Asas Keselamatan Aplikasi Web EITC/IS/WASF ialah program Pensijilan IT Eropah mengenai aspek teori dan praktikal keselamatan perkhidmatan World Wide Web daripada keselamatan protokol web asas, melalui privasi, ancaman dan serangan pada lapisan komunikasi rangkaian trafik web yang berbeza, web keselamatan pelayan, keselamatan dalam lapisan yang lebih tinggi, termasuk pelayar web dan aplikasi web, serta pengesahan, sijil dan pancingan data.
Kurikulum Asas Keselamatan Aplikasi Web EITC/IS/WASF merangkumi pengenalan kepada aspek keselamatan web HTML dan JavaScript, DNS, HTTP, kuki, sesi, kuki dan serangan sesi, Dasar Asal yang Sama, Pemalsuan Permintaan Merentas Tapak, pengecualian kepada yang Sama. Dasar Asal, Skrip Merentas Tapak (XSS), Skrip Merentas Tapak pertahanan, cap jari web, privasi di web, DoS, pancingan data dan saluran sampingan, Penafian Perkhidmatan, pancingan data dan saluran sampingan, serangan suntikan, Suntikan kod, pengangkutan keselamatan lapisan (TLS) dan serangan, HTTPS dalam dunia nyata, pengesahan, WebAuthn, mengurus keselamatan web, kebimbangan keselamatan dalam projek Node.js, keselamatan pelayan, amalan pengekodan selamat, keselamatan pelayan HTTP tempatan, serangan mengikat semula DNS, serangan penyemak imbas, penyemak imbas seni bina, serta menulis kod penyemak imbas selamat, dalam struktur berikut, merangkumi kandungan didaktik video yang komprehensif sebagai rujukan untuk Pensijilan EITC ini.
Keselamatan aplikasi web ialah subset keselamatan maklumat yang memfokuskan pada tapak web, aplikasi web dan keselamatan perkhidmatan web. Keselamatan aplikasi web, pada tahap paling asasnya, adalah berdasarkan prinsip keselamatan aplikasi, tetapi ia digunakan terutamanya pada platform internet dan web. Teknologi keselamatan aplikasi web, seperti tembok api aplikasi Web, adalah alat khusus untuk bekerja dengan trafik HTTP.
Projek Keselamatan Aplikasi Web Terbuka (OWASP) menawarkan sumber yang percuma dan terbuka. Yayasan OWASP bukan untung bertanggungjawab ke atasnya. 2017 Teratas OWASP 10 ialah hasil kajian semasa berdasarkan data meluas yang dikumpul daripada lebih 40 organisasi rakan kongsi. Kira-kira 2.3 juta kelemahan telah dikesan merentas lebih 50,000 aplikasi menggunakan data ini. Sepuluh kebimbangan keselamatan aplikasi dalam talian yang paling kritikal, menurut 10 Teratas OWASP – 2017, ialah:
- Suntikan
- Isu pengesahan
- Entiti luaran XML data sensitif terdedah (XXE)
- Kawalan akses yang tidak berfungsi
- Salah konfigurasi keselamatan
- Skrip tapak ke tapak (XSS)
- Penyahserialisasian yang tidak selamat
- Menggunakan komponen yang mempunyai kelemahan yang diketahui
- Pembalakan dan pemantauan tidak mencukupi.
Oleh itu, amalan mempertahankan laman web dan perkhidmatan dalam talian terhadap pelbagai ancaman keselamatan yang mengeksploitasi kelemahan dalam kod aplikasi dikenali sebagai keselamatan aplikasi web. Sistem pengurusan kandungan (cth, WordPress), alat pentadbiran pangkalan data (cth, phpMyAdmin), dan apl SaaS semuanya adalah sasaran biasa untuk serangan aplikasi dalam talian.
Aplikasi web dianggap sebagai sasaran keutamaan tinggi oleh pelaku kerana:
- Kerana kerumitan kod sumber mereka, kerentanan tanpa pengawasan dan pengubahsuaian kod berniat jahat lebih berkemungkinan.
- Ganjaran bernilai tinggi, seperti maklumat peribadi sensitif yang diperoleh melalui pengubahan kod sumber yang berkesan.
- Kemudahan pelaksanaan, kerana kebanyakan serangan boleh diautomasikan dengan mudah dan digunakan secara sembarangan terhadap beribu-ribu, berpuluh-puluh atau bahkan ratusan ribu sasaran sekaligus.
