EITC/IS/WASF Web Applications Security Fundamentals on eurooppalainen IT-sertifiointiohjelma, joka käsittelee World Wide Web -palveluiden turvallisuuden teoreettisia ja käytännön näkökohtia web-protokollien turvallisuudesta yksityisyyteen, uhkiin ja hyökkäyksiin verkkoliikenteen verkkoviestinnän eri kerroksiin, verkkoon. palvelimien turvallisuus, korkeampien kerrosten, mukaan lukien verkkoselaimet ja verkkosovellukset, turvallisuus sekä todennus, sertifikaatit ja tietojenkalastelu.
EITC/IS/WASF Web Applications Security Fundamentalsin opetussuunnitelma kattaa johdannon HTML- ja JavaScript-verkkoturvanäkökohtiin, DNS, HTTP, evästeet, istunnot, eväste- ja istuntohyökkäykset, sama alkuperäkäytäntö, sivustojen välinen pyyntöväärennös, poikkeukset samaan. Alkuperäkäytäntö, Cross-Site Scripting (XSS), Cross-Site Scripting -suojaukset, verkkosormenjälkien otto, tietosuoja verkossa, DoS, tietojenkalastelu ja sivukanavat, palvelunesto, tietojenkalastelu ja sivukanavat, injektiohyökkäykset, koodin lisääminen, kuljetus kerrosturvallisuus (TLS) ja hyökkäykset, HTTPS todellisessa maailmassa, todennus, WebAuthn, verkkoturvallisuuden hallinta, turvallisuusongelmat Node.js-projektissa, palvelimen turvallisuus, turvalliset koodauskäytännöt, paikallisen HTTP-palvelimen suojaus, DNS-uudelleensidontahyökkäykset, selainhyökkäykset, selain arkkitehtuuri, sekä suojatun selainkoodin kirjoittaminen seuraavassa rakenteessa, joka sisältää kattavan videodidaktisen sisällön viitteenä tälle EITC-sertifioinnille.
Verkkosovellusten suojaus on tietoturvan osajoukko, joka keskittyy verkkosivustojen, verkkosovellusten ja verkkopalveluiden tietoturvaan. Verkkosovellusten suojaus perustuu yksinkertaisimmalla tasollaan sovellusturvaperiaatteisiin, mutta se soveltaa niitä erityisesti Internetiin ja verkkoalustoille. Verkkosovellusten suojaustekniikat, kuten verkkosovellusten palomuurit, ovat erikoistyökaluja HTTP-liikenteen kanssa työskentelemiseen.
Open Web Application Security Project (OWASP) tarjoaa resursseja, jotka ovat sekä ilmaisia että avoimia. Siitä vastaa voittoa tavoittelematon OWASP-säätiö. Vuoden 2017 OWASP Top 10 on tulos nykyisestä tutkimuksesta, joka perustuu yli 40 kumppaniorganisaatiolta kerättyyn laajaan tietoon. Noin 2.3 miljoonaa haavoittuvuutta havaittiin yli 50,000 10 tätä dataa käyttävästä sovelluksesta. OWASP Top 2017 – XNUMX:n mukaan kymmenen kriittisintä verkkosovellusten tietoturvaongelmaa ovat:
- Injektio
- Todennusongelmat
- Paljastuneiden arkaluonteisten tietojen ulkoiset XML-entiteetit (XXE)
- Kulunvalvonta, joka ei toimi
- Virheellinen suojausasetus
- Site-to-site scripting (XSS)
- Deserialisointi, joka ei ole turvallinen
- Käyttää komponentteja, joissa on tunnettuja puutteita
- Kirjaaminen ja seuranta ovat riittämättömiä.
Tästä syystä käytäntöä suojella verkkosivustoja ja online-palveluita erilaisilta tietoturvauhkilta, jotka hyödyntävät sovelluksen koodin heikkouksia, kutsutaan verkkosovellusten tietoturvaksi. Sisällönhallintajärjestelmät (esim. WordPress), tietokannan hallintatyökalut (esim. phpMyAdmin) ja SaaS-sovellukset ovat kaikki yleisiä verkkosovellushyökkäysten kohteita.
Tekijät pitävät verkkosovelluksia ensisijaisina kohteina, koska:
- Niiden lähdekoodin monimutkaisuuden vuoksi valvomattomat haavoittuvuudet ja haitallisen koodin muutokset ovat todennäköisempiä.
- Arvokkaita palkintoja, kuten arkaluonteisia henkilötietoja, jotka on saatu tehokkaan lähdekoodin peukaloinnin avulla.
