EITC/IS/WASF Web Applications Security Fundamentals je evropský certifikační program IT zaměřený na teoretické a praktické aspekty zabezpečení služeb World Wide Web, od zabezpečení základních webových protokolů přes soukromí, hrozby a útoky na různé vrstvy síťové komunikace, web zabezpečení serverů, zabezpečení ve vyšších vrstvách, včetně webových prohlížečů a webových aplikací, dále autentizace, certifikáty a phishing.
Učební plán EITC/IS/WASF Web Applications Security Fundamentals pokrývá úvod do aspektů webového zabezpečení HTML a JavaScript, DNS, HTTP, cookies, relace, cookies a útoky relací, zásady stejného původu, padělání požadavků mezi stránkami, výjimky ze stejného Zásady původu, Cross-Site Scripting (XSS), Cross-Site Scripting obrany, otisky webových stránek, soukromí na webu, DoS, phishing a vedlejší kanály, Denial-of-Service, phishing a vedlejší kanály, injektážní útoky, vkládání kódu, transport zabezpečení vrstvy (TLS) a útoky, HTTPS v reálném světě, autentizace, WebAuthn, správa zabezpečení webu, bezpečnostní problémy v projektu Node.js, zabezpečení serveru, postupy bezpečného kódování, zabezpečení místního HTTP serveru, útoky na DNS rebinding, útoky na prohlížeč, prohlížeč architektura, stejně jako psaní zabezpečeného kódu prohlížeče v rámci následující struktury, zahrnující komplexní videodidaktický obsah jako referenci pro tuto certifikaci EITC.
Zabezpečení webových aplikací je podmnožinou zabezpečení informací, které se zaměřuje na zabezpečení webových stránek, webových aplikací a webových služeb. Zabezpečení webových aplikací je ve své nejzákladnější úrovni založeno na principech zabezpečení aplikací, ale aplikuje je zejména na internet a webové platformy. Technologie zabezpečení webových aplikací, jako jsou brány firewall webových aplikací, jsou specializované nástroje pro práci s provozem HTTP.
Open Web Application Security Project (OWASP) nabízí zdroje, které jsou bezplatné i otevřené. Na starosti to má nezisková nadace OWASP Foundation. Top 2017 OWASP 10 je výsledkem současné studie založené na rozsáhlých datech shromážděných od více než 40 partnerských organizací. Pomocí těchto dat bylo ve více než 2.3 50,000 aplikacích zjištěno přibližně 10 milionu zranitelností. Prvních deset nejzávažnějších problémů v oblasti zabezpečení online aplikací, podle OWASP Top 2017 – XNUMX, jsou:
- Injekční
- Problémy s autentizací
- Exponovaná citlivá data Externí entity XML (XXE)
- Kontrola přístupu, která nefunguje
- Špatná konfigurace zabezpečení
- Skriptování typu site-to-site (XSS)
- Deserializace, která není bezpečná
- Použití komponent, které mají známé nedostatky
- Logování a monitorování jsou nedostatečné.
Praxe obrany webových stránek a online služeb před různými bezpečnostními hrozbami, které využívají slabiny v kódu aplikace, se proto nazývá zabezpečení webových aplikací. Systémy pro správu obsahu (např. WordPress), nástroje pro správu databází (např. phpMyAdmin) a aplikace SaaS jsou všechny běžné cíle útoků na online aplikace.
Webové aplikace jsou pachateli považovány za vysoce prioritní cíle, protože:
- Kvůli složitosti jejich zdrojového kódu jsou pravděpodobnější zranitelnosti bez obsluhy a modifikace škodlivého kódu.
- Vysoce hodnotné odměny, jako jsou citlivé osobní údaje získané efektivním zásahem do zdrojového kódu.
- Snadné provedení, protože většinu útoků lze snadno zautomatizovat a nasadit bez rozdílu proti tisícům, desítkám nebo dokonce stovkám tisíc cílů najednou.
- Organizace, které nedokážou zabezpečit své webové aplikace, jsou zranitelné vůči útokům. To může vést mimo jiné ke krádeži dat, napjatým vztahům s klienty, zrušeným licencím a právním krokům.
Chyby na webových stránkách
Chyby v sanitaci vstupu/výstupu jsou ve webových aplikacích běžné a často se využívají ke změně zdrojového kódu nebo k získání neoprávněného přístupu.
Tyto chyby umožňují využití různých útočných vektorů, včetně:
- SQL Injection – Když pachatel manipuluje backendovou databází se škodlivým kódem SQL, dojde k odhalení informací. Mezi důsledky patří nezákonné procházení seznamů, mazání tabulek a neoprávněný přístup správce.
- XSS (Cross-site Scripting) je injekční útok, který se zaměřuje na uživatele s cílem získat přístup k účtům, aktivovat trojské koně nebo změnit obsah stránky. Když je škodlivý kód vložen přímo do aplikace, nazývá se to uložené XSS. Když je škodlivý skript zrcadlen z aplikace do prohlížeče uživatele, nazývá se to odražené XSS.
- Vzdálené začlenění souboru – Tato forma útoku umožňuje hackerovi vložit soubor do webového aplikačního serveru ze vzdáleného umístění. To může vést ke spouštění nebezpečných skriptů nebo kódu v aplikaci a také ke krádeži nebo úpravě dat.
- Cross-site Request Forgery (CSRF) – Typ útoku, který může vést k nezamýšlenému převodu hotovosti, změně hesla nebo krádeži dat. Dochází k němu, když škodlivý webový program nařídí prohlížeči uživatele, aby provedl nežádoucí akci na webové stránce, ke které je přihlášen.
