Основы безопасности веб-приложений EITC/IS/WASF

Проект Open Web Application Security Project (OWASP) предлагает бесплатные и открытые ресурсы. За это отвечает некоммерческий фонд OWASP. 2017 OWASP Top 10 является результатом текущего исследования, основанного на обширных данных, собранных более чем 40 партнерскими организациями. С использованием этих данных было обнаружено около 2.3 миллиона уязвимостей в более чем 50,000 10 приложений. Согласно рейтингу OWASP Top 2017 за XNUMX год, в первую десятку наиболее важных проблем безопасности онлайн-приложений входят:

• Впрыск
• Проблемы с аутентификацией
• Открытые внешние сущности XML конфиденциальных данных (XXE)
• Контроль доступа, который не работает
• Неправильная настройка безопасности
• Межсайтовый скриптинг (XSS)
• Небезопасная десериализация
• Использование компонентов с известными недостатками
• Ведение журнала и мониторинг недостаточны.

Следовательно, практика защиты веб-сайтов и онлайн-сервисов от различных угроз безопасности, использующих слабые места в коде приложения, известна как безопасность веб-приложений. Системы управления контентом (например, WordPress), инструменты администрирования баз данных (например, phpMyAdmin) и приложения SaaS — все это распространенные цели для онлайн-атак.

Веб-приложения считаются первоочередными целями злоумышленников, потому что:

• Из-за сложности их исходного кода более вероятны неконтролируемые уязвимости и вредоносная модификация кода.
• Высокоценные вознаграждения, такие как конфиденциальная личная информация, полученная путем эффективного вмешательства в исходный код.
• Простота исполнения, потому что большинство атак можно легко автоматизировать и развернуть без разбора против тысяч, десятков или даже сотен тысяч целей одновременно.
• Организации, которые не могут защитить свои веб-приложения, уязвимы для атак. Это может привести, среди прочего, к краже данных, напряженным отношениям с клиентами, аннулированию лицензий и судебным искам.

Уязвимости на веб-сайтах

Ошибки очистки ввода-вывода распространены в веб-приложениях, и они часто используются либо для изменения исходного кода, либо для получения несанкционированного доступа.

Эти недостатки позволяют использовать различные векторы атак, в том числе:

• Внедрение SQL. Когда злоумышленник манипулирует серверной базой данных с помощью вредоносного кода SQL, раскрывается информация. Незаконный просмотр списка, удаление таблицы и несанкционированный доступ администратора являются одними из последствий.
• XSS (Cross-site Scripting) — это инъекционная атака, нацеленная на пользователей, чтобы получить доступ к учетным записям, активировать трояны или изменить содержимое страницы. Когда вредоносный код внедряется непосредственно в приложение, это называется сохраненным XSS. Когда вредоносный сценарий отражается из приложения в браузере пользователя, это называется отраженным XSS.
• Дистанционное включение файлов. Эта форма атаки позволяет хакеру внедрить файл на сервер веб-приложений из удаленного места. Это может привести к выполнению опасных скриптов или кода в приложении, а также к краже или модификации данных.
• Подделка межсайтовых запросов (CSRF) — тип атаки, которая может привести к непреднамеренной передаче денежных средств, изменению пароля или краже данных. Это происходит, когда вредоносная веб-программа дает указание браузеру пользователя выполнить нежелательное действие на веб-сайте, на который он вошел.

Теоретически эффективная очистка ввода-вывода может устранить все уязвимости, сделав приложение невосприимчивым к несанкционированным изменениям.

Однако, поскольку большинство программ постоянно находятся в стадии разработки, комплексная очистка редко является целесообразным вариантом. Кроме того, приложения обычно интегрируются друг с другом, что приводит к тому, что закодированная среда становится все более сложной.

Чтобы избежать таких опасностей, следует внедрить решения и процессы безопасности веб-приложений, такие как сертификация PCI Data Security Standard (PCI DSS).

