EITC/IS/WASF Web Applications Security Fundamentals estas la eŭropa IT-Atestprogramo pri teoriaj kaj praktikaj aspektoj de Tutmonda Retaj servoj-sekureco, kiu iras de sekureco de bazaj interretaj protokoloj, tra privateco, minacoj kaj atakoj sur malsamaj tavoloj de rettrafika retkomunikado, retejo. serviloj sekureco, sekureco en pli altaj tavoloj, inkluzive de TTT-legiloj kaj TTT-aplikaĵoj, same kiel aŭtentigo, atestiloj kaj phising.
La instruplano de la EITC/IS/WASF Reta Aplikaj Sekurecaj Fundamentoj kovras enkondukon al HTML kaj JavaScript-retaj sekurecaj aspektoj, DNS, HTTP, kuketojn, sesiojn, kuketojn kaj sesiajn atakojn, Same Origin Policy, Cross-Site Request Forgery, esceptojn al la Sama. Origina Politiko, Cross-Site Scripting (XSS), Cross-Site Scripting-defendoj, interreta fingrospurado, privateco en la reto, DoS, phishing kaj flankaj kanaloj, Denial-of-Service, phishing kaj flankaj kanaloj, injektatakoj, Kod-injekto, transporto tavola sekureco (TLS) kaj atakoj, HTTPS en la reala mondo, aŭtentikigo, WebAuthn, administrado de interreta sekureco, sekurecaj zorgoj en Node.js-projekto, servila sekureco, sekuraj kodigaj praktikoj, loka HTTP-servila sekureco, DNS-rebindaj atakoj, retumilatakoj, retumilo arkitekturo, same kiel skribi sekuran retumilkodon, ene de la sekva strukturo, ampleksanta ampleksan videodidaktikan enhavon kiel referencon por ĉi tiu EITC-Atestilo.
Reta aplikaĵa sekureco estas subaro de informsekureco, kiu fokusiĝas al retejo, retejo, kaj retserva sekureco. Reta aplikaĵa sekureco, ĉe sia plej baza nivelo, baziĝas sur aplikaĵsekurecaj principoj, sed ĝi aplikas ilin precipe al interreto kaj retplatformoj. Retaj aplikaĵaj sekurecteknologioj, kiel ekzemple Retaj aplikaĵaj fajromuroj, estas specialecaj iloj por labori kun HTTP-trafiko.
La Open Web Application Security Project (OWASP) ofertas rimedojn, kiuj estas kaj senpagaj kaj malfermitaj. Pri ĝi zorgas neprofitcela Fondaĵo OWASP. La Top 2017 de OWASP de 10 estas la rezulto de nuna studo bazita sur ampleksaj datumoj kolektitaj de pli ol 40 partneraj organizoj. Ĉirkaŭ 2.3 milionoj da vundeblecoj estis detektitaj tra pli ol 50,000 aplikoj uzante ĉi tiujn datumojn. La dek plej kritikaj zorgoj pri sekureca aplikaĵo pri interreto, laŭ la OWASP Top 10 - 2017, estas:
- Injekto
- Problemoj pri aŭtentikigo
- Malkovritaj sentemaj datumoj XML-eksteraj unuoj (XXE)
- Alirkontrolo kiu ne funkcias
- Misagordo de sekureco
- Ejo-al-eja skribado (XSS)
- Deseriligo kiu ne estas sekura
- Uzante komponantojn, kiuj konis difektojn
- Registrado kaj monitorado estas nesufiĉaj.
Tial La praktiko de defendo de retejoj kaj interretaj servoj kontraŭ diversaj sekurecaj minacoj, kiuj ekspluatas malfortojn en la kodo de aplikaĵo, estas konata kiel retejo-aplika sekureco. Enhavaj mastrumado-sistemoj (ekz., WordPress), datumbazaj administradiloj (ekz., phpMyAdmin), kaj SaaS-aplikoj estas ĉiuj oftaj celoj por interretaj aplikaĵaj atakoj.
Retaplikoj estas konsideritaj altprioritaj celoj fare de la krimintoj ĉar:
- Pro la komplikaĵo de ilia fontkodo, neatentaj vundeblecoj kaj malica koda modifo estas pli verŝajnaj.
- Altvaloraj rekompencoj, kiel sentemaj personaj informoj akiritaj per efika fontkoda mistraktado.
