Ang EITC/IS/WAPT Web Applications Penetration Testing ay ang European IT Certification program sa teoretikal at praktikal na aspeto ng web application penetration testing (white hacking), kabilang ang iba't ibang mga technics para sa mga web site na spidering, scanning at attack techniques, kabilang ang mga espesyal na tool at suite ng penetration testing. .
Ang curriculum ng EITC/IS/WAPT Web Applications Penetration Testing ay sumasaklaw sa panimula sa Burp Suite, web spridering at DVWA, brute force testing na may Burp Suite, web application firewall (WAF) detection na may WAFW00F, target na saklaw at spidering, pagtuklas ng mga nakatagong file na may ZAP, WordPress vulnerability scanning at username enumeration, load balancer scan, cross-site scripting, XSS – ipinapakita, nakaimbak at DOM, proxy attacks, pag-configure ng proxy sa ZAP, pag-atake ng mga file at direktoryo, pagtuklas ng file at direktoryo gamit ang DirBuster, pagsasanay sa pag-atake sa web , OWASP Juice Shop, CSRF – Cross Site Request Forgery, cookie collection at reverse engineering, HTTP Attributes – cookie stealing, SQL injection, DotDotPwn – directory traversal fuzzing, iframe injection at HTML injection, Heartbleed exploit – pagtuklas at pagsasamantala, PHP code injection, bWAPP – HTML injection, reflected POST, OS command injection na may Commix, server-side kasama ang SSI injection, pentesting sa Docker, OverTheWire Natas, LFI at command injection, Google hacking para sa pentesting, Google Dorks Para sa penetration testing, Apache2 ModSecurity, pati na rin ang Nginx ModSecurity, sa loob ng sumusunod na istraktura, na sumasaklaw sa komprehensibong video didactic na nilalaman bilang isang sanggunian para sa EITC Certification na ito.
Ang seguridad ng web application (madalas na tinutukoy bilang Web AppSec) ay ang konsepto ng pagdidisenyo ng mga website upang gumana nang normal kahit na sila ay inaatake. Ang paniwala ay pagsasama ng isang hanay ng mga hakbang sa seguridad sa isang Web application upang protektahan ang mga ari-arian nito mula sa mga masasamang ahente. Ang mga web application, tulad ng lahat ng software, ay madaling kapitan ng mga depekto. Ang ilan sa mga bahid na ito ay mga aktwal na kahinaan na maaaring samantalahin, na nagdudulot ng panganib sa mga negosyo. Ang ganitong mga bahid ay binabantayan laban sa pamamagitan ng seguridad ng web application. Nangangailangan ito ng paggamit ng mga secure na diskarte sa pag-unlad at paglalagay ng mga kontrol sa seguridad sa buong ikot ng buhay ng pagbuo ng software (SDLC), na tinitiyak na ang mga bahid ng disenyo at mga isyu sa pagpapatupad ay natugunan. Ang online penetration testing, na isinasagawa ng mga eksperto na naglalayong tumuklas at magsamantala sa mga kahinaan sa web application gamit ang tinatawag na white hacking approach, ay isang mahalagang kasanayan upang mapagana ang naaangkop na pagtatanggol.
Ang isang web penetration test, na kilala rin bilang isang web pen test, ay ginagaya ang isang cyber assault sa isang web application upang makahanap ng mga mapagsamantalang kapintasan. Ang penetration testing ay madalas na ginagamit upang madagdagan ang isang web application firewall sa konteksto ng web application security (WAF). Ang pagsubok sa panulat, sa pangkalahatan, ay nangangailangan ng pagsubok na tumagos sa anumang bilang ng mga system ng application (hal., mga API, frontend/backend server) upang makahanap ng mga kahinaan, gaya ng mga hindi nalinis na input na madaling maapektuhan ng mga pag-atake ng code injection.
Ang mga natuklasan ng online penetration test ay maaaring gamitin upang i-configure ang mga patakaran sa seguridad ng WAF at matugunan ang mga natuklasang kahinaan.
May limang hakbang ang penetration testing.
Ang pamamaraan ng pagsubok sa panulat ay nahahati sa limang hakbang.
- Pagpaplano at pagmamanman
Ang pagtukoy sa saklaw at mga layunin ng isang pagsubok, kabilang ang mga sistemang tutugunan at ang mga pamamaraan ng pagsubok na gagamitin, ay ang unang yugto.
Upang magkaroon ng mas mahusay na pag-unawa sa kung paano gumagana ang isang target at ang mga potensyal na kahinaan nito, magtipon ng katalinuhan (hal., network at mga domain name, mail server). - Pag-scan
Ang susunod na yugto ay upang malaman kung paano tutugon ang target na aplikasyon sa iba't ibang uri ng mga pagtatangka sa panghihimasok. Ito ay karaniwang ginagawa sa pamamagitan ng paggamit ng mga sumusunod na pamamaraan:
Static analysis – Pagsusuri sa code ng isang application upang mahulaan kung paano ito kikilos kapag ito ay pinapatakbo. Sa isang solong pass, maaaring i-scan ng mga tool na ito ang buong code.
