EITC/IS/WASF Webtoepassings vir veiligheidstoepassings

Die Open Web Application Security Project (OWASP) bied hulpbronne wat beide gratis en oop is. ’n OWASP-stigting sonder winsbejag is in beheer daarvan. Die 2017 OWASP Top 10 is die uitkoms van huidige studie gebaseer op uitgebreide data wat van meer as 40 vennootorganisasies ingesamel is. Ongeveer 2.3 miljoen kwesbaarhede is opgespoor oor meer as 50,000 10 toepassings wat hierdie data gebruik. Volgens die OWASP Top 2017 – XNUMX is die top tien mees kritieke aanlyntoepassingsekuriteitskwessies:

• Inspuiting
• Stawingskwessies
• Blootgestelde sensitiewe data XML eksterne entiteite (XXE)
• Toegangsbeheer wat nie werk nie
• Verkeerde konfigurasie van sekuriteit
• Werf-tot-werf scripting (XSS)
• Deserialisering wat nie veilig is nie
• Gebruik komponente wat bekende gebreke het
• Aantekening en monitering is onvoldoende.

Daarom staan ​​die praktyk om webwerwe en aanlyndienste te verdedig teen verskeie sekuriteitsbedreigings wat swakhede in 'n toepassing se kode uitbuit bekend as webtoepassingsekuriteit. Inhoudbestuurstelsels (bv. WordPress), databasisadministrasienutsgoed (bv. phpMyAdmin) en SaaS-toepassings is almal algemene teikens vir aanlyntoepassingsaanrandings.

Webtoepassings word deur die oortreders as hoë-prioriteit teikens beskou omdat:

• As gevolg van die ingewikkeldheid van hul bronkode, is onbewaakte kwesbaarhede en kwaadwillige kodewysiging meer waarskynlik.
• Hoëwaarde-belonings, soos sensitiewe persoonlike inligting wat verkry is deur effektiewe bronkode-peutery.
• Gemak van uitvoering, want die meeste aanvalle kan maklik geoutomatiseer word en onoordeelkundig teen duisende, tiene of selfs honderdduisende teikens op een slag ontplooi word.
• Organisasies wat nie hul webtoepassings beskerm nie, is kwesbaar vir aanvalle. Dit kan onder meer lei tot datadiefstal, gespanne kliëntverhoudings, gekanselleerde lisensies en regstappe.

Kwesbaarhede in webwerwe

Invoer-/uitvoer-saniteringsfoute is algemeen in webtoepassings, en dit word gereeld uitgebuit om óf bronkode te verander óf om ongemagtigde toegang te kry.

Hierdie gebreke maak voorsiening vir die uitbuiting van 'n verskeidenheid aanvalsvektore, insluitend:

• SQL-inspuiting - Wanneer 'n oortreder 'n backend-databasis met kwaadwillige SQL-kode manipuleer, word inligting onthul. Onwettige lysblaai, tabelskrap en ongemagtigde administrateurtoegang is van die gevolge.
• XSS (Cross-site Scripting) is 'n inspuitingsaanval wat gebruikers teiken om toegang tot rekeninge te verkry, Trojans te aktiveer of bladsyinhoud te verander. Wanneer kwaadwillige kode direk in 'n toepassing ingespuit word, staan ​​dit bekend as gestoor XSS. Wanneer kwaadwillige skrif van 'n toepassing na 'n gebruiker se blaaier weerspieël word, staan ​​dit bekend as gereflekteerde XSS.
• Veraflêerinsluiting – Hierdie vorm van aanval laat 'n hacker toe om 'n lêer vanaf 'n afgeleë plek in 'n webtoepassingsbediener in te spuit. Dit kan daartoe lei dat gevaarlike skrifte of kode binne die toepassing uitgevoer word, sowel as datadiefstal of wysiging.
• Cross-site Request Forgery (CSRF) – 'n Tipe aanval wat kan lei tot 'n onbedoelde oordrag van kontant, wagwoordveranderings of datadiefstal. Dit kom voor wanneer 'n kwaadwillige webprogram 'n gebruiker se blaaier opdrag gee om 'n ongewenste aksie uit te voer op 'n webwerf waarop hulle aangemeld is.

In teorie kan effektiewe toevoer/uitset-sanering alle kwesbaarhede uitwis, wat 'n toepassing ondeurdringbaar maak vir ongemagtigde wysigings.

Omdat die meeste programme egter in 'n voortdurende toestand van ontwikkeling is, is omvattende ontsmetting selde 'n lewensvatbare opsie. Verder word toepassings gewoonlik met mekaar geïntegreer, wat lei tot 'n gekodeerde omgewing wat al hoe meer kompleks word.

Om sulke gevare te vermy, moet webtoepassingsekuriteitsoplossings en -prosesse, soos PCI Data Security Standard (PCI DSS)-sertifisering, geïmplementeer word.

