EITC/IS/WASF Web Applications Security Fundamentals – це європейська програма ІТ-сертифікації з теоретичних і практичних аспектів безпеки сервісів World Wide Web, починаючи від безпеки основних веб-протоколів до конфіденційності, загроз і атак на різних рівнях веб-трафіку, мережевих комунікацій, Інтернету. безпека серверів, безпека на вищих рівнях, включаючи веб-браузери та веб-додатки, а також аутентифікація, сертифікати та фішинг.
Навчальний план Основ безпеки веб-додатків EITC/IS/WASF охоплює введення в аспекти веб-безпеки HTML і JavaScript, DNS, HTTP, файли cookie, сеанси, файли cookie та сеансові атаки, однакову політику походження, підробку міжсайтових запитів, винятки з того самого Політика походження, міжсайтові сценарії (XSS), захист міжсайтових сценаріїв, веб-відбитки пальців, конфіденційність в Інтернеті, DoS, фішинг та побічні канали, відмова в обслуговуванні, фішинг та побічні канали, атаки з ін’єкцією, введення коду, транспортування рівень безпеки (TLS) та атаки, HTTPS у реальному світі, автентифікація, WebAuthn, керування веб-безпекою, проблеми безпеки в проекті Node.js, безпека сервера, методи безпечного кодування, безпека локального HTTP-сервера, атаки переприв’язування DNS, атаки браузера, браузер архітектури, а також написання безпечного коду браузера в рамках наступної структури, що включає повний відеодидактичний вміст як довідник для цієї Сертифікації EITC.
Безпека веб-програм — це підмножина інформаційної безпеки, яка зосереджена на безпеці веб-сайтів, веб-програм і веб-сервісів. Безпека веб-додатків на самому базовому рівні базується на принципах безпеки додатків, але вони застосовуються, зокрема, до Інтернету та веб-платформ. Технології безпеки веб-додатків, такі як брандмауери веб-додатків, є спеціалізованими інструментами для роботи з HTTP-трафіком.
Open Web Application Security Project (OWASP) пропонує ресурси, які є як безкоштовними, так і відкритими. За це відповідає некомерційний фонд OWASP. Топ-2017 OWASP за 10 рік є результатом поточного дослідження, заснованого на обширних даних, зібраних від понад 40 партнерських організацій. За допомогою цих даних було виявлено приблизно 2.3 мільйона вразливостей у понад 50,000 10 програм. Десять найкритичніших проблем безпеки онлайн-додатків, згідно з рейтингом OWASP Top 2017 – XNUMX, включають:
- Вприск
- Проблеми з аутентифікацією
- Відкриті зовнішні об’єкти XML конфіденційних даних (XXE)
- Контроль доступу, який не працює
- Неправильне налаштування безпеки
- Скрипти "сайт-сайт" (XSS)
- Десеріалізація, яка не є безпечною
- Використання компонентів, які мають відомі недоліки
- Реєстрація та моніторинг недостатні.
Тому практика захисту веб-сайтів та онлайн-сервісів від різних загроз безпеки, які використовують слабкі місця в коді програми, відома як безпека веб-додатків. Системи керування вмістом (наприклад, WordPress), інструменти адміністрування баз даних (наприклад, phpMyAdmin) і додатки SaaS є загальними об’єктами атак онлайн-додатків.
Веб-додатки вважаються високопріоритетними цілями зловмисників, оскільки:
- Через складність їх вихідного коду більш імовірними є ненаглядні вразливості та шкідливі зміни коду.
- Високоцінні винагороди, такі як конфіденційна особиста інформація, отримана шляхом ефективного підроблення вихідного коду.
- Простота виконання, оскільки більшість нападів можна легко автоматизувати та розгорнути без розбору проти тисяч, десятків або навіть сотень тисяч цілей одночасно.
- Організації, які не захищають свої веб-програми, уразливі до атак. Це може призвести до крадіжки даних, напружених відносин із клієнтами, анулювання ліцензій та судових позовів, серед іншого.
Уразливості веб-сайтів
Недоліки очищення введення/виводу поширені у веб-додатках, і вони часто використовуються для зміни вихідного коду або отримання несанкціонованого доступу.
Ці недоліки дозволяють використовувати різноманітні вектори атак, у тому числі:
- Ін’єкція SQL – коли зловмисник маніпулює серверною базою даних за допомогою шкідливого коду SQL, інформація розкривається. Серед наслідків – незаконний перегляд списку, видалення таблиці та несанкціонований доступ адміністратора.
- XSS (Cross-site Scripting) — це ін’єкційна атака, спрямована на користувачів, щоб отримати доступ до облікових записів, активувати троянські програми або змінити вміст сторінки. Коли шкідливий код вводиться безпосередньо в програму, це відомо як збережений XSS. Коли шкідливий сценарій відображається з програми на браузер користувача, це називається відбитим XSS.
- Віддалене включення файлів – ця форма атаки дозволяє хакеру вставити файл на сервер веб-додатків із віддаленого розташування. Це може призвести до виконання небезпечних сценаріїв або коду в програмі, а також до крадіжки або модифікації даних.
- Підробка міжсайтових запитів (CSRF) – тип атаки, яка може призвести до ненавмисного переказу готівки, зміни пароля або викрадення даних. Це відбувається, коли шкідлива веб-програма дає вказівку браузеру користувача виконати небажану дію на веб-сайті, на якому він увійшов.