Ang dinamikong pagsusuri ay ang proseso ng pag-inspeksyon sa code ng isang application habang ito ay gumagana. Mas praktikal ang paraan ng pag-scan na ito dahil nagbibigay ito ng real-time na view ng performance ng isang application. - Pagkuha ng access
Upang mahanap ang mga kahinaan ng isang target, ang hakbang na ito ay gumagamit ng mga pag-atake sa web application gaya ng cross-site scripting, SQL injection, at backdoors. Upang maunawaan ang pinsalang maaaring idulot ng mga kahinaan na ito, sinusubukan ng mga tagasubok na pagsamantalahan ang mga ito sa pamamagitan ng pagtaas ng mga pribilehiyo, pagnanakaw ng data, pagharang sa trapiko, at iba pa. - Pagpapanatiling access
Ang layunin ng yugtong ito ay upang masuri kung ang kahinaan ay maaaring pagsamantalahan upang magtatag ng isang pangmatagalang presensya sa nakompromisong sistema, na nagpapahintulot sa isang masamang aktor na makakuha ng malalim na access. Ang layunin ay gayahin ang mga advanced na paulit-ulit na pagbabanta, na maaaring manatili sa isang system nang ilang buwan upang nakawin ang pinakasensitibong impormasyon ng kumpanya. - Pagsusuri
Ang mga resulta ng pagsubok sa pagtagos ay inilalagay sa isang ulat na may kasamang impormasyon tulad ng:
Mga kahinaan na pinagsamantalahan nang detalyado
Ang data na nakuha ay sensitibo
Ang tagal ng panahon na nagawang manatiling hindi napapansin ng pen tester sa system.
Ginagamit ng mga eksperto sa seguridad ang data na ito para tumulong sa pag-configure ng mga setting ng WAF ng isang enterprise at iba pang solusyon sa seguridad ng application upang ma-patch ang mga kahinaan at maiwasan ang mga karagdagang pag-atake.
Mga paraan ng pagsubok sa pagtagos
- Nakatuon ang external penetration testing sa mga asset ng kumpanya na nakikita sa internet, gaya ng mismong web application, website ng kumpanya, pati na rin ang mga email at domain name server (DNS). Ang layunin ay makakuha ng access at kumuha ng kapaki-pakinabang na impormasyon.
- Ang panloob na pagsubok ay nangangailangan ng isang tester na may access sa isang application sa likod ng firewall ng isang kumpanya na ginagaya ang isang pagalit na pag-atake ng tagaloob. Hindi ito kailangan ng isang masamang simulation ng empleyado. Ang isang empleyado na ang mga kredensyal ay nakuha bilang resulta ng isang pagtatangka sa phishing ay isang karaniwang panimulang punto.
- Ang blind testing ay kapag ang isang tester ay ibinigay lamang ang pangalan ng kumpanyang sinusuri. Nagbibigay-daan ito sa mga eksperto sa seguridad na makita kung paano maaaring maglaro ang isang aktwal na pag-atake sa application sa real time.
- Double-blind na pagsubok: Sa isang double-blind na pagsubok, hindi alam ng mga propesyonal sa seguridad ang simulate na pag-atake. Hindi na sila magkakaroon ng oras upang itayo ang kanilang mga kuta bago ang isang tangkang paglabag, tulad ng sa totoong mundo.
- Naka-target na pagsubok – sa sitwasyong ito, ang tagasubok at kawani ng seguridad ay nagtutulungan at pinapanatili ang pagsubaybay sa mga galaw ng bawat isa. Ito ay isang mahusay na pagsasanay sa pagsasanay na nagbibigay ng isang security team ng real-time na feedback mula sa pananaw ng isang hacker.
Mga firewall ng web application at pagsubok sa pagtagos
Ang penetration testing at WAF ay dalawang magkahiwalay ngunit komplementaryong mga diskarte sa seguridad. Malamang na magagamit ng tester ang data ng WAF, gaya ng mga log, upang hanapin at pagsamantalahan ang mahihinang bahagi ng isang application sa maraming uri ng pagsubok sa panulat (maliban sa mga blind at double blind na pagsubok).
Sa turn, makakatulong ang data ng pagsubok sa panulat sa mga administrator ng WAF. Kasunod ng pagkumpleto ng isang pagsubok, maaaring baguhin ang mga configuration ng WAF upang maprotektahan laban sa mga bahid na nakita sa panahon ng pagsubok.
