Ang EITC/IS/WASF Web Applications Security Fundamentals ay ang European IT Certification program sa teoretikal at praktikal na aspeto ng seguridad ng mga serbisyo sa World Wide Web mula sa seguridad ng mga pangunahing web protocol, sa pamamagitan ng privacy, mga pagbabanta at pag-atake sa iba't ibang layer ng komunikasyon sa network ng trapiko sa web, web seguridad ng mga server, seguridad sa mas mataas na mga layer, kabilang ang mga web browser at web application, pati na rin ang pagpapatunay, mga certificate at phising.
Ang kurikulum ng EITC/IS/WASF Web Applications Security Fundamentals ay sumasaklaw sa panimula sa HTML at JavaScript na mga aspeto ng seguridad sa web, DNS, HTTP, cookies, session, cookie at pag-atake ng session, Same Origin Policy, Cross-Site Request Forgery, mga exception sa Parehong Patakaran sa Pinagmulan, Cross-Site Scripting (XSS), Cross-Site Scripting defenses, fingerprinting sa web, privacy sa web, DoS, phishing at side channels, Denial-of-Service, phishing at side channels, pag-atake ng injection, Code injection, transport layer security (TLS) at mga pag-atake, HTTPS sa totoong mundo, pagpapatotoo, WebAuthn, pamamahala sa seguridad sa web, mga alalahanin sa seguridad sa proyekto ng Node.js, seguridad ng server, mga kasanayan sa ligtas na pag-coding, seguridad ng lokal na HTTP server, mga pag-atake sa rebinding ng DNS, pag-atake ng browser, browser arkitektura, pati na rin ang pagsusulat ng secure na browser code, sa loob ng sumusunod na istraktura, na sumasaklaw sa komprehensibong video didactic na nilalaman bilang isang sanggunian para sa EITC Certification na ito.
Ang seguridad ng web application ay isang subset ng seguridad ng impormasyon na nakatutok sa website, web application, at seguridad ng serbisyo sa web. Ang seguridad ng web application, sa pinakapangunahing antas nito, ay batay sa mga prinsipyo ng seguridad ng application, ngunit inilalapat nito ang mga ito partikular na sa internet at mga web platform. Ang mga teknolohiya sa seguridad ng web application, tulad ng mga firewall ng Web application, ay mga espesyal na tool para sa pagtatrabaho sa trapiko ng HTTP.
Ang Open Web Application Security Project (OWASP) ay nag-aalok ng mga mapagkukunan na parehong libre at bukas. Isang non-profit na OWASP Foundation ang namamahala dito. Ang 2017 OWASP Top 10 ay ang kinalabasan ng kasalukuyang pag-aaral batay sa malawak na data na nakalap mula sa mahigit 40 partner na organisasyon. Humigit-kumulang 2.3 milyong kahinaan ang nakita sa mahigit 50,000 application gamit ang data na ito. Ang nangungunang sampung pinaka-kritikal na mga alalahanin sa seguridad ng online application, ayon sa OWASP Top 10 – 2017, ay:
- Iniksyon
- Mga isyu sa pagpapatunay
- Nakalantad na sensitibong data XML na mga panlabas na entity (XXE)
- Access control na hindi gumagana
- Maling pagsasaayos ng seguridad
- Site-to-site scripting (XSS)
- Deserialization na hindi secure
- Paggamit ng mga sangkap na may alam na mga kapintasan
- Ang pag-log at pagsubaybay ay hindi sapat.
Samakatuwid Ang kasanayan ng pagtatanggol sa mga website at online na serbisyo laban sa iba't ibang banta sa seguridad na nagsasamantala sa mga kahinaan sa code ng isang application ay kilala bilang web application security. Ang mga system sa pamamahala ng nilalaman (hal., WordPress), mga tool sa pangangasiwa ng database (hal., phpMyAdmin), at mga SaaS app ay lahat ng karaniwang target para sa mga online na pag-atake sa application.
Ang mga web application ay itinuturing na mataas na priyoridad na mga target ng mga may kasalanan dahil:
- Dahil sa pagkasalimuot ng kanilang source code, mas malamang ang mga hindi nag-aalaga na kahinaan at malisyosong pagbabago ng code.
- Mga reward na mataas ang halaga, gaya ng sensitibong personal na impormasyong nakuha sa pamamagitan ng epektibong source code tampering.
- Ang kadalian ng pagpapatupad, dahil ang karamihan sa mga pag-atake ay maaaring madaling awtomatiko at i-deploy nang walang pinipili laban sa libu-libo, sampu, o kahit na daan-daang libong mga target nang sabay-sabay.
