EITC/IS/WASF Web Applications Security Fundamentals е европейската ИТ програма за сертифициране по теоретични и практически аспекти на сигурността на услугите в World Wide Web, вариращи от сигурността на основните уеб протоколи, през поверителността, заплахите и атаките върху различни слоеве на уеб трафик, мрежова комуникация, уеб сигурност на сървърите, сигурност на по-високи нива, включително уеб браузъри и уеб приложения, както и удостоверяване, сертификати и фишинг.
Учебната програма на Основите за сигурност на уеб приложенията EITC/IS/WASF обхваща въведение в аспектите на уеб сигурността на HTML и JavaScript, DNS, HTTP, бисквитки, сесии, бисквитки и атаки на сесии, една и съща политика за произход, фалшифициране на междусайтови заявки, изключения от същото Политика за произход, междусайтови скриптове (XSS), защита на скриптове между сайтове, снемане на пръстови отпечатъци в мрежата, поверителност в мрежата, DoS, фишинг и странични канали, отказ на услуга, фишинг и странични канали, атаки с инжектиране, инжектиране на код, транспорт сигурност на слоя (TLS) и атаки, HTTPS в реалния свят, удостоверяване, WebAuthn, управление на уеб сигурността, опасения за сигурността в проекта Node.js, сигурност на сървъра, практики за безопасно кодиране, сигурност на локалния HTTP сървър, атаки за повторно свързване на DNS, атаки на браузър, браузър архитектура, както и писане на защитен код на браузъра в рамките на следната структура, включваща изчерпателно видеодидактическо съдържание като референция за това EITC Сертификация.
Защитата на уеб приложенията е подгрупа от информационна защита, която се фокусира върху сигурността на уебсайтове, уеб приложения и уеб услуги. Сигурността на уеб приложенията, в най-основното си ниво, се основава на принципите за сигурност на приложенията, но ги прилага особено към интернет и уеб платформите. Технологиите за защита на уеб приложенията, като защитните стени на уеб приложенията, са специализирани инструменти за работа с HTTP трафик.
Проектът за защита на отворените уеб приложения (OWASP) предлага ресурси, които са както безплатни, така и отворени. Фондация OWASP с нестопанска цел отговаря за това. Топ 2017 на OWASP за 10 г. е резултат от текущо проучване, базирано на обширни данни, събрани от над 40 партньорски организации. Приблизително 2.3 милиона уязвимости бяха открити в над 50,000 10 приложения, използващи тези данни. Десетте най-критични опасения за сигурността на онлайн приложенията според OWASP Top 2017 – XNUMX са:
- Инжектиране
- Проблеми с удостоверяването
- Открити чувствителни данни XML външни обекти (XXE)
- Контрол на достъпа, който не работи
- Неправилна конфигурация на сигурността
- Скриптове от сайт до сайт (XSS)
- Десериализация, която не е сигурна
- Използване на компоненти, които имат известни недостатъци
- Регистрацията и наблюдението са недостатъчни.
Следователно практиката за защита на уебсайтове и онлайн услуги срещу различни заплахи за сигурността, които използват слабости в кода на приложението, е известна като сигурност на уеб приложения. Системите за управление на съдържанието (напр. WordPress), инструментите за администриране на бази данни (например, phpMyAdmin) и SaaS приложенията са често срещани цели за атаки на онлайн приложения.
Уеб приложенията се считат за цели с висок приоритет от извършителите, защото:
- Поради сложността на техния изходен код, по-вероятни са неконтролирани уязвимости и злонамерена модификация на кода.
- Награди с висока стойност, като чувствителна лична информация, получена чрез ефективно подправяне на изходния код.
- Лесно изпълнение, тъй като повечето атаки могат лесно да бъдат автоматизирани и разгърнати безразборно срещу хиляди, десетки или дори стотици хиляди цели наведнъж.
- Организации, които не успяват да защитят своите уеб приложения, са уязвими за атака. Това може да доведе до кражба на данни, обтегнати взаимоотношения с клиенти, анулирани лицензи и съдебни действия, наред с други неща.
Уязвимости в уебсайтове
Недостатъците в санирането на входа/изхода са често срещани в уеб приложенията и често се използват за промяна на изходния код или за получаване на неоторизиран достъп.
Тези недостатъци позволяват използването на различни вектори на атака, включително:
- SQL инжекция – Когато извършител манипулира бекенд база данни със злонамерен SQL код, информацията се разкрива. Незаконно сърфиране в списъци, изтриване на таблица и неоторизиран администраторски достъп са сред последствията.
- XSS (Cross-site Scripting) е атака с инжектиране, която е насочена към потребителите, за да получат достъп до акаунти, да активират троянски коне или да променят съдържанието на страницата. Когато злонамерен код се инжектира директно в приложение, това е известно като съхранен XSS. Когато злонамерен скрипт се отразява от приложение в браузъра на потребителя, това е известно като отразен XSS.
- Включване на отдалечен файл – Тази форма на атака позволява на хакер да инжектира файл в сървър на уеб приложения от отдалечено място. Това може да доведе до изпълнение на опасни скриптове или код в приложението, както и до кражба или модификация на данни.
- Фалшифициране на междусайтови заявки (CSRF) – Вид атака, която може да доведе до непреднамерено прехвърляне на пари в брой, промени на паролата или кражба на данни. Това се случва, когато злонамерена уеб програма инструктира браузъра на потребителя да извърши нежелано действие на уебсайт, в който е влязъл.