Sa wakas, natutugunan ng pagsubok sa panulat ang ilang mga kinakailangan sa pagsunod sa mga pamamaraan ng pag-audit ng seguridad, tulad ng PCI DSS at SOC 2. Ang ilang partikular na kinakailangan, gaya ng PCI-DSS 6.6, ay maaari lamang matugunan kung ang isang sertipikadong WAF ay ginagamit. Gayunpaman, dahil sa mga nabanggit na benepisyo at potensyal na baguhin ang mga setting ng WAF, hindi nito ginagawang hindi gaanong kapaki-pakinabang ang pagsubok sa panulat.
Ano ang kahalagahan ng pagsubok sa seguridad sa web?
Ang layunin ng pagsubok sa seguridad sa web ay upang matukoy ang mga bahid ng seguridad sa mga Web application at ang kanilang setup. Ang application layer ay ang pangunahing target (ibig sabihin, kung ano ang tumatakbo sa HTTP protocol). Ang pagpapadala ng iba't ibang anyo ng input sa isang Web application upang magdulot ng mga problema at gawin ang system na tumugon sa mga hindi inaasahang paraan ay isang karaniwang paraan upang subukan ang seguridad nito. Ang mga "negatibong pagsubok" na ito ay tumitingin upang makita kung ang system ay gumagawa ng anumang bagay na hindi nila nilayon upang magawa.
Mahalaga rin na matanto na ang pagsubok sa seguridad sa Web ay nangangailangan ng higit pa sa pag-verify sa mga tampok ng seguridad ng application (gaya ng pagpapatunay at awtorisasyon). Mahalaga rin na matiyak na ligtas na na-deploy ang iba pang mga feature (hal., logic ng negosyo at ang paggamit ng wastong validation ng input at pag-encode ng output). Ang layunin ay upang matiyak na ang mga function ng Web application ay ligtas.
Ano ang maraming uri ng pagtatasa ng seguridad?
- Pagsubok para sa Dynamic Application Security (DAST). Ang naka-automate na pagsubok sa seguridad ng application na ito ay pinakaangkop para sa mga app na mababa ang panganib at panloob na nakaharap na dapat matugunan ang mga kinakailangan ng regulasyon sa seguridad. Ang pagsasama-sama ng DAST sa ilang manu-manong pagsubok sa online na seguridad para sa mga karaniwang kahinaan ay ang pinakamahusay na diskarte para sa mga medium-risk na app at mahahalagang application na sumasailalim sa maliliit na pagbabago.
- Security Check para sa Static Applications (SAST). Kasama sa diskarte sa seguridad ng application na ito ang parehong awtomatiko at manu-manong mga pamamaraan ng pagsubok. Ito ay perpekto para sa pag-detect ng mga bug nang hindi kinakailangang magpatakbo ng mga app sa isang live na kapaligiran. Pinapayagan din nito ang mga inhinyero na mag-scan ng source code upang makita at ayusin ang mga bahid ng seguridad ng software sa isang sistematikong paraan.
- Pagsusuri sa Pagpasok. Ang manu-manong pagsubok sa seguridad ng application na ito ay mainam para sa mahahalagang aplikasyon, lalo na sa mga dumaranas ng makabuluhang pagbabago. Upang makahanap ng mga advanced na sitwasyon ng pag-atake, ang pagsusuri ay gumagamit ng lohika ng negosyo at pagsubok na nakabatay sa kalaban.
- Application Self-Protection in the Runtime (RASP). Ang lumalagong paraan ng seguridad ng application na ito ay nagsasama ng iba't ibang mga diskarte sa teknolohiya upang magamit ang isang application upang ang mga banta ay mapanood at, sana, mapigilan sa real time habang nangyayari ang mga ito.
Anong papel ang ginagampanan ng pagsubok sa seguridad ng aplikasyon sa pagpapababa ng panganib ng kumpanya?
Kasama sa karamihan ng mga pag-atake sa mga web application ang:
- SQL Injection
- XSS (Cross Site Scripting)
- Remote Command Execution
- Path Traversal Attack
- Pinaghihigpitang pag-access sa nilalaman
- Mga nakompromisong user account
- Pag-install ng nakakahamak na code
- Nawala ang kita sa benta
- Nawawala ang tiwala ng mga customer
- Nakakasira ng reputasyon ng brand
- At marami pang pag-atake
Sa kapaligiran sa Internet ngayon, ang isang Web application ay maaaring mapinsala ng iba't ibang mga hamon. Inilalarawan ng graphic sa itaas ang ilan sa mga pinakakaraniwang pag-atake na ginagawa ng mga umaatake, na ang bawat isa ay maaaring magdulot ng malaking pinsala sa isang indibidwal na aplikasyon o isang buong negosyo. Ang pag-alam sa maraming mga pag-atake na nagiging sanhi ng isang application na mahina, pati na rin ang mga posibleng resulta ng isang pag-atake, ay nagbibigay-daan sa kumpanya na lutasin ang mga kahinaan nang maaga at epektibong subukan ang mga ito.
