EITC/IS/WASF Web Applications Security Fundamentals är det europeiska IT-certifieringsprogrammet för teoretiska och praktiska aspekter av säkerheten för World Wide Web-tjänster, allt från säkerhet för grundläggande webbprotokoll, till integritet, hot och attacker på olika lager av webbtrafik, nätverkskommunikation, webb servrar säkerhet, säkerhet i högre lager, inklusive webbläsare och webbapplikationer, samt autentisering, certifikat och nätfiske.
Läroplanen för EITC/IS/WASF Web Applications Security Fundamentals täcker introduktion till HTML och JavaScript webbsäkerhetsaspekter, DNS, HTTP, cookies, sessioner, cookie- och sessionsattacker, Same Origin Policy, Cross-Site Request Forgery, undantag från samma Ursprungspolicy, Cross-Site Scripting (XSS), Cross-Site Scripting-försvar, webbfingeravtryck, sekretess på webben, DoS, nätfiske och sidokanaler, Denial-of-Service, nätfiske och sidokanaler, injektionsattacker, kodinjektion, transport lagersäkerhet (TLS) och attacker, HTTPS i den verkliga världen, autentisering, WebAuthn, hantering av webbsäkerhet, säkerhetsproblem i Node.js-projektet, serversäkerhet, säker kodning, lokal HTTP-serversäkerhet, DNS-återbindningsattacker, webbläsattacker, webbläsare arkitektur, såväl som att skriva säker webbläsarkod, inom följande struktur, som omfattar omfattande videodidaktiskt innehåll som referens för denna EITC-certifiering.
Webbapplikationssäkerhet är en delmängd av informationssäkerhet som fokuserar på webbplats-, webbapplikations- och webbtjänstsäkerhet. Webbapplikationssäkerhet, på sin mest grundläggande nivå, bygger på applikationssäkerhetsprinciper, men den tillämpar dem särskilt på internet och webbplattformar. Säkerhetstekniker för webbapplikationer, såsom brandväggar för webbapplikationer, är specialiserade verktyg för att arbeta med HTTP-trafik.
Open Web Application Security Project (OWASP) erbjuder resurser som är både gratis och öppna. En ideell OWASP Foundation är ansvarig för det. 2017 OWASP Top 10 är resultatet av aktuell studie baserad på omfattande data som samlats in från över 40 partnerorganisationer. Cirka 2.3 miljoner sårbarheter upptäcktes i över 50,000 10 applikationer som använder denna data. De tio mest kritiska säkerhetsproblemen för onlineapplikationer, enligt OWASP Top 2017 – XNUMX, är:
- Injektion
- Autentiseringsproblem
- Exponerad känslig data XML externa enheter (XXE)
- Åtkomstkontroll som inte fungerar
- Felkonfiguration av säkerhet
- Webbplats-till-plats-skript (XSS)
- Deserialisering som inte är säker
- Använda komponenter som har kända brister
- Loggning och övervakning är otillräcklig.
Därför är metoden att försvara webbplatser och onlinetjänster mot olika säkerhetshot som utnyttjar svagheter i en applikations kod känd som webbapplikationssäkerhet. Innehållshanteringssystem (t.ex. WordPress), databasadministrationsverktyg (t.ex. phpMyAdmin) och SaaS-appar är alla vanliga mål för onlineapplikationsangrepp.
Webbapplikationer anses vara högprioriterade mål av förövarna eftersom:
- På grund av den invecklade källkoden är oövervakade sårbarheter och skadlig kodändring mer sannolikt.
- Högvärdiga belöningar, såsom känslig personlig information som erhållits genom effektiv källkodsmanipulering.
- Lätt att utföra, eftersom de flesta överfall lätt kan automatiseras och utplaceras urskillningslöst mot tusentals, tiotals eller till och med hundratusentals mål samtidigt.
- Organisationer som misslyckas med att skydda sina webbapplikationer är sårbara för attacker. Detta kan bland annat leda till datastöld, ansträngda kundrelationer, indragna licenser och rättsliga åtgärder.
Sårbarheter på webbplatser
Input/output-saneringsbrister är vanliga i webbapplikationer, och de utnyttjas ofta för att antingen ändra källkod eller få obehörig åtkomst.
Dessa brister tillåter utnyttjande av en mängd olika attackvektorer, inklusive:
- SQL-injektion – När en förövare manipulerar en backend-databas med skadlig SQL-kod avslöjas information. Olaglig listbläddring, radering av tabeller och obehörig administratörsåtkomst är några av konsekvenserna.
- XSS (Cross-site Scripting) är en injektionsattack som riktar sig mot användare för att få tillgång till konton, aktivera trojaner eller ändra sidinnehåll. När skadlig kod injiceras direkt i en applikation kallas detta lagrad XSS. När skadliga skript speglas från ett program till en användares webbläsare kallas detta för reflekterad XSS.
- Avlägsen filinkludering – Denna form av attack tillåter en hackare att injicera en fil i en webbapplikationsserver från en avlägsen plats. Detta kan leda till att farliga skript eller kod exekveras i appen, såväl som datastöld eller modifiering.
- Cross-site Request Forgery (CSRF) – En typ av attack som kan resultera i en oavsiktlig överföring av kontanter, lösenordsändringar eller datastöld. Det inträffar när ett skadligt webbprogram instruerar en användares webbläsare att utföra en oönskad åtgärd på en webbplats som de är inloggade på.