- Helppo toteuttaa, koska useimmat hyökkäykset voidaan helposti automatisoida ja ottaa käyttöön erotuksetta tuhansia, kymmeniä tai jopa satoja tuhansia kohteita vastaan kerralla.
- Organisaatiot, jotka eivät pysty suojaamaan verkkosovelluksiaan, ovat alttiina hyökkäyksille. Tämä voi johtaa muun muassa tietovarkauksiin, kireisiin asiakassuhteisiin, lisenssien peruuntumiseen ja oikeustoimiin.
Verkkosivustojen haavoittuvuudet
Syöttö/tulosteen puhdistusvirheet ovat yleisiä verkkosovelluksissa, ja niitä käytetään usein hyväksi joko lähdekoodin vaihtamiseen tai luvaton pääsyyn.
Nämä puutteet mahdollistavat erilaisten hyökkäysvektorien hyödyntämisen, mukaan lukien:
- SQL-injektio – Kun tekijä manipuloi taustatietokantaa haitallisella SQL-koodilla, tietoja paljastetaan. Laiton luetteloiden selaus, taulukon poistaminen ja luvaton järjestelmänvalvojan käyttö ovat seurauksia.
- XSS (Cross-site Scripting) on injektiohyökkäys, joka kohdistuu käyttäjiin päästäkseen tileille, aktivoidakseen troijalaisia tai muuttaakseen sivun sisältöä. Kun haitallista koodia ruiskutetaan suoraan sovellukseen, sitä kutsutaan tallennettuna XSS:nä. Kun haitallinen komentosarja peilataan sovelluksesta käyttäjän selaimeen, tätä kutsutaan heijastuneeksi XSS:ksi.
- Etätiedostojen sisällyttäminen – Tämän hyökkäysmuodon avulla hakkeri voi pistää tiedoston verkkosovelluspalvelimeen etäpaikasta. Tämä voi johtaa vaarallisten komentosarjojen tai koodin suorittamiseen sovelluksessa sekä tietojen varkauksiin tai muuttamiseen.
- Cross-site Request Forgery (CSRF) – Hyökkäystyyppi, joka voi johtaa tahattomaan käteisen siirtoon, salasanan vaihtamiseen tai tietovarkauksiin. Se tapahtuu, kun haitallinen verkko-ohjelma kehottaa käyttäjän selainta suorittamaan ei-toivotun toiminnon verkkosivustolla, johon hän on kirjautunut.
Teoriassa tehokas syötteiden/tulosteiden desinfiointi saattaa poistaa kaikki haavoittuvuudet ja tehdä sovelluksesta läpäisemättömän luvattomille muutoksille.
Koska useimmat ohjelmat ovat kuitenkin jatkuvassa kehitysvaiheessa, kattava desinfiointi on harvoin varteenotettava vaihtoehto. Lisäksi sovellukset on yleensä integroitu toisiinsa, mikä johtaa koodattuihin ympäristöihin, joista tulee yhä monimutkaisempia.
Tällaisten vaarojen välttämiseksi tulisi ottaa käyttöön verkkosovellusten tietoturvaratkaisut ja -prosessit, kuten PCI Data Security Standard (PCI DSS) -sertifiointi.
Palomuuri verkkosovelluksille (WAF)
WAF:t (verkkosovellusten palomuurit) ovat laitteisto- ja ohjelmistoratkaisuja, jotka suojaavat sovelluksia tietoturvauhkilta. Nämä ratkaisut on suunniteltu tarkastamaan saapuvaa liikennettä hyökkäysyritysten havaitsemiseksi ja estämiseksi, mikä kompensoi koodin puhdistusvirheet.
WAF-käyttöönotto vastaa PCI DSS -sertifioinnin ratkaisevaan kriteeriin suojaamalla tietoja varkauksilta ja muutoksilta. Kaikki tietokannassa säilytettävät luotto- ja pankkikorttien haltijatiedot on suojattava vaatimuksen 6.6 mukaisesti.
Koska se asetetaan DMZ:ään edelle verkon reunalla, WAF:n luominen ei yleensä vaadi muutoksia sovellukseen. Se toimii sitten yhdyskäytävänä kaikelle saapuvalle liikenteelle ja suodattaa pois vaaralliset pyynnöt ennen kuin ne voivat olla vuorovaikutuksessa sovelluksen kanssa.
WAF:t käyttävät erilaisia heuristiikkaa arvioidakseen, mikä liikenne saa käyttää sovellusta ja mikä on karsittava. Ne voivat nopeasti tunnistaa haitalliset toimijat ja tunnetut hyökkäysvektorit säännöllisesti päivitettävän allekirjoitusjoukon ansiosta.
