EITC/IS/WASF Web Applications Security Fundamentals - гэта еўрапейская праграма сертыфікацыі ІТ па тэарэтычных і практычных аспектах бяспекі сэрвісаў World Wide Web, пачынаючы ад бяспекі асноўных вэб-пратаколаў да канфідэнцыяльнасці, пагроз і нападаў на розныя ўзроўні вэб-трафіку, сеткавай сувязі, вэб бяспека сервераў, бяспека вышэйшых узроўняў, уключаючы вэб-браўзэры і вэб-прыкладанні, а таксама аўтэнтыфікацыя, сертыфікаты і фізынг.
Вучэбная праграма "Асновы бяспекі вэб-прыкладанняў EITC/IS/WASF" ахоплівае ўвядзенне ў аспекты вэб-бяспекі HTML і JavaScript, DNS, HTTP, файлы cookie, сеансы, атакі на файлы cookie і сеансы, аднолькавую палітыку паходжання, падробку міжсайтавых запытаў, выключэнні з таго ж. Палітыка паходжання, міжсайтавыя сцэнары (XSS), абарона ад міжсайтавых сцэнарыяў, адбіткі пальцаў у Інтэрнэце, канфідэнцыяльнасць у Інтэрнэце, DoS, фішынг і бакавыя каналы, адмова ў абслугоўванні, фішынг і пабочныя каналы, атакі з ін'екцыяй, увядзенне кода, транспарт ўзровень бяспекі (TLS) і атакі, HTTPS у рэальным свеце, аўтэнтыфікацыя, WebAuthn, кіраванне вэб-бяспекай, праблемы бяспекі ў праекце Node.js, бяспека сервера, практыкі бяспечнага кадавання, бяспека лакальнага HTTP-сервера, атакі перапрывязкі DNS, атакі ў браўзеры, браўзэр архітэктуры, а таксама напісанне бяспечнага кода браўзера ў рамках наступнай структуры, якая ахоплівае поўнае відэадыдактычнае змест у якасці эталона для гэтай сертыфікацыі EITC.
Бяспека вэб-прыкладанняў - гэта падмноства інфармацыйнай бяспекі, якая сканцэнтравана на бяспецы вэб-сайтаў, вэб-прыкладанняў і вэб-сэрвісаў. Бяспека вэб-прыкладанняў на самым базавым узроўні заснавана на прынцыпах бяспекі прыкладанняў, але прымяняе іх асабліва да Інтэрнэту і вэб-платформаў. Тэхналогіі бяспекі вэб-прыкладанняў, такія як брандмаўэры вэб-прыкладанняў, з'яўляюцца спецыялізаванымі інструментамі для працы з HTTP-трафікам.
Open Web Application Security Project (OWASP) прапануе рэсурсы, як бясплатныя, так і адкрытыя. За гэта адказвае некамерцыйны фонд OWASP. Топ-2017 OWASP за 10 год з'яўляецца вынікам бягучага даследавання, заснаванага на шырокіх дадзеных, сабраных больш чым 40 партнёрскімі арганізацыямі. Прыкладна 2.3 мільёна ўразлівасцяў былі выяўленыя ў больш чым 50,000 10 прыкладанняў з выкарыстаннем гэтых даных. У дзесятку найбольш важных праблем бяспекі онлайн-прыкладанняў, паводле версіі OWASP Top 2017 - XNUMX, ўваходзяць:
- Упырск
- Праблемы аўтэнтыфікацыі
- Знешнія аб'екты XML з канфідэнцыяльнымі данымі (XXE)
- Кантроль доступу, які не працуе
- Няправільная канфігурацыя бяспекі
- Скрыптаванне ад сайта да сайта (XSS)
- Небяспечная дэсерыялізацыя
- Выкарыстанне кампанентаў, якія маюць вядомыя недахопы
- Запіс і маніторынг недастатковыя.
Такім чынам, практыка абароны вэб-сайтаў і інтэрнэт-сэрвісаў ад розных пагроз бяспекі, якія выкарыстоўваюць слабыя месцы ў кодзе прыкладання, вядомая як бяспека вэб-прыкладанняў. Сістэмы кіравання кантэнтам (напрыклад, WordPress), інструменты адміністравання базы дадзеных (напрыклад, phpMyAdmin) і прыкладання SaaS з'яўляюцца агульнымі мэтамі для нападаў на онлайн-прыкладанні.
Вэб-прыкладанні лічацца высокапрыярытэтнымі мэтамі злачынцаў, таму што:
- З-за складанасці іх зыходнага кода больш верагодныя ўразлівасці без нагляду і мадыфікацыя шкоднаснага кода.
- Каштоўныя ўзнагароды, такія як канфідэнцыяльная асабістая інфармацыя, атрыманая шляхам эфектыўнага падробкі зыходнага кода.
