Ujian Penembusan Aplikasi Web EITC/IS/WAPT ialah program Pensijilan IT Eropah mengenai aspek teori dan praktikal bagi ujian penembusan aplikasi web (penggodaman putih), termasuk pelbagai teknik untuk teknik pengelasan, pengimbasan dan serangan tapak web, termasuk alat dan suite ujian penembusan khusus .
Kurikulum Ujian Penembusan Aplikasi Web EITC/IS/WAPT merangkumi pengenalan kepada Burp Suite, web spridering dan DVWA, ujian brute force dengan Burp Suite, pengesanan tembok api aplikasi web (WAF) dengan WAFW00F, skop sasaran dan penjejakan, menemui fail tersembunyi dengan ZAP, pengimbasan kerentanan WordPress dan penghitungan nama pengguna, imbasan pengimbang beban, skrip merentas tapak, XSS – dicerminkan, disimpan dan DOM, serangan proksi, mengkonfigurasi proksi dalam ZAP, serangan fail dan direktori, penemuan fail dan direktori dengan DirBuster, amalan serangan web , Kedai Jus OWASP, CSRF – Pemalsuan Permintaan Silang Tapak, pengumpulan kuki dan kejuruteraan terbalik, Atribut HTTP – mencuri kuki, suntikan SQL, DotDotPwn – kabur lintasan direktori, suntikan iframe dan suntikan HTML, Eksploitasi Heartbleed – penemuan dan eksploitasi, suntikan kod PHP, bWAPP – Suntikan HTML, POST tercermin, suntikan arahan OS dengan Commix, bahagian pelayan termasuk suntikan SSI, pentesting dalam Docker, OverTheWire Natas, LFI dan suntikan arahan, penggodaman Google untuk pentesting, Google Dorks Untuk ujian penembusan, Apache2 ModSecurity, serta Nginx ModSecurity, dalam struktur berikut, merangkumi kandungan didaktik video yang komprehensif sebagai rujukan untuk Pensijilan EITC ini.
Keselamatan aplikasi web (sering dirujuk sebagai Web AppSec) ialah konsep mereka bentuk laman web untuk berfungsi secara normal walaupun ia diserang. Tanggapan ini adalah menyepadukan satu set langkah keselamatan ke dalam aplikasi Web untuk melindungi asetnya daripada ejen yang bermusuhan. Aplikasi web, seperti semua perisian, terdedah kepada kecacatan. Beberapa kelemahan ini adalah kelemahan sebenar yang boleh dieksploitasi, menimbulkan risiko kepada perniagaan. Kepincangan tersebut dilindungi daripada melalui keselamatan aplikasi web. Ia memerlukan penggunaan pendekatan pembangunan selamat dan meletakkan kawalan keselamatan sepanjang kitaran hayat pembangunan perisian (SDLC), memastikan kelemahan reka bentuk dan isu pelaksanaan ditangani. Ujian penembusan dalam talian, yang dijalankan oleh pakar yang bertujuan untuk mendedahkan dan mengeksploitasi kelemahan aplikasi web menggunakan apa yang dipanggil pendekatan penggodaman putih, adalah amalan penting untuk membolehkan pertahanan yang sesuai.
Ujian penembusan web, juga dikenali sebagai ujian pen web, mensimulasikan serangan siber pada aplikasi web untuk mencari kelemahan yang boleh dieksploitasi. Ujian penembusan kerap digunakan untuk menambah tembok api aplikasi web dalam konteks keselamatan aplikasi web (WAF). Ujian pen, secara amnya, memerlukan percubaan untuk menembusi sebarang bilangan sistem aplikasi (cth, API, pelayan bahagian hadapan/belakang) untuk mencari kelemahan, seperti input tidak bersih yang terdedah kepada serangan suntikan kod.
Penemuan ujian penembusan dalam talian boleh digunakan untuk mengkonfigurasi dasar keselamatan WAF dan menangani kelemahan yang ditemui.
Ujian penembusan mempunyai lima langkah.
Prosedur ujian pen dibahagikan kepada lima langkah.
- Perancangan dan pengakap
Mentakrifkan skop dan matlamat sesuatu ujian, termasuk sistem yang akan ditangani dan metodologi ujian yang akan digunakan, adalah peringkat pertama.
