EITC/IS/WASF Web Applications Security Fundamentals ir Eiropas IT sertifikācijas programma par globālā tīmekļa pakalpojumu drošības teorētiskajiem un praktiskiem aspektiem, sākot no pamata tīmekļa protokolu drošības līdz privātumam, draudiem un uzbrukumiem dažādiem tīmekļa trafika tīkla komunikācijas slāņiem, tīmeklim. serveru drošība, drošība augstākos slāņos, tostarp tīmekļa pārlūkprogrammās un tīmekļa lietojumprogrammās, kā arī autentifikācija, sertifikāti un pikšķerēšana.
EITC/IS/WASF Web Applications Security Fundamentals mācību programma ietver ievadu HTML un JavaScript tīmekļa drošības aspektos, DNS, HTTP, sīkfailos, sesijās, sīkfailu un sesiju uzbrukumos, vienādas izcelsmes politikā, vairāku vietņu pieprasījumu viltošanā, izņēmumos no tā paša. Izcelsmes politika, starpvietņu skriptēšana (XSS), starpvietņu skriptēšanas aizsardzība, tīmekļa pirkstu nospiedumu noņemšana, privātums tīmeklī, DoS, pikšķerēšana un sānu kanāli, pakalpojuma atteikums, pikšķerēšana un sānu kanāli, injekcijas uzbrukumi, koda ievadīšana, transportēšana slāņa drošība (TLS) un uzbrukumi, HTTPS reālajā pasaulē, autentifikācija, WebAuthn, tīmekļa drošības pārvaldība, drošības problēmas projektā Node.js, servera drošība, drošas kodēšanas prakse, lokālā HTTP servera drošība, DNS atkārtotas saistīšanas uzbrukumi, pārlūkprogrammas uzbrukumi, pārlūkprogramma arhitektūra, kā arī droša pārlūkprogrammas koda rakstīšana tālāk norādītajā struktūrā, kas ietver visaptverošu video didaktisko saturu kā atsauci uz šo EITC sertifikātu.
Tīmekļa lietojumprogrammu drošība ir informācijas drošības apakškopa, kas koncentrējas uz vietņu, tīmekļa lietojumprogrammu un tīmekļa pakalpojumu drošību. Tīmekļa lietojumprogrammu drošība tās visvienkāršākajā līmenī ir balstīta uz lietojumprogrammu drošības principiem, taču tā īpaši attiecas uz internetu un tīmekļa platformām. Tīmekļa lietojumprogrammu drošības tehnoloģijas, piemēram, tīmekļa lietojumprogrammu ugunsmūri, ir specializēti rīki darbam ar HTTP trafiku.
Open Web Application Security Project (OWASP) piedāvā gan bezmaksas, gan atvērtus resursus. Par to atbild bezpeļņas OWASP fonds. 2017. gada OWASP Top 10 ir pašreizējā pētījuma rezultāts, kas balstīts uz plašiem datiem, kas savākti no vairāk nekā 40 partnerorganizācijām. Vairāk nekā 2.3 50,000 lietojumprogrammu, kurās tika izmantoti šie dati, tika atklāti aptuveni 10 miljoni ievainojamību. Desmit vissvarīgākās tiešsaistes lietojumprogrammu drošības problēmas saskaņā ar OWASP Top 2017 – XNUMX ir:
- Injekcija
- Autentifikācijas problēmas
- Atklāto sensitīvo datu XML ārējās entītijas (XXE)
- Piekļuves kontrole, kas nedarbojas
- Nepareiza drošības konfigurācija
- Vietņu-vietņu skriptēšana (XSS)
- Deserializācija, kas nav droša
- Izmantojot komponentus, kuriem ir zināmi trūkumi
- Mežizstrāde un uzraudzība ir nepietiekama.
Tādējādi tīmekļa vietņu un tiešsaistes pakalpojumu aizsardzība pret dažādiem drošības apdraudējumiem, kas izmanto lietojumprogrammas koda nepilnības, tiek dēvēta par tīmekļa lietojumprogrammu drošību. Satura pārvaldības sistēmas (piemēram, WordPress), datu bāzes administrēšanas rīki (piemēram, phpMyAdmin) un SaaS lietotnes ir visizplatītākie tiešsaistes lietojumprogrammu uzbrukumu mērķi.
Tīmekļa lietojumprogrammas vainīgie uzskata par augstas prioritātes mērķiem, jo:
- To avota koda sarežģītības dēļ lielāka iespējamība ir bez uzraudzības atstātām ievainojamībām un ļaunprātīga koda modifikācijām.
- Augstas vērtības atlīdzības, piemēram, sensitīva personas informācija, kas iegūta efektīvas pirmkoda manipulācijas rezultātā.
