Το EITC/IS/WASF Web Applications Security Fundamentals είναι το ευρωπαϊκό πρόγραμμα πιστοποίησης πληροφορικής σχετικά με θεωρητικές και πρακτικές πτυχές της ασφάλειας των υπηρεσιών του Παγκόσμιου Ιστού, που κυμαίνονται από την ασφάλεια των βασικών πρωτοκόλλων Ιστού, έως το απόρρητο, τις απειλές και τις επιθέσεις σε διαφορετικά επίπεδα επικοινωνίας δικτύων κυκλοφορίας Ιστού, web ασφάλεια διακομιστών, ασφάλεια σε υψηλότερα επίπεδα, συμπεριλαμβανομένων προγραμμάτων περιήγησης και εφαρμογών ιστού, καθώς και έλεγχος ταυτότητας, πιστοποιητικά και ηλεκτρονικό ψάρεμα.
Το πρόγραμμα σπουδών των Βασικών Αρχών Ασφάλειας Εφαρμογών Ιστού EITC/IS/WASF καλύπτει την εισαγωγή σε θέματα ασφάλειας ιστού HTML και JavaScript, DNS, HTTP, cookie, περιόδους λειτουργίας, επιθέσεις cookie και περιόδου λειτουργίας, Πολιτική ίδιας προέλευσης, πλαστογράφηση αιτημάτων μεταξύ τοποθεσιών, εξαιρέσεις στο ίδιο Πολιτική προέλευσης, δέσμες ενεργειών μεταξύ τοποθεσιών (XSS), άμυνες σεναρίων μεταξύ τοποθεσιών, δακτυλικό αποτύπωμα ιστού, απόρρητο στον ιστό, DoS, phishing και πλευρικά κανάλια, Άρνηση υπηρεσίας, phishing και πλευρικά κανάλια, επιθέσεις ένεσης, ένεση κώδικα, μεταφορά ασφάλεια επιπέδου (TLS) και επιθέσεις, HTTPS στον πραγματικό κόσμο, έλεγχος ταυτότητας, WebAuthn, διαχείριση της ασφάλειας ιστού, ανησυχίες για την ασφάλεια στο έργο Node.js, ασφάλεια διακομιστή, ασφαλείς πρακτικές κωδικοποίησης, ασφάλεια τοπικού διακομιστή HTTP, επιθέσεις επανασύνδεσης DNS, επιθέσεις προγράμματος περιήγησης, πρόγραμμα περιήγησης αρχιτεκτονική, καθώς και σύνταξη ασφαλούς κώδικα προγράμματος περιήγησης, εντός της ακόλουθης δομής, που περιλαμβάνει ολοκληρωμένο διδακτικό περιεχόμενο βίντεο ως αναφορά για αυτήν την Πιστοποίηση EITC.
Η ασφάλεια εφαρμογών Ιστού είναι ένα υποσύνολο ασφάλειας πληροφοριών που εστιάζει στην ασφάλεια ιστοτόπων, εφαρμογών Ιστού και υπηρεσιών web. Η ασφάλεια εφαρμογών Ιστού, στο πιο βασικό της επίπεδο, βασίζεται σε αρχές ασφάλειας εφαρμογών, αλλά τις εφαρμόζει ιδιαίτερα στο διαδίκτυο και στις πλατφόρμες Ιστού. Οι τεχνολογίες ασφάλειας εφαρμογών Ιστού, όπως τα τείχη προστασίας εφαρμογών Ιστού, είναι εξειδικευμένα εργαλεία για την εργασία με κίνηση HTTP.
Το Open Web Application Security Project (OWASP) προσφέρει πόρους που είναι δωρεάν και ανοιχτοί. Ένα μη κερδοσκοπικό Ίδρυμα OWASP είναι υπεύθυνο για αυτό. Το 2017 OWASP Top 10 είναι το αποτέλεσμα της τρέχουσας μελέτης που βασίζεται σε εκτενή δεδομένα που συγκεντρώθηκαν από περισσότερους από 40 οργανισμούς-εταίρους. Περίπου 2.3 εκατομμύρια ευπάθειες εντοπίστηκαν σε περισσότερες από 50,000 εφαρμογές που χρησιμοποιούν αυτά τα δεδομένα. Οι δέκα πιο κρίσιμες ανησυχίες για την ασφάλεια των διαδικτυακών εφαρμογών, σύμφωνα με το OWASP Top 10 – 2017, είναι:
- Ένεση
- Ζητήματα ελέγχου ταυτότητας
- Εκτεθειμένες εξωτερικές οντότητες XML ευαίσθητων δεδομένων (XXE)
- Έλεγχος πρόσβασης που δεν λειτουργεί
- Λανθασμένη ρύθμιση της ασφάλειας
- Σενάριο από ιστότοπο σε ιστότοπο (XSS)
- Deserialization που δεν είναι ασφαλής
- Χρήση εξαρτημάτων που έχουν γνωστά ελαττώματα
- Η καταγραφή και η παρακολούθηση είναι ανεπαρκείς.