Lähes kaikki WAF:t voidaan räätälöidä yksilöllisiin käyttötapauksiin ja turvallisuusmääräyksiin sekä uusien (tunnetaan myös nimellä nollapäivän) uhkia vastaan. Lopuksi, saadakseen lisätietoa saapuvista vierailijoista, useimmat nykyaikaiset ratkaisut käyttävät maine- ja käyttäytymistietoja.
Turvakehän rakentamiseksi WAF:it yhdistetään yleensä lisäturvaratkaisuihin. Näihin voisi kuulua hajautettuja palveluneston (DDoS) estopalveluita, jotka antavat lisäskaalautuvuuden, jota tarvitaan suurten hyökkäysten estämiseen.
Verkkosovellusten suojauksen tarkistuslista
WAF-sovellusten lisäksi on olemassa useita eri tapoja suojata verkkosovelluksia. Kaikkien verkkosovellusten turvatarkistusluetteloiden tulee sisältää seuraavat toimenpiteet:
- Tietojen kerääminen — Käy sovellus läpi käsin ja etsi sisääntulopisteitä ja asiakaspuolen koodeja. Luokittele kolmannen osapuolen isännöimä sisältö.
- Valtuutus — Etsi polun läpikulkuja, pysty- ja vaakasuuntaisia kulunvalvontaongelmia, puuttuvaa valtuutusta ja epävarmoja suoria objektiviittauksia sovellusta testattaessa.
- Suojaa kaikki tiedonsiirrot kryptografialla. Onko arkaluonteisia tietoja salattu? Oletko käyttänyt algoritmeja, jotka eivät kestä nuuskaa? Onko satunnaisuusvirheitä?
- Palvelunesto — Testaa automaation esto, tilin lukitus, HTTP-protokollan DoS ja SQL-yleismerkki DoS parantaaksesi sovelluksen sietokykyä palvelunestohyökkäyksiä vastaan. Tämä ei sisällä suojausta suuria määriä DoS- ja DDoS-hyökkäyksiä vastaan, jotka vaativat yhdistelmän suodatustekniikoita ja skaalautuvia resursseja vastustaakseen.
Lisätietoja on OWASP Web Application Security Testing -huijauslomakkeessa (se on myös loistava resurssi muille turvallisuuteen liittyville aiheille).
DDoS-suojaus
DDoS-hyökkäykset tai hajautetut palvelunestohyökkäykset ovat tyypillinen tapa keskeyttää verkkosovellus. On olemassa useita lähestymistapoja DDoS-hyökkäysten lieventämiseen, mukaan lukien sisällönjakeluverkkojen (CDN) volyymin hyökkäysliikenteen hylkääminen ja ulkoisten verkkojen käyttäminen oikeiden pyyntöjen asianmukaiseen reitittämiseen ilman, että palvelu katkeaa.
DNSSEC (Domain Name System Security Extensions) -suojaus
Verkkotunnusjärjestelmä eli DNS on Internetin puhelinmuistio, ja se heijastaa sitä, kuinka Internet-työkalu, kuten verkkoselain, löytää oikean palvelimen. Huonot toimijat kaappaavat tämän DNS-pyyntöprosessin DNS-välimuistin myrkytyksen, on-path-hyökkäykset ja muut keinot häiritä DNS-haun elinkaarta. Jos DNS on Internetin puhelinluettelo, DNSSEC on luvaton soittajan tunnus. DNS-hakupyyntö voidaan suojata DNSSEC-tekniikalla.
Tutustuaksesi sertifioinnin opetussuunnitelmaan yksityiskohtaisesti voit laajentaa ja analysoida alla olevaa taulukkoa.
EITC/IS/WASF Web Applications Security Fundamentals -sertifioinnin opetussuunnitelmassa viitataan avoimen pääsyn didaktisiin materiaaleihin videomuodossa. Oppimisprosessi on jaettu vaiheittaiseen rakenteeseen (ohjelmat -> oppitunnit -> aiheet), joka kattaa olennaiset opetussuunnitelman osat. Tarjolla on myös rajoittamaton konsultointi toimialueen asiantuntijoiden kanssa.
Katso tarkemmat tiedot sertifiointimenettelystä Miten se toimii.
Lataa täydelliset offline-itseoppimisen valmistelevat materiaalit EITC/IS/WASF Web Applications Security Fundamentals -ohjelmaa varten PDF-tiedostona
EITC/IS/WASF valmistelumateriaalit – vakioversio
EITC/IS/WASF valmistelumateriaalit – laajennettu versio tarkistuskysymyksillä