- Прастата выканання, таму што большасць нападаў можна лёгка аўтаматызаваць і разгарнуць без разбору супраць тысяч, дзясяткаў ці нават сотняў тысяч мэтаў адначасова.
- Арганізацыі, якія не могуць абараніць свае вэб-прыкладанні, уразлівыя для нападаў. Гэта можа прывесці да крадзяжу дадзеных, напружаных адносін з кліентамі, анулявання ліцэнзій і судовых пазоваў, сярод іншага.
Ўразлівасці на сайтах
Хібы ачысткі ўводу/вываду з'яўляюцца агульнымі ў вэб-прыкладаннях, і яны часта выкарыстоўваюцца для змены зыходнага кода або атрымання несанкцыянаванага доступу.
Гэтыя недахопы дазваляюць выкарыстоўваць розныя вектары атакі, у тым ліку:
- Ін'екцыя SQL - калі злачынец маніпулюе бэкэнд-базай дадзеных са шкоднасным кодам SQL, інфармацыя раскрываецца. Сярод наступстваў - незаконны прагляд спісаў, выдаленне табліцы і несанкцыянаваны доступ адміністратара.
- XSS (Cross-site Scripting) - гэта ін'екцыйная атака, накіраваная на карыстальнікаў, каб атрымаць доступ да ўліковых запісаў, актываваць траянскія праграмы або змяніць змесціва старонкі. Калі шкоднасны код уводзіцца непасрэдна ў прыкладанне, гэта называецца захаваным XSS. Калі шкоднасны скрыпт адлюстроўваецца з прыкладання ў браўзэр карыстальніка, гэта вядома як адлюстраваны XSS.
- Аддаленае ўключэнне файла - гэтая форма атакі дазваляе хакеру ўводзіць файл у сервер вэб-прыкладанняў з аддаленага месца. Гэта можа прывесці да выканання небяспечных сцэнарыяў або кода ў праграме, а таксама да крадзяжу або мадыфікацыі дадзеных.
- Падробка міжсайтавых запытаў (CSRF) - тып атакі, які можа прывесці да ненаўмыснай перадачы грошай, змены пароляў або крадзяжу дадзеных. Гэта адбываецца, калі шкоднасная вэб-праграма загадвае браўзеру карыстальніка выканаць непажаданае дзеянне на вэб-сайце, на якім яны ўвайшлі.
Тэарэтычна, эфектыўная ачыстка ўводу/вываду можа ліквідаваць усе ўразлівасці, робячы прыкладанне неўспрымальным для несанкцыянаванага змянення.
Аднак, паколькі большасць праграм знаходзяцца ў бесперапынным стане распрацоўкі, комплексная санітарная ачыстка рэдка з'яўляецца жыццяздольным варыянтам. Акрамя таго, прыкладання звычайна інтэгруюцца адна з адной, што прыводзіць да закадаванай асяроддзя, якая становіцца ўсё больш складанай.
Каб пазбегнуць такіх небяспек, варта ўкараняць рашэнні і працэсы бяспекі вэб-прыкладанняў, напрыклад, сертыфікацыю па стандарту бяспекі дадзеных PCI (PCI DSS).
Брандмаўэр для вэб-прыкладанняў (WAF)
WAF (брандмаўэры вэб-прыкладанняў) - гэта апаратныя і праграмныя рашэнні, якія абараняюць прыкладання ад пагроз бяспекі. Гэтыя рашэнні прызначаны для праверкі ўваходнага трафіку з мэтай выяўлення і блакіроўкі спробаў атакі, кампенсацыі любых недахопаў ачысткі кода.
Разгортванне WAF вырашае найважнейшы крытэрый сертыфікацыі PCI DSS, абараняючы дадзеныя ад крадзяжу і мадыфікацыі. Усе дадзеныя аб уладальніках крэдытных і дэбетавых карт, якія захоўваюцца ў базе даных, павінны ахоўвацца ў адпаведнасці з патрабаваннем 6.6.
Паколькі ён знаходзіцца наперадзе сваёй DMZ на мяжы сеткі, стварэнне WAF звычайна не патрабуе ніякіх зменаў у прылажэнні. Затым ён служыць шлюзам для ўсяго ўваходнага трафіку, адфільтроўваючы небяспечныя запыты, перш чым яны змогуць узаемадзейнічаць з дадаткам.
Каб ацаніць, якому трафіку дазволены доступ да прыкладання, а які трэба адсеяць, WAF выкарыстоўваюць розныя эўрыстыкі. Яны могуць хутка ідэнтыфікаваць шкоднасных суб'ектаў і вядомых вектараў атакі дзякуючы рэгулярна абнаўляецца пулу сігнатур.