Ως εκ τούτου, η πρακτική της υπεράσπισης ιστοτόπων και διαδικτυακών υπηρεσιών έναντι διαφόρων απειλών ασφαλείας που εκμεταλλεύονται τις αδυναμίες στον κώδικα μιας εφαρμογής είναι γνωστή ως ασφάλεια εφαρμογών ιστού. Τα συστήματα διαχείρισης περιεχομένου (π.χ. WordPress), τα εργαλεία διαχείρισης βάσεων δεδομένων (π.χ. phpMyAdmin) και οι εφαρμογές SaaS είναι όλοι κοινοί στόχοι για επιθέσεις διαδικτυακών εφαρμογών.
Οι εφαρμογές Ιστού θεωρούνται στόχοι υψηλής προτεραιότητας από τους δράστες επειδή:
- Λόγω της πολυπλοκότητας του πηγαίου κώδικα τους, είναι πιο πιθανές οι ευπάθειες χωρίς επίβλεψη και η κακόβουλη τροποποίηση κώδικα.
- Ανταμοιβές υψηλής αξίας, όπως ευαίσθητες προσωπικές πληροφορίες που λαμβάνονται μέσω αποτελεσματικής παραβίασης του πηγαίου κώδικα.
- Ευκολία στην εκτέλεση, επειδή οι περισσότερες επιθέσεις μπορούν εύκολα να αυτοματοποιηθούν και να αναπτυχθούν αδιάκριτα εναντίον χιλιάδων, δεκάδων ή ακόμα και εκατοντάδων χιλιάδων στόχων ταυτόχρονα.
- Οι οργανισμοί που αποτυγχάνουν να προστατεύσουν τις εφαρμογές Ιστού τους είναι ευάλωτοι σε επιθέσεις. Αυτό μπορεί να οδηγήσει σε κλοπή δεδομένων, τεταμένες σχέσεις πελατών, ακυρώσεις αδειών και νομικές ενέργειες, μεταξύ άλλων.
Τρωτά σημεία σε ιστότοπους
Τα ελαττώματα απολύμανσης εισόδου/εξόδου είναι κοινά στις εφαρμογές Ιστού και χρησιμοποιούνται συχνά είτε για αλλαγή πηγαίου κώδικα είτε για μη εξουσιοδοτημένη πρόσβαση.
Αυτά τα ελαττώματα επιτρέπουν την εκμετάλλευση μιας ποικιλίας φορέων επίθεσης, όπως:
- SQL Injection – Όταν ένας δράστης χειρίζεται μια βάση δεδομένων backend με κακόβουλο κώδικα SQL, αποκαλύπτονται πληροφορίες. Η παράνομη περιήγηση στη λίστα, η διαγραφή πίνακα και η μη εξουσιοδοτημένη πρόσβαση διαχειριστή είναι μεταξύ των συνεπειών.
- Το XSS (Cross-site Scripting) είναι μια επίθεση με ένεση που στοχεύει χρήστες προκειμένου να αποκτήσουν πρόσβαση σε λογαριασμούς, να ενεργοποιήσουν Trojans ή να αλλάξουν το περιεχόμενο της σελίδας. Όταν ο κακόβουλος κώδικας εισάγεται απευθείας σε μια εφαρμογή, αυτό είναι γνωστό ως αποθηκευμένο XSS. Όταν ένα κακόβουλο σενάριο αντικατοπτρίζεται από μια εφαρμογή στο πρόγραμμα περιήγησης ενός χρήστη, αυτό είναι γνωστό ως ανακλώμενο XSS.
- Απομακρυσμένη συμπερίληψη αρχείων – Αυτή η μορφή επίθεσης επιτρέπει σε έναν χάκερ να εισάγει ένα αρχείο σε έναν διακομιστή εφαρμογής Ιστού από μια απομακρυσμένη τοποθεσία. Αυτό μπορεί να οδηγήσει σε επικίνδυνα σενάρια ή κώδικα που εκτελούνται εντός της εφαρμογής, καθώς και σε κλοπή ή τροποποίηση δεδομένων.
- Παραχάραξη αιτημάτων μεταξύ τοποθεσιών (CSRF) – Ένας τύπος επίθεσης που μπορεί να οδηγήσει σε ακούσια μεταφορά μετρητών, αλλαγές κωδικού πρόσβασης ή κλοπή δεδομένων. Συμβαίνει όταν ένα κακόβουλο πρόγραμμα ιστού δίνει εντολή στο πρόγραμμα περιήγησης ενός χρήστη να πραγματοποιήσει μια ανεπιθύμητη ενέργεια σε έναν ιστότοπο στον οποίο είναι συνδεδεμένοι.
