EITC/IS/WASF Web Applications Security Fundamentals este programul european de certificare IT cu privire la aspectele teoretice și practice ale securității serviciilor World Wide Web, de la securitatea protocoalelor web de bază, la confidențialitate, amenințări și atacuri asupra diferitelor straturi ale comunicațiilor de rețea de trafic web, web. securitatea serverelor, securitatea în straturi superioare, inclusiv browsere web și aplicații web, precum și autentificare, certificate și phising.
Curriculum-ul EITC/IS/WASF Fundamentele securității aplicațiilor web acoperă introducerea în aspectele de securitate web HTML și JavaScript, DNS, HTTP, cookie-uri, sesiuni, cookie-uri și atacuri de sesiune, Politica de aceeași origine, Falsificarea cererilor între site-uri, excepții de la aceeași Politica de origine, Cross-Site Scripting (XSS), apărare Cross-Site Scripting, amprentare web, confidențialitate pe web, DoS, phishing și canale secundare, Denial-of-Service, phishing și canale secundare, atacuri prin injectare, injectare de cod, transport nivel de securitate (TLS) și atacuri, HTTPS în lumea reală, autentificare, WebAuthn, gestionarea securității web, preocupări de securitate în proiectul Node.js, securitatea serverului, practici de codare sigure, securitate locală a serverului HTTP, atacuri de relegare DNS, atacuri de browser, browser arhitectura, precum și scrierea codului de browser securizat, în cadrul următoarei structuri, cuprinzând conținut video didactic cuprinzător ca referință pentru această Certificare EITC.
Securitatea aplicațiilor web este un subset de securitate a informațiilor care se concentrează pe securitatea site-ului web, a aplicației web și a serviciilor web. Securitatea aplicațiilor web, la nivelul său cel mai de bază, se bazează pe principiile de securitate a aplicațiilor, dar le aplică în special internetului și platformelor web. Tehnologiile de securitate a aplicațiilor web, cum ar fi firewall-urile pentru aplicații web, sunt instrumente specializate pentru lucrul cu traficul HTTP.
Proiectul Open Web Application Security (OWASP) oferă resurse care sunt atât gratuite, cât și deschise. O fundație non-profit OWASP este responsabilă de aceasta. Top 2017 OWASP din 10 este rezultatul studiului actual bazat pe date extinse colectate de la peste 40 de organizații partenere. Aproximativ 2.3 milioane de vulnerabilități au fost detectate în peste 50,000 de aplicații care utilizează aceste date. Cele mai importante zece probleme de securitate a aplicațiilor online, conform Top 10 OWASP – 2017, sunt:
- Injecție
- Probleme de autentificare
- Date sensibile expuse Entități externe XML (XXE)
- Controlul accesului care nu funcționează
- Configurare greșită a securității
- Scriptare de la site la site (XSS)
- Deserializare care nu este sigură
- Folosind componente care au defecte cunoscute
- Înregistrarea și monitorizarea sunt insuficiente.
Prin urmare, practica de apărare a site-urilor web și a serviciilor online împotriva diferitelor amenințări de securitate care exploatează punctele slabe ale codului unei aplicații este cunoscută sub denumirea de securitate a aplicației web. Sistemele de gestionare a conținutului (de exemplu, WordPress), instrumentele de administrare a bazelor de date (de exemplu, phpMyAdmin) și aplicațiile SaaS sunt toate ținte comune pentru atacurile aplicațiilor online.
Aplicațiile web sunt considerate ținte cu prioritate ridicată de către făptuitori deoarece:
- Din cauza complexității codului lor sursă, vulnerabilitățile nesupravegheate și modificarea codului rău intenționat sunt mai probabile.
- Recompense de mare valoare, cum ar fi informații personale sensibile obținute prin modificarea eficientă a codului sursă.
- Ușurință de execuție, deoarece majoritatea atacurilor pot fi automatizate și desfășurate fără discernământ împotriva a mii, zeci sau chiar sute de mii de ținte simultan.