Брандмауэр для веб-приложений (WAF)

WAF (брандмауэры веб-приложений) — это аппаратные и программные решения, защищающие приложения от угроз безопасности. Эти решения предназначены для проверки входящего трафика, чтобы обнаруживать и блокировать попытки атак, компенсируя любые недостатки очистки кода.

Развертывание WAF учитывает важный критерий сертификации PCI DSS, защищая данные от кражи и изменения. Все данные о держателях кредитных и дебетовых карт, хранящиеся в базе данных, должны быть защищены в соответствии с Требованием 6.6.

Поскольку он располагается перед своей демилитаризованной зоной на границе сети, создание WAF обычно не требует внесения каких-либо изменений в приложение. Затем он служит шлюзом для всего входящего трафика, отфильтровывая опасные запросы, прежде чем они смогут взаимодействовать с приложением.

Чтобы оценить, какому трафику разрешен доступ к приложению, а какой должен быть отсеян, WAF используют различные эвристики. Они могут быстро идентифицировать злоумышленников и известные векторы атак благодаря регулярно обновляемому пулу сигнатур.

Почти все WAF могут быть адаптированы к индивидуальным случаям использования и правилам безопасности, а также для борьбы с возникающими (также известными как угрозы нулевого дня). Наконец, для получения дополнительной информации о входящих посетителях большинство современных решений используют данные о репутации и поведении.

Чтобы построить периметр безопасности, WAF обычно комбинируют с дополнительными решениями безопасности. Они могут включать распределенные службы предотвращения отказа в обслуживании (DDoS), которые обеспечивают дополнительную масштабируемость, необходимую для предотвращения крупномасштабных атак.

Контрольный список для безопасности веб-приложений
Помимо WAF, существует множество подходов к защите веб-приложений. Любой контрольный список безопасности веб-приложений должен включать следующие процедуры:

• Сбор данных. Просмотрите приложение вручную в поисках точек входа и клиентских кодов. Классифицировать контент, размещенный третьей стороной.
• Авторизация — при тестировании приложения ищите обходы пути, проблемы с контролем доступа по вертикали и горизонтали, отсутствующую авторизацию и небезопасные прямые ссылки на объекты.
• Защитите все передачи данных с помощью криптографии. Была ли зашифрована какая-либо конфиденциальная информация? Использовали ли вы какие-либо алгоритмы, которые не соответствуют требованиям? Есть ли ошибки случайности?
• Отказ в обслуживании — проверка на антиавтоматизацию, блокировку учетной записи, DoS-атаки по HTTP-протоколу и DoS-атаки с подстановочными знаками SQL для повышения устойчивости приложения к атакам типа «отказ в обслуживании». Сюда не входит защита от крупномасштабных DoS- и DDoS-атак, для отражения которых требуется сочетание технологий фильтрации и масштабируемых ресурсов.

Более подробную информацию можно найти в Шпаргалке по тестированию безопасности веб-приложений OWASP (это также отличный ресурс для других тем, связанных с безопасностью).

Защита от DDoS

DDoS-атаки или распределенные атаки типа «отказ в обслуживании» — типичный способ прерывания работы веб-приложения. Существует ряд подходов к смягчению последствий DDoS-атак, включая отбрасывание трафика объемных атак в сетях доставки контента (CDN) и использование внешних сетей для надлежащей маршрутизации подлинных запросов без прерывания обслуживания.

Защита DNSSEC (расширения безопасности системы доменных имен)

Система доменных имен, или DNS, представляет собой телефонную книгу Интернета и отражает то, как Интернет-инструмент, такой как веб-браузер, находит соответствующий сервер. Отравление кеша DNS, атаки на пути и другие средства вмешательства в жизненный цикл поиска DNS будут использоваться злоумышленниками для захвата этого процесса запроса DNS. Если DNS — это телефонная книга Интернета, то DNSSEC — это не поддающийся подделке идентификатор вызывающего абонента. Запрос поиска DNS можно защитить с помощью технологии DNSSEC.