Untuk mendapatkan pemahaman yang lebih baik tentang cara sasaran berfungsi dan potensi kelemahannya, kumpulkan kecerdasan (cth, rangkaian dan nama domain, pelayan mel). - Mengimbas
Peringkat seterusnya adalah untuk memikirkan bagaimana aplikasi sasaran akan bertindak balas terhadap pelbagai jenis percubaan pencerobohan. Ini biasanya dicapai dengan menggunakan kaedah berikut:
Analisis statik – Memeriksa kod aplikasi untuk meramalkan bagaimana ia akan berkelakuan apabila ia dijalankan. Dalam satu laluan, alatan ini boleh mengimbas keseluruhan kod.
Analisis dinamik ialah proses memeriksa kod aplikasi semasa ia beroperasi. Kaedah pengimbasan ini lebih praktikal kerana ia memberikan paparan masa nyata prestasi aplikasi. - Mendapatkan akses
Untuk mencari kelemahan sasaran, langkah ini menggunakan serangan aplikasi web seperti skrip merentas tapak, suntikan SQL dan pintu belakang. Untuk memahami kerosakan yang mungkin ditimbulkan oleh kelemahan ini, penguji cuba mengeksploitasinya dengan meningkatkan keistimewaan, mencuri data, memintas lalu lintas dan sebagainya. - Menjaga akses
Tujuan peringkat ini adalah untuk menilai sama ada kelemahan boleh dieksploitasi untuk mewujudkan kehadiran jangka panjang dalam sistem yang terjejas, membenarkan pelakon yang tidak baik mendapat akses yang mendalam. Matlamatnya adalah untuk meniru ancaman berterusan lanjutan, yang boleh kekal dalam sistem selama berbulan-bulan untuk mencuri maklumat paling sensitif syarikat. - Analisis
Keputusan ujian penembusan kemudiannya dimasukkan ke dalam laporan yang merangkumi maklumat seperti:
Kelemahan yang dieksploitasi secara terperinci
Data yang diperolehi adalah sensitif
Tempoh masa penguji pen dapat kekal tanpa disedari dalam sistem.
Pakar keselamatan menggunakan data ini untuk membantu mengkonfigurasi tetapan WAF perusahaan dan penyelesaian keselamatan aplikasi lain untuk menambal kelemahan dan mencegah serangan selanjutnya.
Kaedah ujian penembusan
- Ujian penembusan luaran memfokuskan pada aset firma yang boleh dilihat di internet, seperti aplikasi web itu sendiri, tapak web syarikat, serta e-mel dan pelayan nama domain (DNS). Objektifnya adalah untuk mendapatkan akses dan mengekstrak maklumat yang berguna.
- Ujian dalaman memerlukan penguji yang mempunyai akses kepada aplikasi di sebalik tembok api syarikat yang mensimulasikan serangan orang dalam yang bermusuhan. Ini tidak memerlukan simulasi pekerja yang jahat. Pekerja yang kelayakannya diperoleh hasil daripada percubaan pancingan data adalah titik permulaan yang biasa.
- Ujian buta ialah apabila penguji hanya diberikan nama syarikat yang sedang diuji. Ini membolehkan pakar keselamatan melihat cara serangan aplikasi sebenar mungkin berlaku dalam masa nyata.
- Ujian dua buta: Dalam ujian dua buta, profesional keselamatan tidak menyedari serangan simulasi itu terlebih dahulu. Mereka tidak akan mempunyai masa untuk menguatkan kubu mereka sebelum percubaan menceroboh, sama seperti di dunia nyata.
- Ujian yang disasarkan – dalam senario ini, penguji dan kakitangan keselamatan bekerjasama dan menjejaki pergerakan masing-masing. Ini adalah latihan latihan yang sangat baik yang memberikan maklum balas masa nyata pasukan keselamatan daripada perspektif penggodam.
Tembok api aplikasi web dan ujian penembusan
Ujian penembusan dan WAF adalah dua teknik keselamatan yang berasingan tetapi saling melengkapi. Penguji mungkin akan memanfaatkan data WAF, seperti log, untuk mencari dan mengeksploitasi kawasan lemah aplikasi dalam banyak jenis ujian pen (kecuali ujian buta dan buta dua kali).