- Vienkārša izpilde, jo lielāko daļu uzbrukumu var viegli automatizēt un bez izšķirības izvietot pret tūkstošiem, desmitiem vai pat simtiem tūkstošu mērķu vienlaikus.
- Organizācijas, kuras nespēj aizsargāt savas tīmekļa lietojumprogrammas, ir neaizsargātas pret uzbrukumiem. Tas cita starpā var izraisīt datu zādzību, saspringtas klientu attiecības, anulētas licences un tiesvedību.
Vietņu ievainojamības
Tīmekļa lietojumprogrammās bieži sastopamas ievades/izvades sanitārās kļūdas, un tās bieži tiek izmantotas, lai mainītu pirmkodu vai iegūtu nesankcionētu piekļuvi.
Šie trūkumi ļauj izmantot dažādus uzbrukuma vektorus, tostarp:
- SQL ievadīšana — kad vainīgais manipulē ar aizmugursistēmas datubāzi ar ļaunprātīgu SQL kodu, tiek atklāta informācija. Starp sekām ir nelegāla sarakstu pārlūkošana, tabulu dzēšana un nesankcionēta administratora piekļuve.
- XSS (Cross-site Scripting) ir injekcijas uzbrukums, kura mērķis ir lietotāji, lai piekļūtu kontiem, aktivizētu Trojas zirgus vai mainītu lapas saturu. Ja ļaunprātīgs kods tiek ievadīts tieši lietojumprogrammā, to sauc par saglabāto XSS. Ja ļaunprātīgs skripts no lietojumprogrammas tiek atspoguļots lietotāja pārlūkprogrammā, to sauc par atspoguļoto XSS.
- Attālu failu iekļaušana — šis uzbrukuma veids ļauj hakeram no attālas vietas ievadīt failu tīmekļa lietojumprogrammu serverī. Tas var izraisīt bīstamu skriptu vai koda izpildi lietotnē, kā arī datu zādzību vai modifikācijas.
- Vairāku vietņu pieprasījuma viltošana (CSRF) — uzbrukuma veids, kas var izraisīt netīšu skaidras naudas pārsūtīšanu, paroles maiņu vai datu zādzību. Tas notiek, kad ļaunprātīga tīmekļa programma liek lietotāja pārlūkprogrammai veikt nevēlamu darbību vietnē, kurā lietotājs ir pieteicies.
Teorētiski efektīva ievades/izvades dezinfekcija var novērst visas ievainojamības, padarot lietojumprogrammu necaurlaidīgu pret neatļautām izmaiņām.
Tomēr, tā kā lielākā daļa programmu ir nepārtrauktā izstrādes stadijā, visaptveroša sanitārizācija reti ir dzīvotspējīga iespēja. Turklāt lietotnes parasti tiek integrētas viena ar otru, kā rezultātā tiek izveidota kodēta vide, kas kļūst arvien sarežģītāka.
Lai izvairītos no šādām briesmām, ir jāievieš tīmekļa lietojumprogrammu drošības risinājumi un procesi, piemēram, PCI datu drošības standarta (PCI DSS) sertifikācija.
Ugunsmūris tīmekļa lietojumprogrammām (WAF)
WAF (tīmekļa lietojumprogrammu ugunsmūri) ir aparatūras un programmatūras risinājumi, kas aizsargā lietojumprogrammas no drošības apdraudējumiem. Šie risinājumi ir izstrādāti, lai pārbaudītu ienākošo trafiku, lai atklātu un bloķētu uzbrukuma mēģinājumus, kompensējot visus koda sanitizācijas trūkumus.
WAF izvietošana atbilst izšķirošajam PCI DSS sertifikācijas kritērijam, aizsargājot datus pret zādzībām un modifikācijām. Visi kredītkaršu un debetkaršu turētāja dati, kas tiek uzturēti datu bāzē, ir jāaizsargā saskaņā ar 6.6. prasību.
Tā kā WAF izveidei nav nepieciešamas nekādas izmaiņas lietojumprogrammā, jo tā atrodas tīkla malās pirms DMZ. Pēc tam tā kalpo kā vārteja visai ienākošajai trafikai, filtrējot bīstamos pieprasījumus, pirms tie var mijiedarboties ar lietojumprogrammu.
Lai novērtētu, kurai trafikam ir atļauta piekļuve lietojumprogrammai un kura ir jāizslēdz, WAF izmanto dažādas heiristikas. Viņi var ātri identificēt ļaunprātīgos dalībniekus un zināmos uzbrukuma vektorus, pateicoties regulāri atjauninātam parakstu kopumam.