- Organisasi yang gagal melindungi aplikasi web mereka terdedah kepada serangan. Ini boleh menyebabkan kecurian data, hubungan pelanggan yang tegang, lesen yang dibatalkan dan tindakan undang-undang, antara lain.
Kerentanan dalam laman web
Kelemahan pembersihan input/output adalah perkara biasa dalam aplikasi web, dan ia sering dieksploitasi untuk sama ada menukar kod sumber atau mendapatkan akses tanpa kebenaran.
Kelemahan ini membolehkan eksploitasi pelbagai vektor serangan, termasuk:
- SQL Injection - Apabila pelaku memanipulasi pangkalan data bahagian belakang dengan kod SQL yang berniat jahat, maklumat akan didedahkan. Penyemakan imbas senarai yang tidak sah, pemadaman jadual dan akses pentadbir tanpa kebenaran adalah antara akibatnya.
- XSS (Cross-site Scripting) ialah serangan suntikan yang menyasarkan pengguna untuk mendapatkan akses kepada akaun, mengaktifkan Trojan atau menukar kandungan halaman. Apabila kod hasad disuntik terus ke dalam aplikasi, ini dikenali sebagai XSS yang disimpan. Apabila skrip hasad dicerminkan daripada aplikasi ke penyemak imbas pengguna, ini dikenali sebagai XSS tercermin.
- Kemasukan Fail Jauh – Bentuk serangan ini membolehkan penggodam menyuntik fail ke dalam pelayan aplikasi web dari lokasi terpencil. Ini boleh menyebabkan skrip atau kod berbahaya dilaksanakan dalam apl, serta kecurian atau pengubahsuaian data.
- Pemalsuan Permintaan Rentas Tapak (CSRF) – Jenis serangan yang boleh mengakibatkan pemindahan wang tunai yang tidak disengajakan, perubahan kata laluan atau kecurian data. Ia berlaku apabila program web berniat jahat mengarahkan penyemak imbas pengguna untuk melakukan tindakan yang tidak diingini pada tapak web yang mereka log masuk.
Secara teorinya, sanitasi input/output yang berkesan mungkin menghapuskan semua kelemahan, menjadikan aplikasi tahan terhadap pengubahsuaian tanpa kebenaran.
Walau bagaimanapun, kerana kebanyakan program berada dalam keadaan pembangunan yang berterusan, pembersihan menyeluruh jarang menjadi pilihan yang berdaya maju. Tambahan pula, aplikasi biasanya disepadukan antara satu sama lain, menghasilkan persekitaran berkod yang menjadi semakin kompleks.
Untuk mengelakkan bahaya tersebut, penyelesaian dan proses keselamatan aplikasi web, seperti pensijilan PCI Data Security Standard (PCI DSS), harus dilaksanakan.
Firewall untuk aplikasi web (WAF)
WAF (tembok api aplikasi web) ialah penyelesaian perkakasan dan perisian yang melindungi aplikasi daripada ancaman keselamatan. Penyelesaian ini direka bentuk untuk memeriksa trafik masuk untuk mengesan dan menyekat percubaan serangan, mengimbangi sebarang kelemahan pembersihan kod.
Penggunaan WAF menangani kriteria penting untuk pensijilan PCI DSS dengan melindungi data daripada kecurian dan pengubahsuaian. Semua data pemegang kad kredit dan debit yang disimpan dalam pangkalan data mesti dilindungi, mengikut Keperluan 6.6.
Kerana ia diletakkan di hadapan DMZnya di pinggir rangkaian, mewujudkan WAF biasanya tidak memerlukan sebarang perubahan pada aplikasi. Ia kemudiannya berfungsi sebagai pintu masuk untuk semua trafik masuk, menapis permintaan berbahaya sebelum mereka boleh berinteraksi dengan aplikasi.
Untuk menilai trafik yang dibenarkan akses kepada aplikasi dan yang perlu disingkirkan, WAF menggunakan pelbagai heuristik. Mereka boleh mengenal pasti pelakon berniat jahat dan vektor serangan yang diketahui dengan cepat terima kasih kepada kumpulan tandatangan yang sentiasa dikemas kini.