Sebaliknya, data ujian pen boleh membantu pentadbir WAF. Selepas selesai ujian, konfigurasi WAF boleh diubah suai untuk melindungi daripada kecacatan yang dikesan semasa ujian.
Akhir sekali, ujian pen memenuhi keperluan pematuhan kaedah pengauditan keselamatan tertentu, seperti PCI DSS dan SOC 2. Keperluan tertentu, seperti PCI-DSS 6.6, hanya boleh dipenuhi jika WAF yang diperakui digunakan. Walau bagaimanapun, disebabkan faedah yang dinyatakan di atas dan potensi untuk mengubah suai tetapan WAF, ini tidak menjadikan ujian pen menjadi kurang berguna.
Apakah kepentingan ujian keselamatan web?
Matlamat ujian keselamatan web adalah untuk mengenal pasti kelemahan keselamatan dalam aplikasi Web dan persediaannya. Lapisan aplikasi ialah sasaran utama (iaitu, apa yang berjalan pada protokol HTTP). Menghantar pelbagai bentuk input kepada aplikasi Web untuk menimbulkan masalah dan membuat sistem bertindak balas dengan cara yang tidak dijangka adalah pendekatan biasa untuk menguji keselamatannya. "Ujian negatif" ini melihat untuk melihat sama ada sistem melakukan apa-apa yang tidak bertujuan untuk dicapai.
Ia juga penting untuk menyedari bahawa ujian keselamatan Web memerlukan lebih daripada sekadar mengesahkan ciri keselamatan aplikasi (seperti pengesahan dan kebenaran). Ia juga penting untuk memastikan ciri lain digunakan dengan selamat (cth, logik perniagaan dan penggunaan pengesahan input dan pengekodan output yang betul). Tujuannya adalah untuk memastikan bahawa fungsi aplikasi Web adalah selamat.
Apakah jenis penilaian keselamatan?
- Ujian untuk Keselamatan Aplikasi Dinamik (DAST). Ujian keselamatan aplikasi automatik ini paling sesuai untuk apl berisiko rendah, menghadapi dalaman yang mesti memenuhi keperluan keselamatan kawal selia. Menggabungkan DAST dengan beberapa ujian keselamatan dalam talian manual untuk kelemahan biasa ialah strategi terbaik untuk apl berisiko sederhana dan aplikasi penting yang mengalami perubahan kecil.
- Pemeriksaan Keselamatan untuk Aplikasi Statik (SAST). Strategi keselamatan aplikasi ini termasuk kaedah ujian automatik dan manual. Ia sesuai untuk mengesan pepijat tanpa perlu menjalankan apl dalam persekitaran langsung. Ia juga membolehkan jurutera mengimbas kod sumber untuk mengesan dan membetulkan kecacatan keselamatan perisian dengan cara yang sistematik.
- Peperiksaan Penembusan. Ujian keselamatan aplikasi manual ini sesuai untuk aplikasi penting, terutamanya yang sedang mengalami perubahan ketara. Untuk mencari senario serangan lanjutan, penilaian menggunakan logik perniagaan dan ujian berasaskan musuh.
- Perlindungan Diri Aplikasi dalam Masa Jalan (RASP). Kaedah keselamatan aplikasi yang semakin berkembang ini menggabungkan pelbagai teknik teknologi untuk memperalatkan aplikasi supaya ancaman boleh diperhatikan dan, mudah-mudahan, dicegah dalam masa nyata apabila ia berlaku.
Apakah peranan yang dimainkan oleh ujian keselamatan aplikasi dalam mengurangkan risiko syarikat?
Sebilangan besar serangan terhadap aplikasi web termasuk:
- Suntikan SQL
- XSS (Skrip Merentas Tapak)
- Pelaksanaan Perintah Jauh
- Serangan Traversal Laluan
- Akses kandungan terhad
- Akaun pengguna terjejas
- Pemasangan kod hasad
- Hasil jualan hilang
- Kepercayaan pelanggan semakin terhakis
- Reputasi jenama merosakkan
- Dan banyak lagi serangan lain
Dalam persekitaran Internet hari ini, aplikasi Web mungkin terjejas oleh pelbagai cabaran. Grafik di atas menggambarkan beberapa serangan paling biasa yang dilakukan oleh penyerang, setiap satunya boleh menyebabkan kerosakan yang ketara pada aplikasi individu atau keseluruhan perniagaan. Mengetahui banyak serangan yang menyebabkan aplikasi terdedah, serta kemungkinan hasil serangan, membolehkan syarikat menyelesaikan kelemahan lebih awal dan mengujinya dengan berkesan.