Θεωρητικά, η αποτελεσματική απολύμανση εισροών/εξόδων μπορεί να εξαλείψει όλα τα τρωτά σημεία, καθιστώντας μια εφαρμογή αδιαπέραστη από μη εξουσιοδοτημένες τροποποιήσεις.
Ωστόσο, επειδή τα περισσότερα προγράμματα βρίσκονται σε αέναη κατάσταση ανάπτυξης, η ολοκληρωμένη απολύμανση είναι σπάνια μια βιώσιμη επιλογή. Επιπλέον, οι εφαρμογές συνήθως ενσωματώνονται μεταξύ τους, με αποτέλεσμα ένα κωδικοποιημένο περιβάλλον που γίνεται όλο και πιο περίπλοκο.
Για την αποφυγή τέτοιων κινδύνων, θα πρέπει να εφαρμόζονται λύσεις και διαδικασίες ασφαλείας εφαρμογών Ιστού, όπως η πιστοποίηση PCI Data Security Standard (PCI DSS).
Τείχος προστασίας για εφαρμογές Ιστού (WAF)
Τα WAF (τείχη προστασίας εφαρμογών web) είναι λύσεις υλικού και λογισμικού που προστατεύουν τις εφαρμογές από απειλές ασφαλείας. Αυτές οι λύσεις έχουν σχεδιαστεί για να επιθεωρούν την εισερχόμενη κυκλοφορία προκειμένου να ανιχνεύουν και να μπλοκάρουν απόπειρες επίθεσης, αντισταθμίζοντας τυχόν ελαττώματα απολύμανσης κώδικα.
Η ανάπτυξη του WAF αντιμετωπίζει ένα κρίσιμο κριτήριο για την πιστοποίηση PCI DSS προστατεύοντας τα δεδομένα από κλοπή και τροποποίηση. Όλα τα δεδομένα κατόχου πιστωτικών και χρεωστικών καρτών που διατηρούνται σε μια βάση δεδομένων πρέπει να προστατεύονται, σύμφωνα με την Απαίτηση 6.6.
Επειδή βρίσκεται μπροστά από το DMZ του στην άκρη του δικτύου, η δημιουργία ενός WAF συνήθως δεν απαιτεί αλλαγές σε μια εφαρμογή. Στη συνέχεια, χρησιμεύει ως πύλη για όλη την εισερχόμενη κίνηση, φιλτράροντας επικίνδυνα αιτήματα προτού μπορέσουν να αλληλεπιδράσουν με μια εφαρμογή.
Για να αξιολογηθεί σε ποια κίνηση επιτρέπεται η πρόσβαση σε μια εφαρμογή και ποια πρέπει να εξαλειφθεί, τα WAF χρησιμοποιούν μια ποικιλία ευρετικών. Μπορούν να εντοπίσουν γρήγορα κακόβουλους παράγοντες και γνωστούς φορείς επίθεσης χάρη σε ένα τακτικά ενημερωμένο pool υπογραφών.
Σχεδόν όλα τα WAF μπορούν να προσαρμοστούν σε ατομικές περιπτώσεις χρήσης και κανονισμούς ασφαλείας, καθώς και στην καταπολέμηση των αναδυόμενων (επίσης γνωστών ως μηδενικών ημερών) απειλών. Τέλος, για να αποκτήσουν πρόσθετες γνώσεις σχετικά με τους εισερχόμενους επισκέπτες, οι περισσότερες σύγχρονες λύσεις χρησιμοποιούν δεδομένα φήμης και συμπεριφοράς.
Προκειμένου να δημιουργηθεί μια περίμετρος ασφαλείας, τα WAF συνήθως συνδυάζονται με πρόσθετες λύσεις ασφαλείας. Αυτές θα μπορούσαν να περιλαμβάνουν κατανεμημένες υπηρεσίες πρόληψης άρνησης υπηρεσίας (DDoS), οι οποίες παρέχουν την επιπλέον επεκτασιμότητα που απαιτείται για την αποτροπή επιθέσεων μεγάλου όγκου.
Λίστα ελέγχου για την ασφάλεια εφαρμογών web
Υπάρχει μια ποικιλία προσεγγίσεων για την προστασία των εφαρμογών ιστού εκτός από τα WAF. Οποιαδήποτε λίστα ελέγχου ασφαλείας εφαρμογών Ιστού πρέπει να περιλαμβάνει τις ακόλουθες διαδικασίες:
- Συλλογή δεδομένων — Μεταβείτε στην εφαρμογή με το χέρι, αναζητώντας σημεία εισόδου και κωδικούς από την πλευρά του πελάτη. Ταξινόμηση περιεχομένου που φιλοξενείται από τρίτο μέρος.