- Organizațiile care nu își protejează aplicațiile web sunt vulnerabile la atacuri. Acest lucru poate duce la furt de date, relații tensionate cu clienții, licențe anulate și acțiuni legale, printre altele.
Vulnerabilități în site-uri web
Defectele de igienizare de intrare/ieșire sunt frecvente în aplicațiile web și sunt frecvent exploatate fie pentru a schimba codul sursă, fie pentru a obține acces neautorizat.
Aceste defecte permit exploatarea unei varietăți de vectori de atac, inclusiv:
- Injecție SQL – Când un făptuitor manipulează o bază de date backend cu cod SQL rău intenționat, informațiile sunt dezvăluite. Parcurgerea ilegală a listelor, ștergerea tabelelor și accesul neautorizat de administrator se numără printre consecințe.
- XSS (Cross-site Scripting) este un atac de injecție care vizează utilizatorii pentru a obține acces la conturi, pentru a activa troieni sau pentru a schimba conținutul paginii. Când cod rău intenționat este injectat direct într-o aplicație, acesta este cunoscut sub numele de XSS stocat. Când un script rău intenționat este reflectat dintr-o aplicație în browserul unui utilizator, acest lucru este cunoscut sub denumirea de XSS reflectat.
- Includerea fișierelor la distanță – Această formă de atac permite unui hacker să injecteze un fișier într-un server de aplicații web dintr-o locație de la distanță. Acest lucru poate duce la executarea de scripturi sau coduri periculoase în cadrul aplicației, precum și la furtul sau modificarea datelor.
- Falsificarea cererilor între site-uri (CSRF) – Un tip de atac care poate duce la un transfer neintenționat de numerar, modificări de parolă sau furt de date. Apare atunci când un program web rău intenționat instruiește browserul unui utilizator să efectueze o acțiune nedorită pe un site web la care este conectat.
În teorie, igienizarea eficientă a intrărilor/ieșirilor ar putea eradica toate vulnerabilitățile, făcând o aplicație impermeabilă la modificări neautorizate.
Cu toate acestea, deoarece majoritatea programelor sunt într-o stare perpetuă de dezvoltare, igienizarea completă este rareori o opțiune viabilă. În plus, aplicațiile sunt integrate în mod obișnuit între ele, rezultând un mediu codificat care devine din ce în ce mai complex.
Pentru a evita astfel de pericole, ar trebui implementate soluții și procese de securitate a aplicațiilor web, cum ar fi certificarea PCI Data Security Standard (PCI DSS).
Firewall pentru aplicații web (WAF)
WAF-urile (paravane de protecție pentru aplicații web) sunt soluții hardware și software care protejează aplicațiile de amenințările de securitate. Aceste soluții sunt concepute pentru a inspecta traficul de intrare pentru a detecta și a bloca încercările de atac, compensând eventualele erori de dezinfectare a codului.
Implementarea WAF abordează un criteriu crucial pentru certificarea PCI DSS prin protejarea datelor împotriva furtului și modificării. Toate datele deținătorilor de carduri de credit și de debit păstrate într-o bază de date trebuie să fie protejate, conform cerinței 6.6.
Deoarece este plasat înaintea DMZ-ului său la marginea rețelei, stabilirea unui WAF de obicei nu necesită modificări ale unei aplicații. Apoi servește ca o poartă pentru tot traficul de intrare, eliminând solicitările periculoase înainte ca acestea să poată interacționa cu o aplicație.
Pentru a evalua ce trafic are acces la o aplicație și care trebuie eliminat, WAF-urile folosesc o varietate de euristici. Ei pot identifica rapid actorii rău intenționați și vectorii de atac cunoscuți datorită unui grup de semnături actualizat în mod regulat.