Kawalan mitigasi boleh diwujudkan sepanjang fasa awal SDLC untuk mengelakkan sebarang isu dengan mengenal pasti punca kelemahan. Semasa ujian keselamatan aplikasi Web, pengetahuan tentang cara ancaman ini berfungsi juga boleh digunakan untuk menyasarkan tempat menarik yang diketahui.
Menyedari kesan serangan juga penting untuk mengurus risiko syarikat, kerana kesan serangan yang berjaya boleh digunakan untuk menentukan tahap kelemahan secara keseluruhan. Jika kelemahan ditemui semasa ujian keselamatan, menentukan keterukan mereka membolehkan syarikat mengutamakan usaha pembaikan dengan lebih berkesan. Untuk mengurangkan risiko kepada syarikat, mulakan dengan isu keterukan yang kritikal dan lakukan langkah ke bawah kepada isu yang memberi impak yang lebih rendah.
Sebelum mengenal pasti isu, menilai kemungkinan kesan setiap program dalam pustaka aplikasi syarikat akan membantu anda mengutamakan ujian keselamatan aplikasi. Ujian keselamatan Wenb boleh dijadualkan untuk menyasarkan aplikasi kritikal firma terlebih dahulu, dengan ujian yang lebih disasarkan untuk mengurangkan risiko terhadap perniagaan. Dengan senarai aplikasi berprofil tinggi yang ditetapkan, ujian keselamatan wenb boleh dijadualkan untuk menyasarkan aplikasi kritikal firma terlebih dahulu, dengan ujian yang lebih disasarkan untuk mengurangkan risiko terhadap perniagaan.
Semasa ujian keselamatan aplikasi web, apakah ciri yang perlu diperiksa?
Semasa ujian keselamatan aplikasi Web, pertimbangkan senarai ciri yang tidak lengkap berikut. Pelaksanaan yang tidak berkesan bagi setiap satu boleh mengakibatkan kelemahan, meletakkan syarikat dalam bahaya.
- Konfigurasi aplikasi dan pelayan. Persediaan penyulitan/kriptografi, konfigurasi pelayan Web dan sebagainya adalah semua contoh kelemahan yang mungkin berlaku.
- Pengesahan pengendalian input dan ralat Pemprosesan input dan output yang lemah membawa kepada suntikan SQL, skrip merentas tapak (XSS) dan isu suntikan biasa yang lain.
- Pengesahan dan penyelenggaraan sesi. Kerentanan yang boleh membawa kepada penyamaran pengguna. Kekuatan kelayakan dan perlindungan harus diambil kira juga.
- Kebenaran. Keupayaan aplikasi untuk melindungi daripada peningkatan keistimewaan menegak dan mendatar sedang diuji.
- Logik dalam perniagaan. Kebanyakan program yang menyediakan fungsi perniagaan bergantung pada ini.
- Logik pada hujung pelanggan. Jenis ciri ini menjadi lebih biasa dengan halaman web moden yang padat dengan JavaScript, serta halaman web yang menggunakan jenis teknologi sisi klien yang lain (cth, Silverlight, Flash, applet Java).
Untuk membiasakan diri anda secara terperinci dengan kurikulum pensijilan, anda boleh mengembangkan dan menganalisis jadual di bawah.
Kurikulum Pensijilan Ujian Penembusan Aplikasi Web EITC/IS/WAPT merujuk bahan didaktik akses terbuka dalam bentuk video. Proses pembelajaran dibahagikan kepada struktur langkah demi langkah (program -> pelajaran -> topik) yang merangkumi bahagian kurikulum yang berkaitan. Perundingan tanpa had dengan pakar domain juga disediakan.
Untuk butiran mengenai pemeriksaan prosedur Pensijilan Bagaimana ia berfungsi.
Muat turun bahan persediaan pembelajaran kendiri luar talian yang lengkap untuk program Ujian Penembusan Aplikasi Web EITC/IS/WAPT dalam fail PDF
Bahan persediaan EITC/IS/WAPT – versi standard
Bahan persediaan EITC/IS/WAPT – versi lanjutan dengan soalan semakan