- Ang mga organisasyong nabigong pangalagaan ang kanilang mga web application ay mahina sa pag-atake. Maaari itong humantong sa pagnanakaw ng data, mahirap na relasyon sa kliyente, nakanselang lisensya, at legal na aksyon, bukod sa iba pang mga bagay.
Mga kahinaan sa mga website
Ang mga depekto sa sanitization ng input/output ay karaniwan sa mga web application, at madalas silang pinagsamantalahan upang baguhin ang source code o makakuha ng hindi awtorisadong pag-access.
Ang mga bahid na ito ay nagbibigay-daan para sa pagsasamantala ng iba't ibang mga vector ng pag-atake, kabilang ang:
- SQL Injection – Kapag ang isang perpetrator ay nagmamanipula ng isang backend database na may malisyosong SQL code, ang impormasyon ay ibinubunyag. Ang iligal na pag-browse sa listahan, pagtanggal ng talahanayan, at hindi awtorisadong pag-access ng administrator ay kabilang sa mga kahihinatnan.
- Ang XSS (Cross-site Scripting) ay isang pag-atake sa iniksyon na nagta-target sa mga user upang makakuha ng access sa mga account, i-activate ang mga Trojan, o baguhin ang nilalaman ng pahina. Kapag direktang na-inject ang malisyosong code sa isang application, ito ay kilala bilang stored XSS. Kapag na-mirror ang nakakahamak na script mula sa isang application papunta sa browser ng user, ito ay kilala bilang reflected XSS.
- Malayong Pagsasama ng File - Ang paraan ng pag-atake na ito ay nagpapahintulot sa isang hacker na mag-inject ng isang file sa isang web application server mula sa isang malayong lokasyon. Maaari itong humantong sa mga mapanganib na script o code na isinasagawa sa loob ng app, pati na rin ang pagnanakaw o pagbabago ng data.
- Cross-site Request Forgery (CSRF) – Isang uri ng pag-atake na maaaring magresulta sa hindi sinasadyang paglilipat ng pera, pagbabago ng password, o pagnanakaw ng data. Ito ay nangyayari kapag ang isang nakakahamak na web program ay nag-utos sa browser ng isang user na magsagawa ng isang hindi gustong aksyon sa isang website kung saan sila naka-log in.
Sa teorya, ang epektibong pag-input/output sanitization ay maaaring puksain ang lahat ng mga kahinaan, na nagiging sanhi ng isang application na hindi tinatablan ng hindi awtorisadong pagbabago.
Gayunpaman, dahil ang karamihan sa mga programa ay nasa isang walang hanggang estado ng pag-unlad, ang komprehensibong sanitization ay bihirang isang praktikal na opsyon. Higit pa rito, ang mga app ay karaniwang pinagsama sa isa't isa, na nagreresulta sa isang naka-code na kapaligiran na nagiging mas kumplikado.
Upang maiwasan ang mga ganitong panganib, dapat ipatupad ang mga solusyon at proseso sa seguridad ng web application, tulad ng sertipikasyon ng PCI Data Security Standard (PCI DSS).
Firewall para sa mga web application (WAF)
Ang mga WAF (mga web application firewall) ay mga solusyon sa hardware at software na nagpoprotekta sa mga application mula sa mga banta sa seguridad. Ang mga solusyong ito ay idinisenyo upang siyasatin ang papasok na trapiko upang matukoy at harangan ang mga pagtatangka sa pag-atake, upang mabayaran ang anumang mga bahid ng code sanitization.
Ang pag-deploy ng WAF ay tumutugon sa isang mahalagang pamantayan para sa sertipikasyon ng PCI DSS sa pamamagitan ng pagprotekta sa data laban sa pagnanakaw at pagbabago. Ang lahat ng data ng credit at debit cardholder na pinananatili sa isang database ay dapat protektahan, ayon sa Kinakailangan 6.6.
Dahil inuuna ito sa DMZ nito sa gilid ng network, ang pagtatatag ng WAF ay karaniwang hindi nangangailangan ng anumang mga pagbabago sa isang aplikasyon. Pagkatapos ay nagsisilbi itong gateway para sa lahat ng papasok na trapiko, sinasala ang mga mapanganib na kahilingan bago sila makipag-ugnayan sa isang application.
Upang masuri kung aling trapiko ang pinapayagang ma-access sa isang aplikasyon at kung alin ang kailangang alisin, gumagamit ang mga WAF ng iba't ibang heuristic. Mabilis nilang matutukoy ang mga malisyosong aktor at kilalang attack vectors salamat sa isang regular na na-update na signature pool.
Halos lahat ng WAF ay maaaring iayon sa mga indibidwal na kaso ng paggamit at mga regulasyon sa seguridad, pati na rin ang paglaban sa mga umuusbong (kilala rin bilang zero-day) na mga banta. Panghuli, para makakuha ng mga karagdagang insight sa mga papasok na bisita, karamihan sa mga modernong solusyon ay gumagamit ng data ng reputasyon at gawi.