- Facileco de ekzekuto, ĉar plej multaj atakoj povas esti facile aŭtomatigitaj kaj deplojitaj sendistinge kontraŭ miloj, dekoj aŭ eĉ centoj da miloj da celoj samtempe.
- Organizoj, kiuj ne sukcesas protekti siajn TTT-aplikaĵojn, estas vundeblaj al atako. Ĉi tio povas konduki al ŝtelo de datumoj, streĉitaj klientrilatoj, nuligitaj licencoj kaj jura ago, inter aliaj aferoj.
Vundeblecoj en retejoj
Eniga/eliga sanigdifektoj estas oftaj en TTT-aplikoj, kaj ili estas ofte ekspluataj por aŭ ŝanĝi fontkodon aŭ akiri neaŭtorizitan aliron.
Tiuj difektoj permesas la ekspluaton de gamo da atakvektoroj, inkluzive de:
- SQL-Injekto - Kiam kriminto manipulas backend datumbazon kun malica SQL-kodo, informoj estas malkaŝitaj. Kontraŭleĝa lerta foliumado, forigo de tabeloj kaj neaŭtorizita administra aliro estas inter la sekvoj.
- XSS (Cross-site Scripting) estas injekta atako kiu celas uzantojn por akiri aliron al kontoj, aktivigi trojanojn aŭ ŝanĝi paĝan enhavon. Kiam malica kodo estas injektita rekte en aplikaĵon, tio estas konata kiel stokita XSS. Kiam malica skripto estas spegulita de aplikaĵo al la retumilo de uzanto, tio estas konata kiel reflektita XSS.
- Malproksima Dosiera Inkludo - Ĉi tiu formo de atako permesas al retpirato injekti dosieron en TTT-aplikservilon de fora loko. Ĉi tio povas konduki al danĝeraj skriptoj aŭ kodoj ekzekutitaj en la apo, kaj ankaŭ ŝtelado aŭ modifo de datumoj.
- Interreta Peto Falsiĝo (CSRF) - Speco de atako kiu povas rezultigi neintencitan translokigon de kontantmono, pasvortŝanĝoj aŭ datumŝtelado. Ĝi okazas kiam malica TTT-programo instrukcias la retumilon de uzanto fari nedeziratan agon en retejo, al kiu ili estas ensalutintaj.
En teorio, efika enigo-/eliga sanigado eble ekstermos ĉiujn vundeblecojn, igante aplikaĵon nerezista al neaŭtorizita modifo.
Tamen, ĉar la plej multaj programoj estas en ĉiama stato de evoluo, ampleksa sanigado malofte estas realigebla elekto. Krome, aplikaĵoj estas ofte integritaj unu kun la alia, rezultigante kodigitan medion kiu iĝas ĉiam pli kompleksa.
Por eviti tiajn danĝerojn, solvoj kaj procezoj pri sekurecaj retejoj, kiel atesto pri PCI Data Security Standard (PCI DSS), devus esti efektivigitaj.
Fajromuro por TTT-aplikoj (WAF)
WAFoj (retaj aplikaĵaj fajroŝirmiloj) estas aparataro kaj programaro solvoj kiuj protektas aplikojn kontraŭ sekurecaj minacoj. Ĉi tiuj solvoj estas dezajnitaj por inspekti envenantan trafikon por detekti kaj bloki atakprovojn, kompensante iujn ajn kodan sanigdifektojn.
WAF-deplojo traktas decidan kriterion por PCI DSS-atestado protektante datumojn kontraŭ ŝtelo kaj modifo. Ĉiuj datumoj pri kredito kaj debetkarto konservitaj en datumbazo devas esti protektitaj, laŭ Postulo 6.6.
Ĉar ĝi estas metita antaŭ sia DMZ ĉe la rando de la reto, establi WAF kutime ne postulas iujn ajn ŝanĝojn al aplikiĝo. Ĝi tiam funkcias kiel enirejo por ĉiu envenanta trafiko, filtrante danĝerajn petojn antaŭ ol ili povas interagi kun aplikaĵo.
Por taksi kiu trafiko estas permesita aliro al aplikaĵo kaj kiu devas esti forigita, WAFoj uzas diversajn heŭristikojn. Ili povas rapide identigi malicajn aktorojn kaj konatajn atakvektorojn danke al regule ĝisdatigita subskriba naĝejo.