Firewall vir webtoepassings (WAF)

WAF's (webtoepassings-firewalls) is hardeware- en sagteware-oplossings wat toepassings teen sekuriteitsbedreigings beskerm. Hierdie oplossings is ontwerp om inkomende verkeer te inspekteer om aanvalpogings op te spoor en te blokkeer, wat vergoed vir enige kode-sanitiseringsfoute.

WAF-ontplooiing spreek 'n deurslaggewende kriterium vir PCI DSS-sertifisering aan deur data teen diefstal en wysiging te beskerm. Alle krediet- en debietkaarthouerdata wat in 'n databasis bygehou word, moet beveilig word, volgens Vereiste 6.6.

Omdat dit voor sy DMZ aan die rand van die netwerk geplaas word, vereis die vestiging van 'n WAF gewoonlik geen veranderinge aan 'n toepassing nie. Dit dien dan as 'n poort vir alle inkomende verkeer, wat gevaarlike versoeke uitfiltreer voordat hulle met 'n toepassing kan kommunikeer.

Om te bepaal watter verkeer toegang tot 'n toepassing toegelaat word en watter uitgeroei moet word, gebruik WAF's 'n verskeidenheid heuristieke. Hulle kan kwaadwillige akteurs en bekende aanvalsvektore vinnig identifiseer danksy 'n gereeld opgedateerde handtekeningpoel.

Byna alle WAF's kan aangepas word vir individuele gebruiksgevalle en sekuriteitsregulasies, sowel as die bekamping van opkomende (ook bekend as zero-day) bedreigings. Ten slotte, om bykomende insigte oor inkomende besoekers te verkry, gebruik die meeste moderne oplossings reputasie- en gedragsdata.

Om 'n sekuriteitsomtrek te bou, word WAF's gewoonlik gekombineer met bykomende sekuriteitsoplossings. Dit kan verspreide ontkenning-van-diens (DDoS)-voorkomingsdienste insluit, wat die ekstra skaalbaarheid bied wat nodig is om hoëvolume-aanvalle te voorkom.

Kontrolelys vir webtoepassingsekuriteit
Daar is 'n verskeidenheid benaderings vir die beveiliging van webtoepassings bykomend tot WAF's. Enige webtoepassingsekuriteitkontrolelys moet die volgende prosedures insluit:

• Versamel data - Gaan die toepassing met die hand deur, op soek na toegangspunte en kodes aan die kliëntkant. Klassifiseer inhoud wat deur 'n derde party gehuisves word.
• Magtiging - Soek paddeurkruisings, vertikale en horisontale toegangsbeheerkwessies, ontbrekende magtiging en onveilige, direkte voorwerpverwysings wanneer die toepassing getoets word.
• Beveilig alle data-oordragte met kriptografie. Is enige sensitiewe inligting geënkripteer? Het jy enige algoritmes gebruik wat nie opgewasse is nie? Is daar enige willekeurigheidsfoute?
• Ontkenning van diens - Toets vir anti-outomatisering, rekeninguitsluiting, HTTP-protokol DoS en SQL wildcard DoS om 'n toepassing se veerkragtigheid teen diensweieraanvalle te verbeter. Dit sluit nie sekuriteit teen hoëvolume DoS- en DDoS-aanvalle in nie, wat 'n mengsel van filtertegnologieë en skaalbare hulpbronne vereis om te weerstaan.

Vir verdere besonderhede kan 'n mens die OWASP Web Application Security Testing Cheat Sheet nagaan (dit is ook 'n wonderlike hulpbron vir ander sekuriteitsverwante onderwerpe).

DDoS beskerming

DDoS-aanvalle, of verspreide ontkenning-van-diens-aanvalle, is 'n tipiese manier om 'n webtoepassing te onderbreek. Daar is 'n aantal benaderings om DDoS-aanvalle te versag, insluitend die weggooi van volumetriese aanvalverkeer by Content Delivery Networks (CDN's) en die gebruik van eksterne netwerke om opregte versoeke toepaslik te stuur sonder om 'n diensonderbreking te veroorsaak.

DNSSEC (Domain Name System Security Extensions) beskerming

Die domeinnaamstelsel, of DNS, is die internet se telefoonboek, en dit weerspieël hoe 'n internethulpmiddel, soos 'n webblaaier, die betrokke bediener vind. DNS-kasvergiftiging, aanvalle op die pad en ander maniere om in te meng met die DNS-opsoek-lewensiklus sal deur slegte akteurs gebruik word om hierdie DNS-versoekproses te kaap. As DNS die internet se telefoonboek is, is DNSSEC onspoofbare beller-ID. 'n DNS-opsoekversoek kan beskerm word deur die DNSSEC-tegnologie te gebruik.