EITC/IS/WASF Web Applications Security Fundamentals — это европейская программа сертификации ИТ, посвященная теоретическим и практическим аспектам безопасности сервисов World Wide Web, начиная от безопасности основных веб-протоколов и заканчивая конфиденциальностью, угрозами и атаками на различных уровнях сетевого трафика, безопасность серверов, безопасность на более высоких уровнях, включая веб-браузеры и веб-приложения, а также аутентификация, сертификаты и фишинг.
Учебная программа EITC/IS/WASF «Основы безопасности веб-приложений» охватывает введение в аспекты веб-безопасности HTML и JavaScript, DNS, HTTP, файлы cookie, сеансы, атаки на файлы cookie и сеансы, политику единого источника, подделку межсайтовых запросов, исключения из единого правила. Политика происхождения, межсайтовый скриптинг (XSS), защита от межсайтового скриптинга, веб-отпечатки пальцев, конфиденциальность в Интернете, DoS, фишинг и побочные каналы, отказ в обслуживании, фишинг и побочные каналы, атаки путем внедрения, внедрение кода, транспорт уровень безопасности (TLS) и атаки, HTTPS в реальном мире, аутентификация, WebAuthn, управление веб-безопасностью, проблемы безопасности в проекте Node.js, безопасность сервера, методы безопасного кодирования, локальная безопасность HTTP-сервера, атаки повторной привязки DNS, атаки браузера, браузер архитектуре, а также написание безопасного кода браузера в рамках следующей структуры, охватывающей всеобъемлющий дидактический видеоконтент в качестве справочного материала для этой сертификации EITC.
Безопасность веб-приложений — это подмножество информационной безопасности, которое фокусируется на безопасности веб-сайтов, веб-приложений и веб-служб. Безопасность веб-приложений, на самом базовом уровне, основана на принципах безопасности приложений, но она особенно применима к Интернету и веб-платформам. Технологии безопасности веб-приложений, такие как брандмауэры веб-приложений, представляют собой специализированные инструменты для работы с HTTP-трафиком.
Проект Open Web Application Security Project (OWASP) предлагает бесплатные и открытые ресурсы. За это отвечает некоммерческий фонд OWASP. 2017 OWASP Top 10 является результатом текущего исследования, основанного на обширных данных, собранных более чем 40 партнерскими организациями. С использованием этих данных было обнаружено около 2.3 миллиона уязвимостей в более чем 50,000 10 приложений. Согласно рейтингу OWASP Top 2017 за XNUMX год, в первую десятку наиболее важных проблем безопасности онлайн-приложений входят:
- Впрыск
- Проблемы с аутентификацией
- Открытые внешние сущности XML конфиденциальных данных (XXE)
- Контроль доступа, который не работает
- Неправильная настройка безопасности
- Межсайтовый скриптинг (XSS)
- Небезопасная десериализация
- Использование компонентов с известными недостатками
- Ведение журнала и мониторинг недостаточны.
Следовательно, практика защиты веб-сайтов и онлайн-сервисов от различных угроз безопасности, использующих слабые места в коде приложения, известна как безопасность веб-приложений. Системы управления контентом (например, WordPress), инструменты администрирования баз данных (например, phpMyAdmin) и приложения SaaS — все это распространенные цели для онлайн-атак.
Веб-приложения считаются первоочередными целями злоумышленников, потому что:
- Из-за сложности их исходного кода более вероятны неконтролируемые уязвимости и вредоносная модификация кода.
- Высокоценные вознаграждения, такие как конфиденциальная личная информация, полученная путем эффективного вмешательства в исходный код.
- Простота исполнения, потому что большинство атак можно легко автоматизировать и развернуть без разбора против тысяч, десятков или даже сотен тысяч целей одновременно.
- Организации, которые не могут защитить свои веб-приложения, уязвимы для атак. Это может привести, среди прочего, к краже данных, напряженным отношениям с клиентами, аннулированию лицензий и судебным искам.
Уязвимости на веб-сайтах
Ошибки очистки ввода-вывода распространены в веб-приложениях, и они часто используются либо для изменения исходного кода, либо для получения несанкционированного доступа.
Эти недостатки позволяют использовать различные векторы атак, в том числе:
- Внедрение SQL. Когда злоумышленник манипулирует серверной базой данных с помощью вредоносного кода SQL, раскрывается информация. Незаконный просмотр списка, удаление таблицы и несанкционированный доступ администратора являются одними из последствий.
- XSS (Cross-site Scripting) — это инъекционная атака, нацеленная на пользователей, чтобы получить доступ к учетным записям, активировать трояны или изменить содержимое страницы. Когда вредоносный код внедряется непосредственно в приложение, это называется сохраненным XSS. Когда вредоносный сценарий отражается из приложения в браузере пользователя, это называется отраженным XSS.
- Дистанционное включение файлов. Эта форма атаки позволяет хакеру внедрить файл на сервер веб-приложений из удаленного места. Это может привести к выполнению опасных скриптов или кода в приложении, а также к краже или модификации данных.
- Подделка межсайтовых запросов (CSRF) — тип атаки, которая может привести к непреднамеренной передаче денежных средств, изменению пароля или краже данных. Это происходит, когда вредоносная веб-программа дает указание браузеру пользователя выполнить нежелательное действие на веб-сайте, на который он вошел.