Preskaŭ ĉiuj WAF-oj povas esti adaptitaj al individuaj uzkazoj kaj sekurecregularoj, same kiel kontraŭbatali emerĝantajn (ankaŭ konatajn kiel nul-tagaj) minacoj. Fine, por akiri pliajn komprenojn pri alvenantaj vizitantoj, plej modernaj solvoj uzas reputaciajn kaj kondutajn datumojn.
Por konstrui sekurecperimetron, WAF-oj estas kutime kombinitaj kun kromaj sekurecsolvoj. Ĉi tiuj povus inkluzivi preventajn servojn de distribuitaj ne-de-servo (DDoS), kiuj donas la ekstran skaleblon necesan por malhelpi alt-volumajn atakojn.
Kontrollisto por sekureco de TTT-apliko
Estas diversaj aliroj por protekti TTT-apojn krom WAFoj. Ajna ret-aplikaĵa sekureclisto devus inkluzivi la jenajn procedurojn:
- Kolektado de datumoj - Mane trarigardu la aplikaĵon, serĉante enirpunktojn kaj klientflankajn kodojn. Klasifiku enhavon gastigita de tria partio.
- Rajtigo — Serĉu vojojn, vertikalajn kaj horizontalajn alirkontrolajn problemojn, mankantan rajtigon kaj nesekurajn rektajn objektojn dum testado de la aplikaĵo.
- Sekurigu ĉiujn transdonojn de datumoj per kripto. Ĉu iu ajn sentema informo estis ĉifrita? Ĉu vi uzis iujn ajn algoritmojn, kiuj ne taŭgas? Ĉu estas hazardaj eraroj?
- Neo de servo — Provu kontraŭ-aŭtomatigo, konto-ŝlosado, HTTP-protokolo DoS kaj SQL-ĵokera DoS por plibonigi la rezistecon de aplikaĵo kontraŭ neado de servo-atakoj. Ĉi tio ne inkluzivas sekurecon kontraŭ alt-volumaj DoS kaj DDoS-atakoj, kiuj postulas miksaĵon de filtraj teknologioj kaj skaleblaj rimedoj por rezisti.
Por pliaj detaloj, oni povas kontroli la Trompfolion pri Testado de Reta Aplikaĵo de OWASP (ĝi ankaŭ estas bonega rimedo por aliaj sekurec-rilataj temoj).
Protekto de DDoS
DDoS-atakoj, aŭ distribuitaj ne-de-servo-atakoj, estas tipa maniero interrompi TTT-aplikaĵon. Estas kelkaj aliroj por mildigi DDoS-atakojn, inkluzive de forĵeti volumetran ataktrafikon ĉe Content Delivery Networks (CDN) kaj utiligi eksterajn retojn por taŭge direkti aŭtentajn petojn sen kaŭzi servointerrompon.
Protekto DNSSEC (Domain Name System Security Extensions).
La domajna nomsistemo, aŭ DNS, estas la telefonlibro de Interreto, kaj ĝi reflektas kiel Interreta ilo, kiel retumilo, trovas la koncernan servilon. DNS-kaŝveneniĝo, survojaj atakoj kaj aliaj rimedoj por malhelpi la DNS-serĉan vivciklon estos uzataj de malbonaj aktoroj por kaperi ĉi tiun DNS-peton. Se DNS estas la telefonlibro de la Interreto, DNSSEC estas nefalsebla alvokanto. DNS serĉpeto povas esti protektita uzante la DNSSEC-teknologion.
Por konatigi vin detale kun la atesta instruplano, vi povas pligrandigi kaj analizi la suban tabelon.
La EITC/IS/WASF Reta Aplikaĵoj Sekureco-Fundamentoj-Atestado-Instruplano referencoj al liberaj didaktikaj materialoj en videoformo. Lernadprocezo estas dividita en paŝon post paŝo strukturo (programoj -> lecionoj -> temoj) kovrante koncernajn instruplanajn partojn. Senlima konsultado kun domajnaj fakuloj ankaŭ estas provizita.
Por detaloj pri la Atestprocedo kontrolu Kiel ĝi funkcias.
Elŝutu la kompletajn eksterretajn memlernajn preparajn materialojn por la programo EITC/IS/WASF Retejaj Aplikaĵoj-Sekureco-Fundamentoj en PDF-dosiero
EITC/IS/WASF-preparaj materialoj - norma versio
EITC/IS/WASF-preparaj materialoj - plilongigita versio kun reviziaj demandoj