Upang makabuo ng isang perimeter ng seguridad, ang mga WAF ay karaniwang pinagsama sa mga karagdagang solusyon sa seguridad. Maaaring kabilang dito ang mga distributed denial-of-service (DDoS) na mga serbisyo sa pag-iwas, na nagbibigay ng karagdagang scalability na kinakailangan upang maiwasan ang mataas na dami ng pag-atake.
Checklist para sa seguridad ng web application
Mayroong iba't ibang mga diskarte para sa pag-iingat sa mga web app bilang karagdagan sa mga WAF. Ang anumang checklist ng seguridad ng web application ay dapat magsama ng mga sumusunod na pamamaraan:
- Pagkolekta ng data — Suriin ang application sa pamamagitan ng kamay, naghahanap ng mga entry point at client-side code. I-classify ang content na hino-host ng isang third party.
- Awtorisasyon — Maghanap ng mga pinagdaraang landas, patayo at pahalang na mga isyu sa kontrol sa pag-access, nawawalang awtorisasyon, at hindi secure, direktang mga sanggunian sa bagay kapag sinusubukan ang application.
- I-secure ang lahat ng pagpapadala ng data gamit ang cryptography. Mayroon bang anumang sensitibong impormasyon ang na-encrypt? Gumamit ka na ba ng anumang mga algorithm na hindi sapat sa snuff? Mayroon bang anumang randomness error?
- Pagtanggi sa serbisyo — Pagsubok para sa anti-automation, lockout ng account, HTTP protocol DoS, at SQL wildcard DoS upang pahusayin ang katatagan ng application laban sa mga pag-atake ng pagtanggi sa serbisyo. Hindi kasama dito ang seguridad laban sa mataas na dami ng pag-atake ng DoS at DDoS, na nangangailangan ng halo ng mga teknolohiya sa pag-filter at mga nasusukat na mapagkukunan upang labanan.
Para sa karagdagang mga detalye, maaaring tingnan ng isa ang OWASP Web Application Security Testing Cheat Sheet (ito rin ay isang mahusay na mapagkukunan para sa iba pang mga paksang nauugnay sa seguridad).
Proteksyon ng DDoS
Ang mga pag-atake ng DDoS, o mga distributed denial-of-service na pag-atake, ay isang karaniwang paraan upang matakpan ang isang web application. Mayroong ilang mga diskarte para sa pagpapagaan ng mga pag-atake sa DDoS, kabilang ang pagtatapon ng volumetric na pag-atake ng trapiko sa Content Delivery Networks (CDNs) at paggamit ng mga panlabas na network upang naaangkop na iruta ang mga tunay na kahilingan nang hindi nagdudulot ng pagkaantala ng serbisyo.
Proteksyon ng DNSSEC (Domain Name System Security Extension).
Ang sistema ng domain name, o DNS, ay ang phonebook ng Internet, at ipinapakita nito kung paano nahahanap ng isang tool sa Internet, tulad ng isang web browser, ang nauugnay na server. Ang pagkalason sa cache ng DNS, mga on-path na pag-atake, at iba pang paraan ng pakikialam sa lifecycle ng paghahanap ng DNS ay gagamitin ng mga masasamang aktor upang i-hijack ang proseso ng paghiling ng DNS na ito. Kung ang DNS ay phone book ng Internet, ang DNSSEC ay unspoofable caller ID. Maaaring protektahan ang isang kahilingan sa paghahanap ng DNS gamit ang teknolohiyang DNSSEC.
Upang makilala ang iyong sarili nang detalyado sa kurikulum ng sertipikasyon maaari mong palawakin at suriin ang talahanayan sa ibaba.
Ang EITC/IS/WASF Web Applications Security Fundamentals Certification Curriculum ay tumutukoy sa open-access na mga didactic na materyales sa isang video form. Ang proseso ng pagkatuto ay nahahati sa isang hakbang-hakbang na istraktura (mga programa -> mga aralin -> mga paksa) na sumasaklaw sa mga nauugnay na bahagi ng kurikulum. Ang walang limitasyong pagkonsulta sa mga eksperto sa domain ay ibinibigay din.
Para sa mga detalye sa pamamaraan ng Certification check Paano ito Works.
I-download ang kumpletong offline na self-learning preparatory materials para sa EITC/IS/WASF Web Applications Security Fundamentals program sa isang PDF file
Mga materyales sa paghahanda ng EITC/IS/WASF – karaniwang bersyon
Mga materyales sa paghahanda ng EITC/IS/WASF – pinahabang bersyon na may mga tanong sa pagsusuri