Ang mga kontrol sa pagpapagaan ay maaaring maitatag sa mga unang yugto ng SDLC upang maiwasan ang anumang mga isyu sa pamamagitan ng pagtukoy sa ugat ng kahinaan. Sa panahon ng pagsubok sa seguridad ng Web application, magagamit din ang kaalaman sa kung paano gumagana ang mga banta na ito upang i-target ang mga kilalang lugar ng interes.
Ang pagkilala sa epekto ng isang pag-atake ay mahalaga din para sa pamamahala sa panganib ng kumpanya, dahil ang mga epekto ng isang matagumpay na pag-atake ay maaaring gamitin upang matukoy ang kalubhaan ng pangkalahatang kahinaan. Kung ang mga kahinaan ay natuklasan sa panahon ng isang pagsubok sa seguridad, ang pagtukoy sa kanilang kalubhaan ay nagbibigay-daan sa kumpanya na unahin ang mga pagsisikap sa remedial nang mas epektibo. Upang mabawasan ang panganib sa kumpanya, magsimula sa mga kritikal na isyu sa kalubhaan at gumawa ng paraan hanggang sa mas mababang epekto.
Bago tukuyin ang isang isyu, ang pagtatasa sa posibleng epekto ng bawat programa sa application library ng kumpanya ay makakatulong sa iyong bigyang-priyoridad ang pagsubok sa seguridad ng aplikasyon. Maaaring i-iskedyul ang pagsubok sa seguridad ng Wenb upang i-target muna ang mga kritikal na aplikasyon ng kumpanya, na may mas naka-target na pagsubok upang mapababa ang panganib laban sa negosyo. Sa isang naitatag na listahan ng mga high-profile na application, ang wenb security testing ay maaaring iiskedyul upang i-target muna ang mga kritikal na aplikasyon ng kumpanya, na may mas naka-target na pagsubok upang mapababa ang panganib laban sa negosyo.
Sa panahon ng pagsubok sa seguridad ng web application, anong mga tampok ang dapat suriin?
Sa panahon ng pagsubok sa seguridad ng Web application, isaalang-alang ang sumusunod na hindi kumpletong listahan ng mga feature. Ang isang hindi epektibong pagpapatupad ng bawat isa ay maaaring magresulta sa mga kahinaan, na naglalagay ng kumpanya sa panganib.
- Configuration ng application at server. Ang mga pag-setup ng encryption/cryptographic, mga configuration ng Web server, at iba pa ay mga halimbawa ng mga potensyal na bahid.
- Pagpapatunay ng paghawak ng input at error Ang hindi magandang pagpoproseso ng input at output ay humahantong sa SQL injection, cross-site scripting (XSS), at iba pang karaniwang isyu sa pag-iniksyon.
- Pagpapatunay at pagpapanatili ng mga sesyon. Mga kahinaan na maaaring humantong sa pagpapanggap ng user. Ang lakas at proteksyon ng kredensyal ay dapat ding isaalang-alang.
- Awtorisasyon. Sinusubukan ang kapasidad ng application na protektahan laban sa patayo at pahalang na pagtaas ng pribilehiyo.
- Logic sa negosyo. Karamihan sa mga program na nagbibigay ng functionality ng negosyo ay umaasa sa mga ito.
- Logic sa dulo ng kliyente. Ang ganitong uri ng tampok ay nagiging mas karaniwan sa mga moderno, mabigat sa JavaScript na mga webpage, gayundin sa mga webpage na gumagamit ng iba pang mga uri ng mga teknolohiya sa panig ng kliyente (hal., Silverlight, Flash, Java applets).
Upang makilala ang iyong sarili nang detalyado sa kurikulum ng sertipikasyon maaari mong palawakin at suriin ang talahanayan sa ibaba.
Ang EITC/IS/WAPT Web Applications Penetration Testing Certification Curriculum ay tumutukoy sa open-access didactic na materyales sa isang video form. Ang proseso ng pagkatuto ay nahahati sa isang hakbang-hakbang na istraktura (mga programa -> mga aralin -> mga paksa) na sumasaklaw sa mga nauugnay na bahagi ng kurikulum. Ang walang limitasyong pagkonsulta sa mga eksperto sa domain ay ibinibigay din.
Para sa mga detalye sa pamamaraan ng Certification check Paano ito Works.
I-download ang kumpletong offline na self-learning preparatory materials para sa EITC/IS/WAPT Web Applications Penetration Testing program sa isang PDF file
Mga materyales sa paghahanda ng EITC/IS/WAPT – karaniwang bersyon
Mga materyales sa paghahanda ng EITC/IS/WAPT – pinahabang bersyon na may mga tanong sa pagsusuri