Teoreticky by efektivní sanitace vstupu/výstupu mohla vymýtit všechny zranitelnosti a učinit aplikaci odolnou vůči neoprávněným úpravám.
Protože je však většina programů ve stavu neustálého vývoje, komplexní sanitace je jen zřídka schůdnou možností. Kromě toho jsou aplikace běžně vzájemně integrovány, což vede ke kódovanému prostředí, které je stále složitější.
Aby se předešlo těmto nebezpečím, měla by být implementována bezpečnostní řešení a procesy webových aplikací, jako je certifikace PCI Data Security Standard (PCI DSS).
Firewall pro webové aplikace (WAF)
WAF (webové aplikační firewally) jsou hardwarová a softwarová řešení, která chrání aplikace před bezpečnostními hrozbami. Tato řešení jsou navržena tak, aby kontrolovala příchozí provoz s cílem detekovat a blokovat pokusy o útok a kompenzovat případné chyby v dezinfekci kódu.
Nasazení WAF řeší klíčové kritérium pro certifikaci PCI DSS tím, že chrání data před krádeží a modifikací. Veškerá data držitelů kreditních a debetních karet vedená v databázi musí být chráněna podle požadavku 6.6.
Vzhledem k tomu, že je umístěn před svou DMZ na okraji sítě, vytvoření WAF obvykle nevyžaduje žádné změny aplikace. Poté slouží jako brána pro veškerý příchozí provoz a filtruje nebezpečné požadavky předtím, než mohou interagovat s aplikací.
K posouzení, který provoz má povolený přístup k aplikaci a který musí být odstraněn, používají WAF různé heuristiky. Díky pravidelně aktualizovanému fondu signatur mohou rychle identifikovat škodlivé aktéry a známé vektory útoků.
Téměř všechny WAF mohou být přizpůsobeny individuálním případům použití a bezpečnostním předpisům, stejně jako potírání vznikajících (také známých jako zero-day) hrozeb. A konečně, k získání dalších informací o příchozích návštěvnících využívá většina moderních řešení údaje o pověsti a chování.
Za účelem vybudování bezpečnostního perimetru se WAF obvykle kombinují s dalšími bezpečnostními řešeními. Ty by mohly zahrnovat služby prevence distribuovaného odmítnutí služby (DDoS), které poskytují extra škálovatelnost potřebnou k zabránění velkoobjemovým útokům.
Kontrolní seznam pro zabezpečení webových aplikací
Kromě WAF existuje celá řada přístupů k zabezpečení webových aplikací. Každý kontrolní seznam zabezpečení webové aplikace by měl obsahovat následující postupy:
- Sběr dat — Projděte si aplikaci ručně a hledejte vstupní body a kódy na straně klienta. Klasifikujte obsah, který je hostován třetí stranou.
- Autorizace — Při testování aplikace hledejte procházení cesty, problémy s řízením vertikálního a horizontálního přístupu, chybějící autorizaci a nezabezpečené přímé odkazy na objekty.
- Zabezpečte všechny datové přenosy pomocí kryptografie. Byly nějaké citlivé informace zašifrovány? Použili jste nějaké algoritmy, které nejsou vhodné? Existují nějaké chyby náhodnosti?
- Denial of service — Test na anti-automatizaci, uzamčení účtu, HTTP protokol DoS a SQL zástupný DoS pro zlepšení odolnosti aplikace proti útokům odmítnutí služby. To nezahrnuje zabezpečení proti velkoobjemovým útokům DoS a DDoS, které vyžadují kombinaci technologií filtrování a škálovatelných zdrojů, aby odolali.
Další podrobnosti najdete v Cheat Sheetu pro testování zabezpečení webových aplikací OWASP (je to také skvělý zdroj pro další témata související se zabezpečením).
Ochrana DDoS
DDoS útoky nebo distribuované útoky denial-of-service jsou typickým způsobem přerušení webové aplikace. Existuje řada přístupů ke zmírnění útoků DDoS, včetně vyřazení provozu s objemovými útoky v sítích pro doručování obsahu (CDN) a využití externích sítí ke správnému směrování skutečných požadavků, aniž by došlo k přerušení služby.
Ochrana DNSSEC (Domain Name System Security Extensions).
Systém doménových jmen neboli DNS je telefonní seznam internetu a odráží způsob, jakým internetový nástroj, jako je webový prohlížeč, najde relevantní server. Otrava mezipaměti DNS, útoky na cestě a další způsoby zasahování do životního cyklu vyhledávání DNS budou použity špatnými aktéry k tomu, aby tento proces požadavku DNS ukradli. Pokud je DNS telefonním seznamem internetu, DNSSEC je nespoofable ID volajícího. Požadavek na vyhledání DNS lze chránit pomocí technologie DNSSEC.
Chcete-li se podrobně seznámit s certifikačním kurikulem, můžete rozšířit a analyzovat níže uvedenou tabulku.
Certifikační kurikulum EITC/IS/WASF Web Applications Security Fundamentals Certification Curriculum odkazuje na didaktické materiály s otevřeným přístupem ve formě videa. Učební proces je rozdělen do struktury krok za krokem (programy -> lekce -> témata) pokrývající příslušné části kurikula. Poskytuje se také neomezené poradenství s odborníky na domény.
Podrobnosti o kontrole certifikačního postupu Jak to funguje.
Stáhněte si kompletní offline samoučící se přípravné materiály pro program EITC/IS/WASF Web Applications Security Fundamentals v souboru PDF
Přípravné materiály EITC/IS/WASF – standardní verze
Přípravné materiály EITC/IS/WASF – rozšířená verze o recenzní otázky