I teorin kan effektiv in-/utgångssanering utplåna alla sårbarheter, vilket gör en applikation ogenomtränglig för otillåten modifiering.
Men eftersom de flesta program är i ett ständigt tillstånd av utveckling, är omfattande sanering sällan ett genomförbart alternativ. Dessutom är appar ofta integrerade med varandra, vilket resulterar i en kodad miljö som blir allt mer komplex.
För att undvika sådana faror bör säkerhetslösningar och processer för webbapplikationer, såsom PCI Data Security Standard (PCI DSS)-certifiering, implementeras.
Brandvägg för webbapplikationer (WAF)
WAF (web application firewalls) är hårdvaru- och mjukvarulösningar som skyddar applikationer från säkerhetshot. Dessa lösningar är designade för att inspektera inkommande trafik för att upptäcka och blockera attackförsök och kompensera för eventuella kodsaneringsfel.
WAF-distribution adresserar ett avgörande kriterium för PCI DSS-certifiering genom att skydda data mot stöld och modifiering. All kredit- och betalkortsinnehavares data som lagras i en databas måste skyddas enligt krav 6.6.
Eftersom det är placerat före sin DMZ vid nätverkets kant, kräver etableringen av en WAF vanligtvis inga ändringar i en applikation. Den fungerar sedan som en gateway för all inkommande trafik och filtrerar bort farliga förfrågningar innan de kan interagera med en applikation.
För att bedöma vilken trafik som får tillgång till en applikation och vilken som måste renas bort använder WAF:er en mängd olika heuristik. De kan snabbt identifiera illvilliga aktörer och kända attackvektorer tack vare en regelbundet uppdaterad signaturpool.
Nästan alla WAF:er kan skräddarsys för individuella användningsfall och säkerhetsföreskrifter, såväl som för att bekämpa nya (även känd som nolldagars) hot. Slutligen, för att få ytterligare insikter om inkommande besökare använder de flesta moderna lösningar rykte- och beteendedata.
För att bygga en säkerhetsperimeter kombineras WAF vanligtvis med ytterligare säkerhetslösningar. Dessa kan inkludera distribuerade denial-of-service (DDoS)-förebyggande tjänster, som ger den extra skalbarhet som behövs för att förhindra attacker i hög volym.
Checklista för webbapplikationssäkerhet
Det finns en mängd olika metoder för att skydda webbappar förutom WAF. Alla säkerhetschecklistor för webbapplikationer bör innehålla följande procedurer:
- Samla in data — Gå igenom applikationen för hand och leta efter ingångspunkter och koder på klientsidan. Klassificera innehåll som är värd för en tredje part.
- Auktorisering — Leta efter vägövergångar, vertikala och horisontella åtkomstkontrollproblem, saknad auktorisering och osäkra, direkta objektreferenser när du testar applikationen.
- Säkra alla dataöverföringar med kryptografi. Har någon känslig information krypterats? Har du använt några algoritmer som inte räcker till? Finns det några slumpmässiga fel?
- Denial of service — Testa för anti-automatisering, kontolåsning, HTTP-protokoll DoS och SQL wildcard DoS för att förbättra en applikations motståndskraft mot överbelastningsattacker. Detta inkluderar inte säkerhet mot DoS- och DDoS-attacker med stora volymer, som kräver en blandning av filtreringsteknologier och skalbara resurser för att stå emot.
För ytterligare information kan man kolla in OWASP Web Application Security Testing Cheat Sheet (det är också en bra resurs för andra säkerhetsrelaterade ämnen).
DDoS-skydd
DDoS-angrepp, eller distribuerade denial-of-service-attacker, är ett typiskt sätt att avbryta en webbapplikation. Det finns ett antal metoder för att mildra DDoS-angrepp, inklusive att kassera volymetrisk attacktrafik vid Content Delivery Networks (CDN) och använda externa nätverk för att på lämpligt sätt dirigera äkta förfrågningar utan att orsaka ett tjänstavbrott.
DNSSEC-skydd (Domain Name System Security Extensions).
Domännamnssystemet, eller DNS, är Internets telefonbok, och det återspeglar hur ett Internetverktyg, som en webbläsare, hittar den relevanta servern. DNS-cacheförgiftning, on-path-attacker och andra sätt att störa DNS-sökningens livscykel kommer att användas av dåliga aktörer för att kapa denna DNS-begäran. Om DNS är Internets telefonbok är DNSSEC ett nummer som inte kan förfalskas. En begäran om DNS-sökning kan skyddas med DNSSEC-tekniken.
För att bekanta dig i detalj med certifieringsläroplanen kan du utöka och analysera tabellen nedan.
EITC/IS/WASF Web Applications Security Fundamentals Certification Curriculum refererar till didaktiskt material med öppen tillgång i en videoform. Lärprocessen är uppdelad i en steg-för-steg-struktur (program -> lektioner -> ämnen) som täcker relevanta läroplansdelar. Obegränsad rådgivning med domänexperter tillhandahålls också.
För detaljer om certifieringsförfarandet kontrollera Hur det fungerar.
Ladda ner det fullständiga offline-självlärande förberedande materialet för EITC/IS/WASF Web Applications Security Fundamentals-programmet i en PDF-fil
EITC/IS/WASF förberedande material – standardversion
EITC/IS/WASF förberedande material – utökad version med granskningsfrågor