Hampir semua WAF mungkin disesuaikan dengan kes penggunaan individu dan peraturan keselamatan, serta memerangi ancaman yang muncul (juga dikenali sebagai sifar hari). Akhir sekali, untuk memperoleh cerapan tambahan tentang pelawat masuk, kebanyakan penyelesaian moden menggunakan data reputasi dan tingkah laku.
Untuk membina perimeter keselamatan, WAF biasanya digabungkan dengan penyelesaian keselamatan tambahan. Ini boleh termasuk perkhidmatan pencegahan penafian perkhidmatan (DDoS) yang diedarkan, yang memberikan skalabiliti tambahan yang diperlukan untuk mencegah serangan volum tinggi.
Senarai semak untuk keselamatan aplikasi web
Terdapat pelbagai pendekatan untuk melindungi apl web selain WAF. Sebarang senarai semak keselamatan aplikasi web hendaklah mengandungi prosedur berikut:
- Mengumpul data — Semak aplikasi dengan tangan, cari titik masuk dan kod pihak pelanggan. Kelaskan kandungan yang dihoskan oleh pihak ketiga.
- Keizinan — Cari laluan laluan, isu kawalan capaian menegak dan mendatar, keizinan yang tiada, dan rujukan objek langsung yang tidak selamat semasa menguji aplikasi.
- Lindungi semua penghantaran data dengan kriptografi. Adakah sebarang maklumat sensitif telah disulitkan? Pernahkah anda menggunakan sebarang algoritma yang tidak sesuai? Adakah terdapat sebarang ralat rawak?
- Penafian perkhidmatan — Ujian untuk anti-automasi, kunci akaun, protokol HTTP DoS dan SQL kad bebas DoS untuk meningkatkan daya tahan aplikasi terhadap serangan penafian perkhidmatan. Ini tidak termasuk keselamatan terhadap serangan DoS dan DDoS volum tinggi, yang memerlukan gabungan teknologi penapisan dan sumber berskala untuk ditentang.
Untuk butiran lanjut, seseorang boleh menyemak Helaian Penipuan Ujian Keselamatan Aplikasi Web OWASP (ia juga merupakan sumber yang hebat untuk topik berkaitan keselamatan yang lain).
Perlindungan DDoS
Serangan DDoS, atau serangan penafian perkhidmatan yang diedarkan, adalah cara biasa untuk mengganggu aplikasi web. Terdapat beberapa pendekatan untuk mengurangkan serangan DDoS, termasuk membuang trafik serangan volumetrik di Rangkaian Penghantaran Kandungan (CDN) dan menggunakan rangkaian luaran untuk menghalakan permintaan tulen dengan sewajarnya tanpa menyebabkan gangguan perkhidmatan.
Perlindungan DNSSEC (Sambungan Keselamatan Sistem Nama Domain).
Sistem nama domain, atau DNS, ialah buku telefon Internet, dan ia mencerminkan cara alat Internet, seperti pelayar web, mencari pelayan yang berkaitan. Keracunan cache DNS, serangan atas laluan dan cara lain untuk mengganggu kitaran hayat carian DNS akan digunakan oleh pelaku jahat untuk merampas proses permintaan DNS ini. Jika DNS ialah buku telefon Internet, DNSSEC ialah ID pemanggil yang tidak boleh dipalsukan. Permintaan carian DNS boleh dilindungi menggunakan teknologi DNSSEC.
Untuk membiasakan diri anda secara terperinci dengan kurikulum pensijilan, anda boleh mengembangkan dan menganalisis jadual di bawah.
Kurikulum Pensijilan Asas Keselamatan Aplikasi Web EITC/IS/WASF merujuk bahan didaktik akses terbuka dalam bentuk video. Proses pembelajaran dibahagikan kepada struktur langkah demi langkah (program -> pelajaran -> topik) yang merangkumi bahagian kurikulum yang berkaitan. Perundingan tanpa had dengan pakar domain juga disediakan.
Untuk butiran mengenai pemeriksaan prosedur Pensijilan Bagaimana ia berfungsi.
Muat turun bahan persediaan pembelajaran kendiri luar talian yang lengkap untuk program Asas Keselamatan Aplikasi Web EITC/IS/WASF dalam fail PDF
Bahan persediaan EITC/IS/WASF – versi standard
Bahan persediaan EITC/IS/WASF – versi lanjutan dengan soalan semakan