- Εξουσιοδότηση — Αναζητήστε διαβάσεις διαδρομής, ζητήματα ελέγχου κάθετης και οριζόντιας πρόσβασης, έλλειψη εξουσιοδότησης και ανασφαλείς, άμεσες αναφορές αντικειμένων κατά τη δοκιμή της εφαρμογής.
- Ασφαλίστε όλες τις μεταδόσεις δεδομένων με κρυπτογραφία. Έχει κρυπτογραφηθεί κάποια ευαίσθητη πληροφορία; Έχετε χρησιμοποιήσει κάποιους αλγόριθμους που δεν είναι κατάλληλοι; Υπάρχουν τυχαία σφάλματα;
- Άρνηση υπηρεσίας — Δοκιμάστε για αντι-αυτοματοποίηση, κλείδωμα λογαριασμού, DoS πρωτοκόλλου HTTP και DoS με χαρακτήρες μπαλαντέρ SQL για να βελτιώσετε την ανθεκτικότητα μιας εφαρμογής έναντι επιθέσεων άρνησης υπηρεσίας. Αυτό δεν περιλαμβάνει ασφάλεια έναντι επιθέσεων DoS και DDoS μεγάλου όγκου, οι οποίες απαιτούν έναν συνδυασμό τεχνολογιών φιλτραρίσματος και κλιμακωτών πόρων για να αντισταθείτε.
Για περισσότερες λεπτομέρειες, μπορείτε να ελέγξετε το Φύλλο εξαπάτησης δοκιμών ασφάλειας εφαρμογών Web OWASP (είναι επίσης μια εξαιρετική πηγή για άλλα θέματα που σχετίζονται με την ασφάλεια).
Προστασία DDoS
Οι επιθέσεις DDoS ή οι κατανεμημένες επιθέσεις άρνησης υπηρεσίας είναι ένας τυπικός τρόπος διακοπής μιας διαδικτυακής εφαρμογής. Υπάρχει ένας αριθμός προσεγγίσεων για τον μετριασμό των επιθέσεων DDoS, συμπεριλαμβανομένης της απόρριψης της κίνησης ογκομετρικών επιθέσεων στα Δίκτυα Παράδοσης Περιεχομένου (CDN) και της χρήσης εξωτερικών δικτύων για την κατάλληλη δρομολόγηση γνήσιων αιτημάτων χωρίς να προκαλείται διακοπή της υπηρεσίας.
Προστασία DNSSEC (Domain Name System Security Extensions).
Το σύστημα ονομάτων τομέα, ή DNS, είναι ο τηλεφωνικός κατάλογος του Διαδικτύου και αντικατοπτρίζει τον τρόπο με τον οποίο ένα εργαλείο Διαδικτύου, όπως ένα πρόγραμμα περιήγησης ιστού, βρίσκει τον σχετικό διακομιστή. Η δηλητηρίαση της κρυφής μνήμης DNS, οι επιθέσεις εντός διαδρομής και άλλα μέσα παρεμβολής στον κύκλο ζωής αναζήτησης DNS θα χρησιμοποιηθούν από κακούς παράγοντες για να παραβιάσουν αυτήν τη διαδικασία αιτήματος DNS. Εάν το DNS είναι ο τηλεφωνικός κατάλογος του Διαδικτύου, το DNSSEC είναι ένα μη πλαστό αναγνωριστικό καλούντος. Ένα αίτημα αναζήτησης DNS μπορεί να προστατευτεί χρησιμοποιώντας την τεχνολογία DNSSEC.
Για να εξοικειωθείτε λεπτομερώς με το πρόγραμμα σπουδών πιστοποίησης, μπορείτε να επεκτείνετε και να αναλύσετε τον παρακάτω πίνακα.
Το Πρόγραμμα Σπουδών Πιστοποίησης Βασικών Ασφαλειών Εφαρμογών Ιστού EITC/IS/WASF παραπέμπει σε διδακτικό υλικό ανοιχτής πρόσβασης σε μορφή βίντεο. Η μαθησιακή διαδικασία χωρίζεται σε μια δομή βήμα προς βήμα (προγράμματα -> μαθήματα -> θέματα) που καλύπτει σχετικά μέρη του προγράμματος σπουδών. Παρέχονται επίσης απεριόριστες συμβουλές με ειδικούς του τομέα.
Για λεπτομέρειες σχετικά με τη διαδικασία πιστοποίησης ελέγξτε Πως δουλεύει.
Κατεβάστε το πλήρες προπαρασκευαστικό υλικό αυτομάθησης εκτός σύνδεσης για το πρόγραμμα EITC/IS/WASF Web Applications Security Fundamentals σε αρχείο PDF
Προπαρασκευαστικά υλικά EITC/IS/WASF – τυπική έκδοση
Προπαρασκευαστικό υλικό EITC/IS/WASF – εκτεταμένη έκδοση με ερωτήσεις αναθεώρησης