Амаль усе WAF могуць быць адаптаваныя да асобных выпадкаў выкарыстання і правілаў бяспекі, а таксама для барацьбы з узнікаючымі (таксама вядомымі як нулявы дзень) пагрозамі. Нарэшце, каб атрымаць дадатковую інфармацыю пра ўваходных наведвальнікаў, большасць сучасных рашэнняў выкарыстоўваюць дадзеныя аб рэпутацыі і паводзінах.
Для стварэння перыметра бяспекі WAF звычайна спалучаюцца з дадатковымі рашэннямі бяспекі. Яны могуць уключаць паслугі па прадухіленні размеркаванага адмовы ў абслугоўванні (DDoS), якія забяспечваюць дадатковую маштабаванасць, неабходную для прадухілення нападаў вялікага аб'ёму.
Кантрольны спіс бяспекі вэб-прыкладанняў
У дадатак да WAF існуе мноства падыходаў да абароны вэб-прыкладанняў. Любы кантрольны спіс бяспекі вэб-прыкладанняў павінен уключаць наступныя працэдуры:
- Збор даных — праглядайце прыкладанне ўручную, шукаючы кропкі ўваходу і кліенцкія коды. Класіфікаваць кантэнт, які размяшчаецца трэцім бокам.
- Аўтарызацыя — шукайце абходы шляхоў, праблемы вертыкальнага і гарызантальнага кантролю доступу, адсутную аўтарызацыю і небяспечныя прамыя спасылкі на аб'екты падчас тэставання прыкладання.
- Абараніце ўсе перадачы даных з дапамогай крыптаграфіі. Ці была зашыфраваная якая-небудзь канфідэнцыяльная інфармацыя? Вы выкарыстоўвалі якія-небудзь алгарытмы, якія не падыходзяць? Ці ёсць памылкі выпадковасці?
- Адмова ў абслугоўванні — Праверце на антыаўтаматызацыю, блакіроўку ўліковага запісу, пратакол HTTP і DoS з падстаўнымі знакамі SQL, каб палепшыць устойлівасць прыкладання да нападаў адмовы ў абслугоўванні. Гэта не ўключае ў сябе бяспеку ад вялікіх аб'ёмаў нападаў DoS і DDoS, якія патрабуюць спалучэння тэхналогій фільтрацыі і маштабуемых рэсурсаў, каб супрацьстаяць.
Для атрымання дадатковай інфармацыі можна праверыць шпаргалку па тэсціраванні бяспекі вэб-прыкладанняў OWASP (гэта таксама выдатны рэсурс для іншых тэм, звязаных з бяспекай).
абарона ад DDoS
DDoS-напады або размеркаваныя атакі адмовы ў абслугоўванні з'яўляюцца тыповым спосабам перапынення вэб-прыкладання. Існуе шэраг падыходаў для змякчэння наступстваў DDoS, у тым ліку адхіленне аб'ёмнага трафіку атакі ў сетках дастаўкі кантэнту (CDN) і выкарыстанне знешніх сетак для правільнай маршрутызацыі сапраўдных запытаў, не выклікаючы перапынку ў абслугоўванні.
Абарона DNSSEC (Пашырэнні бяспекі сістэмы даменных імёнаў).
Сістэма даменных імёнаў, або DNS, з'яўляецца тэлефоннай кнігай Інтэрнэту, і яна адлюстроўвае тое, як інтэрнэт-інструмент, напрыклад, вэб-браўзэр, знаходзіць адпаведны сервер. Атручэнне кэша DNS, атакі на шляху і іншыя сродкі ўмяшання ў жыццёвы цыкл пошуку DNS будуць выкарыстоўвацца дрэннымі суб'ектамі для захопу гэтага працэсу запыту DNS. Калі DNS - гэта тэлефонная кніга Інтэрнэту, DNSSEC - гэта непадробны ідэнтыфікатар абанента. Запыт на пошук DNS можа быць абаронены з дапамогай тэхналогіі DNSSEC.
Для дэталёвага азнаямлення з вучэбнай праграмай сертыфікацыі вы можаце разгарнуць і прааналізаваць табліцу ніжэй.
Вучэбная праграма сертыфікацыі па асновах бяспекі вэб-прыкладанняў EITC/IS/WASF спасылаецца на дыдактычныя матэрыялы з адкрытым доступам у відэаформе. Працэс навучання падзелены на пакрокавую структуру (праграмы -> урокі -> тэмы), якая ахоплівае адпаведныя часткі вучэбнай праграмы. Таксама прадастаўляюцца неабмежаваныя кансультацыі з экспертамі па дамене.
Падрабязна пра працэдуру сертыфікацыі глядзіце Як гэта працуе?.
Спампуйце поўныя афлайн-падрыхтоўчыя матэрыялы для праграмы EITC/IS/WASF Web Applications Security Fundamentals у фармаце PDF
Падрыхтоўчыя матэрыялы EITC/IS/WASF – стандартная версія
Падрыхтоўчыя матэрыялы EITC/IS/WASF – пашыраная версія з пытаннямі для агляду