Gandrīz visi WAF var tikt pielāgoti individuāliem lietošanas gadījumiem un drošības noteikumiem, kā arī cīnīties ar jauniem (pazīstami arī kā nulles dienas) draudi. Visbeidzot, lai iegūtu papildu ieskatu par ienākošajiem apmeklētājiem, lielākā daļa mūsdienu risinājumu izmanto reputācijas un uzvedības datus.
Lai izveidotu drošības perimetru, WAF parasti tiek kombinēti ar papildu drošības risinājumiem. Tie varētu ietvert izkliedēto pakalpojumu atteikuma (DDoS) novēršanas pakalpojumus, kas nodrošina papildu mērogojamību, kas nepieciešama, lai novērstu liela apjoma uzbrukumus.
Tīmekļa lietojumprogrammu drošības kontrolsaraksts
Papildus WAF tīmekļa lietotņu aizsardzībai ir dažādas pieejas. Jebkurā tīmekļa lietojumprogrammu drošības kontrolsarakstā ir jāiekļauj šādas procedūras:
- Datu vākšana — ar roku pārejiet cauri lietojumprogrammai, meklējot ievades punktus un klienta puses kodus. Klasificējiet saturu, ko mitina trešā puse.
- Autorizācija — lietojumprogrammas testēšanas laikā meklējiet ceļu šķērsošanu, vertikālās un horizontālās piekļuves kontroles problēmas, trūkstošu autorizāciju un nedrošas, tiešas objektu atsauces.
- Nodrošiniet visas datu pārraides ar kriptogrāfiju. Vai kāda sensitīva informācija ir šifrēta? Vai esat izmantojis kādus algoritmus, kas nav piemēroti? Vai ir kādas nejaušības kļūdas?
- Pakalpojuma atteikums — pārbaudiet pretautomatizāciju, konta bloķēšanu, HTTP protokola DoS un SQL aizstājējzīmes DoS, lai uzlabotu lietojumprogrammas noturību pret pakalpojumu atteikuma uzbrukumiem. Tas neietver drošību pret liela apjoma DoS un DDoS uzbrukumiem, kuru novēršanai ir nepieciešamas filtrēšanas tehnoloģijas un mērogojami resursi.
Lai iegūtu sīkāku informāciju, varat skatīt OWASP tīmekļa lietojumprogrammu drošības testēšanas apkrāptu lapu (tas ir arī lielisks resurss citām ar drošību saistītām tēmām).
DDoS aizsardzība
DDoS uzbrukumi vai izplatīti pakalpojuma atteikuma uzbrukumi ir tipisks veids, kā pārtraukt tīmekļa lietojumprogrammu. Ir vairākas pieejas DDoS uzbrukumu mazināšanai, tostarp satura piegādes tīklos (CDN) apjomīgās uzbrukuma trafika atmešana un ārējo tīklu izmantošana, lai pareizi maršrutētu patiesus pieprasījumus, neizraisot pakalpojuma pārtraukumu.
DNSSEC (Domain Name System Security Extensions) aizsardzība
Domēna vārdu sistēma jeb DNS ir interneta tālruņu grāmata, un tā atspoguļo to, kā interneta rīks, piemēram, tīmekļa pārlūkprogramma, atrod attiecīgo serveri. Slikti dalībnieki izmantos DNS kešatmiņas saindēšanos, uzbrukumus ceļā un citus DNS uzmeklēšanas dzīves cikla traucējumus, lai nolaupītu šo DNS pieprasījuma procesu. Ja DNS ir interneta tālruņu katalogs, DNSSEC ir neatļauts zvanītāja ID. DNS uzmeklēšanas pieprasījumu var aizsargāt, izmantojot DNSSEC tehnoloģiju.
Lai detalizēti iepazītos ar sertifikācijas mācību programmu, varat paplašināt un analizēt zemāk esošo tabulu.
EITC/IS/WASF tīmekļa lietojumprogrammu drošības pamatu sertifikācijas mācību programmā ir atsauces uz brīvpiekļuves didaktiskajiem materiāliem video formātā. Mācību process ir sadalīts pakāpeniskā struktūrā (programmas -> nodarbības -> tēmas), kas aptver attiecīgās mācību programmas daļas. Tiek nodrošinātas arī neierobežotas konsultācijas ar domēna ekspertiem.
Lai iegūtu sīkāku informāciju par sertifikācijas procedūru, pārbaudiet Kā tas darbojas.
Lejupielādējiet pilnus bezsaistes pašmācības sagatavošanas materiālus programmai EITC/IS/WASF Web Applications Security Fundamentals PDF failā
EITC/IS/WASF sagatavošanas materiāli – standarta versija
EITC/IS/WASF sagatavošanas materiāli – paplašinātā versija ar pārskata jautājumiem