Теоретически эффективная очистка ввода-вывода может устранить все уязвимости, сделав приложение невосприимчивым к несанкционированным изменениям.
Однако, поскольку большинство программ постоянно находятся в стадии разработки, комплексная очистка редко является целесообразным вариантом. Кроме того, приложения обычно интегрируются друг с другом, что приводит к тому, что закодированная среда становится все более сложной.
Чтобы избежать таких опасностей, следует внедрить решения и процессы безопасности веб-приложений, такие как сертификация PCI Data Security Standard (PCI DSS).
Брандмауэр для веб-приложений (WAF)
WAF (брандмауэры веб-приложений) — это аппаратные и программные решения, защищающие приложения от угроз безопасности. Эти решения предназначены для проверки входящего трафика, чтобы обнаруживать и блокировать попытки атак, компенсируя любые недостатки очистки кода.
Развертывание WAF отвечает важнейшему критерию сертификации PCI DSS, защищая данные от кражи и модификации. Все данные о держателях кредитных и дебетовых карт, хранящиеся в базе данных, должны быть защищены в соответствии с Требованием 6.6.
Поскольку он располагается перед своей демилитаризованной зоной на границе сети, создание WAF обычно не требует внесения каких-либо изменений в приложение. Затем он служит шлюзом для всего входящего трафика, отфильтровывая опасные запросы, прежде чем они смогут взаимодействовать с приложением.
Чтобы оценить, какому трафику разрешен доступ к приложению, а какой должен быть отсеян, WAF используют различные эвристики. Они могут быстро идентифицировать злоумышленников и известные векторы атак благодаря регулярно обновляемому пулу сигнатур.
Почти все WAF могут быть адаптированы к индивидуальным случаям использования и правилам безопасности, а также для борьбы с возникающими (также известными как угрозы нулевого дня). Наконец, для получения дополнительной информации о входящих посетителях большинство современных решений используют данные о репутации и поведении.
Чтобы построить периметр безопасности, WAF обычно комбинируют с дополнительными решениями безопасности. Они могут включать распределенные службы предотвращения отказа в обслуживании (DDoS), которые обеспечивают дополнительную масштабируемость, необходимую для предотвращения крупномасштабных атак.
Контрольный список для безопасности веб-приложений
Помимо WAF, существует множество подходов к защите веб-приложений. Любой контрольный список безопасности веб-приложений должен включать следующие процедуры:
- Сбор данных. Просмотрите приложение вручную в поисках точек входа и клиентских кодов. Классифицировать контент, размещенный третьей стороной.
- Авторизация — при тестировании приложения ищите обходы пути, проблемы с контролем доступа по вертикали и горизонтали, отсутствующую авторизацию и небезопасные прямые ссылки на объекты.
- Защитите все передачи данных с помощью криптографии. Была ли зашифрована какая-либо конфиденциальная информация? Использовали ли вы какие-либо алгоритмы, которые не соответствуют требованиям? Есть ли ошибки случайности?
- Отказ в обслуживании — проверка на антиавтоматизацию, блокировку учетной записи, DoS-атаки по HTTP-протоколу и DoS-атаки с подстановочными знаками SQL для повышения устойчивости приложения к атакам типа «отказ в обслуживании». Сюда не входит защита от крупномасштабных DoS- и DDoS-атак, для отражения которых требуется сочетание технологий фильтрации и масштабируемых ресурсов.
Более подробную информацию можно найти в Шпаргалке по тестированию безопасности веб-приложений OWASP (это также отличный ресурс для других тем, связанных с безопасностью).
Защита от DDoS
DDoS-атаки или распределенные атаки типа «отказ в обслуживании» — типичный способ прерывания работы веб-приложения. Существует ряд подходов к смягчению последствий DDoS-атак, включая отбрасывание трафика объемных атак в сетях доставки контента (CDN) и использование внешних сетей для надлежащей маршрутизации подлинных запросов без прерывания обслуживания.
Защита DNSSEC (расширения безопасности системы доменных имен)
Система доменных имен, или DNS, представляет собой телефонную книгу Интернета и отражает то, как Интернет-инструмент, такой как веб-браузер, находит соответствующий сервер. Отравление кеша DNS, атаки на пути и другие средства вмешательства в жизненный цикл поиска DNS будут использоваться злоумышленниками для захвата этого процесса запроса DNS. Если DNS — это телефонная книга Интернета, то DNSSEC — это не поддающийся подделке идентификатор вызывающего абонента. Запрос поиска DNS можно защитить с помощью технологии DNSSEC.
Чтобы более подробно ознакомиться с учебным планом сертификации, вы можете расширить и проанализировать таблицу ниже.
Учебная программа EITC/IS/WASF по основам безопасности веб-приложений ссылается на дидактические материалы с открытым доступом в виде видео. Учебный процесс разбит на пошаговую структуру (программы -> уроки -> темы), охватывающую соответствующие разделы учебного плана. Также предоставляются неограниченные консультации с экспертами в предметной области.
Подробнее о процедуре сертификации см. Как это работает.
Загрузите полные подготовительные материалы для самостоятельного обучения по программе «Основы безопасности веб-приложений EITC/IS/WASF» в формате PDF.
Подготовительные материалы EITC/IS/WASF – стандартная версия
Подготовительные материалы EITC/IS/WASF – расширенная версия с контрольными вопросами