Теоретично ефективна санація введення/виводу може знищити всі вразливості, роблячи програму несприйнятливою для несанкціонованих змін.
Однак, оскільки більшість програм постійно розвиваються, комплексна дезінфекція рідко є життєздатним варіантом. Крім того, програми зазвичай інтегруються один з одним, що призводить до кодованого середовища, яке стає дедалі складнішим.
Щоб уникнути таких небезпек, слід запровадити рішення та процеси безпеки веб-додатків, такі як сертифікація PCI Data Security Standard (PCI DSS).
Брандмауер для веб-додатків (WAF)
WAF (брандмауери веб-додатків) — це апаратні та програмні рішення, які захищають програми від загроз безпеці. Ці рішення призначені для перевірки вхідного трафіку з метою виявлення та блокування спроб атаки, компенсуючи будь-які недоліки очищення коду.
Розгортання WAF відповідає вирішальному критерію для сертифікації PCI DSS, захищаючи дані від крадіжки та модифікації. Усі дані власників кредитних та дебетових карток, які зберігаються в базі даних, мають бути захищені відповідно до вимоги 6.6.
Оскільки він розміщений попереду своєї DMZ на краю мережі, встановлення WAF зазвичай не потребує будь-яких змін у програмі. Потім він служить шлюзом для всього вхідного трафіку, відфільтровуючи небезпечні запити, перш ніж вони зможуть взаємодіяти з програмою.
Щоб оцінити, якому трафіку дозволено доступ до програми, а який потрібно відсіяти, WAF використовують різноманітні евристики. Вони можуть швидко ідентифікувати зловмисників і відомі вектори атак завдяки регулярно оновлюваному пулу сигнатур.
Майже всі WAF можуть бути адаптовані до окремих випадків використання та правил безпеки, а також для боротьби з виникаючими (також відомими як нульовий день) загрозами. Нарешті, більшість сучасних рішень використовують дані про репутацію та поведінку, щоб отримати додаткове уявлення про вхідних відвідувачів.
Щоб створити периметр безпеки, WAF зазвичай поєднують з додатковими рішеннями безпеки. Вони можуть включати послуги запобігання розподіленій відмови в обслуговуванні (DDoS), які надають додаткову масштабованість, необхідну для запобігання атак великого обсягу.
Контрольний список безпеки веб-додатків
Окрім WAF, існує безліч підходів до захисту веб-програм. Будь-який контрольний список безпеки веб-додатків повинен включати такі процедури:
- Збір даних — перегляньте програму вручну, шукаючи точки входу та коди на стороні клієнта. Класифікуйте вміст, розміщений третьою стороною.
- Авторизація — під час тестування програми шукайте обхід шляхів, проблеми з вертикальним і горизонтальним доступом, відсутність авторизації та незахищені прямі посилання на об’єкт.
- Захистіть усі передачі даних за допомогою криптографії. Чи була зашифрована будь-яка конфіденційна інформація? Чи використовували ви якісь невідповідні алгоритми? Чи є якісь помилки випадковості?
- Відмова в обслуговуванні — перевірте антиавтоматизацію, блокування облікового запису, протокол HTTP DoS і SQL підстановку DoS, щоб підвищити стійкість програми до атак відмови в обслуговуванні. Це не включає захист від масових атак DoS і DDoS, які вимагають поєднання технологій фільтрації та масштабованих ресурсів, щоб протистояти.
Щоб отримати додаткову інформацію, можна переглянути шпаргалку тестування безпеки веб-додатків OWASP (це також чудовий ресурс для інших тем, пов’язаних із безпекою).
DDoS protection
DDoS-атаки або розподілені атаки відмови в обслуговуванні є типовим способом переривання веб-програми. Існує ряд підходів для пом’якшення DDoS-атак, зокрема відкидання трафіку об’ємної атаки в мережах доставки вмісту (CDN) і використання зовнішніх мереж для належного маршрутизації справжніх запитів без переривання обслуговування.
Захист DNSSEC (розширення системи безпеки доменів).
Система доменних імен, або DNS, — це телефонна книга Інтернету, і вона відображає те, як Інтернет-інструмент, наприклад веб-браузер, знаходить відповідний сервер. Отруєння кешу DNS, атаки на шляху та інші засоби перешкоджання життєвому циклу пошуку DNS будуть використовуватися зловмисними особами для захоплення цього процесу запиту DNS. Якщо DNS є телефонною книгою Інтернету, DNSSEC є непідробним ідентифікатором абонента. Запит на пошук DNS можна захистити за допомогою технології DNSSEC.
Для більш детального ознайомлення з навчальною програмою сертифікації Ви можете розгорнути та проаналізувати наведену нижче таблицю.
Навчальна програма сертифікації з основ безпеки веб-додатків EITC/IS/WASF посилається на дидактичні матеріали відкритого доступу у формі відео. Навчальний процес поділений на покрокову структуру (програми -> уроки -> теми), що охоплює відповідні частини навчального плану. Також надаються необмежені консультації з експертами в галузі.
Детальніше про процедуру сертифікації див Як це працює?.
Завантажте повні підготовчі матеріали для офлайн-самонавчання для програми EITC/IS/WASF Основи безпеки веб-додатків у файлі PDF
Підготовчі матеріали EITC/IS/WASF – стандартна версія
Підготовчі матеріали EITC/IS/WASF – розширена версія з контрольними запитаннями