Aproape toate WAF-urile pot fi adaptate pentru cazurile de utilizare individuale și reglementările de securitate, precum și pentru combaterea amenințărilor emergente (cunoscute și sub numele de zero-day). În cele din urmă, pentru a obține informații suplimentare despre vizitatorii care sosesc, cele mai multe soluții moderne folosesc date despre reputație și comportament.
Pentru a construi un perimetru de securitate, WAF-urile sunt de obicei combinate cu soluții de securitate suplimentare. Acestea ar putea include servicii de prevenire a refuzului de serviciu distribuit (DDoS), care oferă scalabilitatea suplimentară necesară pentru a preveni atacurile de mare volum.
Lista de verificare pentru securitatea aplicațiilor web
Există o varietate de abordări pentru protejarea aplicațiilor web în plus față de WAF. Orice listă de verificare a securității aplicațiilor web ar trebui să includă următoarele proceduri:
- Colectarea datelor — Treceți manual peste aplicație, căutând puncte de intrare și coduri la nivelul clientului. Clasificați conținutul găzduit de o terță parte.
- Autorizare — Căutați traversări de trasee, probleme de control al accesului pe verticală și orizontală, autorizare lipsă și referințe directe nesigure la obiecte atunci când testați aplicația.
- Securizează toate transmisiile de date cu ajutorul criptografiei. A fost criptată vreo informație sensibilă? Ați folosit algoritmi care nu sunt la înălțime? Există erori de aleatorie?
- Denial of service — Testați pentru anti-automatizare, blocarea contului, protocolul HTTP DoS și SQL wildcard DoS pentru a îmbunătăți rezistența unei aplicații împotriva atacurilor de denial of service. Aceasta nu include securitatea împotriva atacurilor DoS și DDoS de mare volum, care necesită o combinație de tehnologii de filtrare și resurse scalabile pentru a rezista.
Pentru mai multe detalii, puteți verifica fișa OWASP Web Application Security Testing Cheat Sheet (este, de asemenea, o resursă excelentă pentru alte subiecte legate de securitate).
Protecție DDoS
Atacurile DDoS sau atacurile distribuite de refuzare a serviciului sunt o modalitate tipică de a întrerupe o aplicație web. Există o serie de abordări pentru atenuarea atacurilor DDoS, inclusiv eliminarea traficului de atac volumetric la rețelele de livrare de conținut (CDN) și utilizarea rețelelor externe pentru a direcționa în mod corespunzător cererile reale, fără a provoca o întrerupere a serviciului.
Protecție DNSSEC (Domain Name System Security Extensions).
Sistemul de nume de domeniu, sau DNS, este agenda telefonică a Internetului și reflectă modul în care un instrument de Internet, cum ar fi un browser web, găsește serverul relevant. Otrăvirea cache-ului DNS, atacurile pe cale și alte mijloace de a interfera cu ciclul de viață al căutării DNS vor fi folosite de actorii răi pentru a deturna acest proces de solicitare DNS. Dacă DNS este agenda telefonică a Internetului, DNSSEC este un ID apelant care nu poate fi supus. O solicitare de căutare DNS poate fi protejată folosind tehnologia DNSSEC.
Pentru a vă familiariza în detaliu cu curriculumul de certificare, puteți extinde și analiza tabelul de mai jos.
Curriculum-ul de certificare EITC/IS/WASF pentru aplicații Web Fundamentele securității face referire la materiale didactice cu acces deschis într-o formă video. Procesul de învățare este împărțit într-o structură pas cu pas (programe -> lecții -> subiecte) care acoperă părți relevante ale curriculumului. De asemenea, se oferă consultanță nelimitată cu experți în domeniu.
Pentru detalii despre procedura de certificare verificați Abordare.
Descărcați materialele pregătitoare complete pentru auto-învățare offline pentru programul EITC/IS/WASF Web Applications Security Fundamentals într-un fișier PDF
Materiale pregătitoare EITC/IS/WASF – versiune standard
Materiale pregătitoare EITC/IS/WASF – versiune extinsă cu întrebări de revizuire