На теория ефективното саниране на входа/изхода може да изкорени всички уязвимости, правейки приложението непроницаемо за неоторизирани модификации.
Въпреки това, тъй като повечето програми са в постоянно състояние на развитие, цялостното дезинфекция рядко е жизнеспособна опция. Освен това приложенията обикновено са интегрирани едно с друго, което води до кодирана среда, която става все по-сложна.
За да се избегнат подобни опасности, трябва да се внедрят решения и процеси за сигурност на уеб приложения, като PCI Data Security Standard (PCI DSS).
Защитна стена за уеб приложения (WAF)
WAF (защитни стени на уеб приложения) са хардуерни и софтуерни решения, които защитават приложенията от заплахи за сигурността. Тези решения са предназначени да проверяват входящия трафик, за да откриват и блокират опитите за атака, като компенсират всички недостатъци в дезинфекцията на кода.
Внедряването на WAF отговаря на решаващ критерий за PCI DSS сертифициране, като защитава данните срещу кражба и модификация. Всички данни на притежателите на кредитни и дебитни карти, поддържани в база данни, трябва да бъдат защитени, съгласно изискване 6.6.
Тъй като е поставен пред своята DMZ на границата на мрежата, установяването на WAF обикновено не изисква никакви промени в приложението. След това служи като шлюз за целия входящ трафик, филтрирайки опасни заявки, преди те да могат да взаимодействат с приложение.
За да се прецени кой трафик има разрешен достъп до приложение и кой трябва да бъде отстранен, WAF използват различни евристики. Те могат бързо да идентифицират злонамерени участници и известни вектори на атака благодарение на редовно актуализиран пул от подписи.
Почти всички WAF могат да бъдат съобразени с индивидуални случаи на употреба и разпоредби за сигурност, както и за борба с възникващи (известни също като нулеви дни) заплахи. И накрая, за да придобият допълнителна информация за входящите посетители, повечето съвременни решения използват данни за репутацията и поведението.
За да се изгради периметър за сигурност, WAF обикновено се комбинират с допълнителни решения за сигурност. Те могат да включват разпределени услуги за превенция на отказ на услуга (DDoS), които дават допълнителна мащабируемост, необходима за предотвратяване на атаки с голям обем.
Контролен списък за сигурност на уеб приложенията
Съществуват различни подходи за защита на уеб приложения в допълнение към WAF. Всеки контролен списък за сигурност на уеб приложения трябва да включва следните процедури:
- Събиране на данни — Разгледайте приложението на ръка, търсейки входни точки и кодове от страна на клиента. Класифицирайте съдържание, което се хоства от трета страна.
- Оторизиране — Потърсете обиколки на пътеки, проблеми с контрола на вертикален и хоризонтален достъп, липсващо разрешение и несигурни, директни препратки към обекти, когато тествате приложението.
- Защитете всички предавания на данни с криптография. Някаква чувствителна информация криптирана ли е? Използвали ли сте алгоритми, които не са подходящи? Има ли грешки в случайността?
- Отказ на услуга — Тествайте за анти-автоматизация, блокиране на акаунта, HTTP протокол DoS и SQL заместващи символи за DoS, за да подобрите устойчивостта на приложението срещу атаки с отказ на услуга. Това не включва сигурност срещу голям обем DoS и DDoS атаки, които изискват комбинация от филтриращи технологии и мащабируеми ресурси, за да се противопоставят.
За повече подробности можете да проверите Cheat Sheet за тестване на сигурността на уеб приложения на OWASP (това също е чудесен ресурс за други теми, свързани със сигурността).
DDoS защита
DDoS атаките или разпределените атаки за отказ на услуга са типичен начин за прекъсване на уеб приложение. Съществуват редица подходи за смекчаване на DDoS атаки, включително изхвърляне на обемен трафик на атаки в мрежите за доставка на съдържание (CDN) и използване на външни мрежи за подходящо маршрутизиране на истински заявки, без да се причинява прекъсване на услугата.
DNSSEC (Разширения за сигурност на системата за имена на домейни) защита
Системата за имена на домейни или DNS е телефонният указател на Интернет и отразява как интернет инструмент, като уеб браузър, намира съответния сървър. Отравянето на DNS кеша, атаките по пътя и други средства за намеса в жизнения цикъл на търсене на DNS ще бъдат използвани от лоши участници, за да отвлекат този процес на DNS заявка. Ако DNS е телефонният указател на Интернет, DNSSEC е неподправен идентификатор на обаждащия се. Заявката за търсене на DNS може да бъде защитена с помощта на технологията DNSSEC.
За да се запознаете в детайли с учебната програма за сертифициране, можете да разширите и анализирате таблицата по-долу.
Учебната програма за сертифициране на основите на сигурността на уеб приложенията EITC/IS/WASF препраща към дидактически материали с отворен достъп във видео форма. Процесът на обучение е разделен на структура стъпка по стъпка (програми -> уроци -> теми), обхващащи съответните части от учебната програма. Предоставят се и неограничени консултации с експерти по домейни.
За подробности относно процедурата за сертифициране проверете Как работи.
Изтеглете пълните подготвителни материали за офлайн самообучение за програмата EITC/IS/WASF Основи на сигурността на уеб приложенията в PDF файл
Подготвителни материали за EITC/IS/WASF – стандартна версия
Подготвителни материали за EITC/IS/WASF – разширена версия с въпроси за преглед