir pārliecināties, ka tīmekļa lietojumprogrammas funkcijas ir drošas.
Kādi ir daudzie drošības novērtējumu veidi?
- Dinamiskās lietojumprogrammu drošības (DAST) pārbaude. Šis automatizētais lietojumprogrammu drošības tests ir vislabāk piemērots zema riska iekšējām lietotnēm, kurām jāatbilst normatīvajām drošības prasībām. DAST apvienošana ar dažām manuālām tiešsaistes drošības pārbaudēm izplatītām ievainojamībām ir labākā stratēģija vidēja riska lietotnēm un būtiskām lietojumprogrammām, kurās tiek veiktas nelielas izmaiņas.
- Statisko lietojumprogrammu drošības pārbaude (SAST). Šī lietojumprogrammu drošības stratēģija ietver gan automatizētas, gan manuālas testēšanas metodes. Tas ir ideāli piemērots kļūdu noteikšanai, nepalaižot lietotnes dzīvā vidē. Tas arī ļauj inženieriem skenēt pirmkodu, lai sistemātiski atklātu un labotu programmatūras drošības trūkumus.
- Iespiešanās pārbaude. Šis manuālās lietojumprogrammas drošības tests ir ideāli piemērots būtiskām lietojumprogrammām, jo īpaši tām, kurās tiek veiktas būtiskas izmaiņas. Lai atrastu uzlabotus uzbrukuma scenārijus, novērtējumā tiek izmantota biznesa loģika un uz pretinieku balstīta pārbaude.
- Lietojumprogrammu pašaizsardzība izpildlaikā (RASP). Šī pieaugošā lietojumprogrammu drošības metode ietver dažādas tehnoloģiju metodes, lai instrumentētu lietojumprogrammu, lai draudus varētu novērot un, cerams, novērst reāllaikā, tiklīdz tie rodas.
Kādu lomu uzņēmuma riska mazināšanā spēlē lietojumprogrammu drošības pārbaude?
Lielākā daļa uzbrukumu tīmekļa lietojumprogrammām ietver:
- SQL injekcijas
- XSS (starpvietņu skriptēšana)
- Attālā komandu izpilde
- Ceļa šķērsošanas uzbrukums
- Ierobežota piekļuve saturam
- Kompromitēti lietotāju konti
- Ļaunprātīga koda instalēšana
- Zaudēti pārdošanas ieņēmumi
- Klientu uzticība samazinās
- Kaitīga zīmola reputācija
- Un daudzi citi uzbrukumi
Mūsdienu interneta vidē tīmekļa lietojumprogrammu var kaitēt dažādas problēmas. Iepriekš redzamajā grafikā ir attēloti daži no visbiežāk sastopamajiem uzbrucēju uzbrukumiem, un katrs no tiem var radīt būtisku kaitējumu atsevišķai lietojumprogrammai vai visam uzņēmumam. Zinot daudzos uzbrukumus, kas padara lietojumprogrammu neaizsargātu, kā arī iespējamos uzbrukuma rezultātus, uzņēmums var savlaicīgi novērst ievainojamības un efektīvi tās pārbaudīt.
SDLC sākuma fāzēs var izveidot mazinošus kontroles pasākumus, lai novērstu jebkādas problēmas, identificējot ievainojamības galveno cēloni. Tīmekļa lietojumprogrammu drošības pārbaudes laikā zināšanas par šo draudu darbību var izmantot arī, lai mērķētu uz zināmām apskates vietām.
Uzbrukuma ietekmes atpazīšana ir svarīga arī uzņēmuma riska pārvaldībai, jo veiksmīga uzbrukuma ietekmi var izmantot, lai noteiktu ievainojamības nopietnību kopumā. Ja drošības pārbaudes laikā tiek atklātas ievainojamības, to nopietnības noteikšana ļauj uzņēmumam efektīvāk noteikt koriģēšanas pasākumu prioritāti. Lai samazinātu risku uzņēmumam, sāciet ar kritiskām nopietnām problēmām un mēģiniet samazināt tās, kas ietekmē mazāku ietekmi.
Pirms problēmas identificēšanas katras programmas iespējamās ietekmes novērtējums uzņēmuma lietojumprogrammu bibliotēkā palīdzēs noteikt lietojumprogrammu drošības testēšanas prioritāti. Wenb drošības testēšanu var ieplānot, lai vispirms mērķētu uz uzņēmuma kritiskajām lietojumprogrammām, izmantojot mērķtiecīgāku testēšanu, lai samazinātu risku pret uzņēmumu. Izmantojot izveidoto augsta profila lietojumprogrammu sarakstu, wenb drošības testēšanu var ieplānot, lai vispirms mērķētu uz uzņēmuma kritiskajām lietojumprogrammām, izmantojot mērķtiecīgāku testēšanu, lai samazinātu risku pret uzņēmumu.
Kādas funkcijas būtu jāpārbauda tīmekļa lietojumprogrammas drošības pārbaudes laikā?
Tīmekļa lietojumprogrammu drošības pārbaudes laikā ņemiet vērā tālāk sniegto nepilnīgo funkciju sarakstu. Katra neefektīva īstenošana var radīt nepilnības, apdraudot uzņēmumu.
- Lietojumprogrammas un servera konfigurācija. Šifrēšanas/kriptogrāfijas iestatījumi, tīmekļa servera konfigurācijas un tā tālāk ir iespējamu trūkumu piemēri.
- Ievades un kļūdu apstrādes validācija Slikta ievades un izvades apstrāde noved pie SQL injekcijas, starpvietņu skriptēšanas (XSS) un citām tipiskām injekcijas problēmām.
- Sesiju autentifikācija un uzturēšana. Ievainojamības, kas var izraisīt uzdošanos par lietotāju. Jāņem vērā arī pilnvaru stiprums un aizsardzība.
- Autorizācija. Tiek pārbaudīta lietojumprogrammas spēja aizsargāt pret vertikālām un horizontālām privilēģiju eskalācijām.
- Loģika biznesā. Lielākā daļa programmu, kas nodrošina biznesa funkcionalitāti, paļaujas uz tiem.
- Loģika klienta galā. Šāda veida līdzekļi kļūst arvien izplatītāki modernās, JavaScript intensīvās tīmekļa lapās, kā arī tīmekļa lapās, kurās tiek izmantotas cita veida klienta puses tehnoloģijas (piemēram, Silverlight, Flash, Java sīklietotnes).
Lai detalizēti iepazītos ar sertifikācijas mācību programmu, varat paplašināt un analizēt zemāk esošo tabulu.
EITC/IS/WAPT tīmekļa lietojumprogrammu iespiešanās testēšanas sertifikācijas mācību programmā ir atsauces uz brīvpiekļuves didaktiskajiem materiāliem video formātā. Mācību process ir sadalīts pakāpeniskā struktūrā (programmas -> nodarbības -> tēmas), kas aptver attiecīgās mācību programmas daļas. Tiek nodrošinātas arī neierobežotas konsultācijas ar domēna ekspertiem.
Lai iegūtu sīkāku informāciju par sertifikācijas procedūru, pārbaudiet Kā tas darbojas.
Lejupielādējiet pilnus bezsaistes pašmācības sagatavošanas materiālus EITC/IS/WAPT tīmekļa lietojumprogrammu iespiešanās testēšanas programmai PDF failā
EITC/IS/WAPT sagatavošanas materiāli – standarta versija
EITC/IS/WAPT sagatavošanas materiāli – paplašinātā versija ar pārskata jautājumiem