ЕИТЦ/ИС/ВАСФ Основе безбедности веб апликација

Пројекат безбедности отворених веб апликација (ОВАСП) нуди ресурсе који су бесплатни и отворени. За то је задужена непрофитна ОВАСП фондација. ОВАСП Топ 2017 за 10. је резултат тренутне студије засноване на обимним подацима прикупљеним од преко 40 партнерских организација. Отприлике 2.3 милиона рањивости откривено је у преко 50,000 апликација користећи ове податке. Првих десет најкритичнијих питања безбедности онлајн апликација, према ОВАСП Топ 10 – 2017, су:

• Убризгавање
• Проблеми са аутентификацијом
• Изложени КСМЛ екстерни ентитети осетљивих података (КСКСЕ)
• Контрола приступа која не ради
• Погрешна конфигурација безбедности
• Скриптовање од локације до локације (КССС)
• Десеријализација која није безбедна
• Коришћење компоненти које имају познате недостатке
• Евидентирање и праћење су недовољни.

Отуда пракса одбране веб локација и онлајн услуга од различитих безбедносних претњи које искоришћавају слабости кода апликације позната је као безбедност веб апликација. Системи за управљање садржајем (нпр. ВордПресс), алати за администрацију базе података (нпр. пхпМиАдмин) и СааС апликације су уобичајене мете за нападе на онлајн апликације.

Починиоци сматрају да су веб апликације мете високог приоритета јер:

• Због сложености њиховог изворног кода, вероватније су рањивости без надзора и злонамерне модификације кода.
• Награде високе вредности, као што су осетљиве личне информације добијене ефективним неовлашћеним приступом изворном коду.
• Лакоћа извођења, јер већина напада може бити лако аутоматизована и распоређена неселективно на хиљаде, десетине или чак стотине хиљада циљева одједном.
• Организације које не успеју да заштите своје веб апликације су подложне нападима. Ово може довести до крађе података, затегнутих односа са клијентима, отказаних лиценци и правних поступака, између осталог.

Рањивости на веб локацијама

Недостаци дезинфекције улаза/излаза су уобичајени у веб апликацијама и често се користе за промену изворног кода или за добијање неовлашћеног приступа.

Ове мане омогућавају искоришћавање разних вектора напада, укључујући:

• СКЛ ињекција – Када починилац манипулише позадинском базом података са злонамерним СКЛ кодом, информације се откривају. Незаконито прегледање листа, брисање табеле и неовлашћени администраторски приступ су међу последицама.
• КССС (Цросс-сите Сцриптинг) је напад убризгавањем који циља на кориснике како би добили приступ налозима, активирали тројанце или променили садржај странице. Када се злонамерни код убаци директно у апликацију, то је познато као ускладиштени КССС. Када се злонамерна скрипта пресликава из апликације у претраживач корисника, то је познато као рефлектовани КССС.
• Укључивање датотека на даљину – Овај облик напада омогућава хакеру да убаци датотеку у сервер веб апликација са удаљене локације. Ово може довести до извршавања опасних скрипти или кода унутар апликације, као и до крађе или модификације података.
• Фалсификовање захтева на више локација (ЦСРФ) – Врста напада који може довести до ненамерног преноса готовине, промене лозинке или крађе података. Настаје када злонамерни веб програм наложи претраживачу корисника да изврши нежељену радњу на веб локацији на коју су пријављени.

У теорији, ефикасна санација улаза/излаза може да искоријени све рањивости, чинећи апликацију непропусном за неовлашћене модификације.

Међутим, пошто је већина програма у сталном развоју, свеобухватна санација ретко је одржива опција. Штавише, апликације су обично интегрисане једна са другом, што резултира кодираним окружењем које постаје све сложеније.

Да би се избегле такве опасности, требало би применити безбедносна решења и процесе веб апликација, као што је ПЦИ Дата Сецурити Стандард (ПЦИ ДСС) сертификат.

Заштитни зид за веб апликације (ВАФ)

ВАФ (заштитни зидови за веб апликације) су хардверска и софтверска решења која штите апликације од безбедносних претњи. Ова решења су дизајнирана да прегледају долазни саобраћај како би се открили и блокирали покушаји напада, компензујући све недостатке у санитизацији кода.

Примена ВАФ-а се бави кључним критеријумом за ПЦИ ДСС сертификацију тако што штити податке од крађе и модификације. Сви подаци о власницима кредитних и дебитних картица који се чувају у бази података морају бити заштићени, у складу са захтевом 6.6.

Пошто је стављен испред свог ДМЗ-а на ивици мреже, успостављање ВАФ-а обично не захтева никакве промене у апликацији. Затим служи као капија за сав долазни саобраћај, филтрирајући опасне захтеве пре него што могу да ступе у интеракцију са апликацијом.

Да би проценили ком саобраћају је дозвољен приступ апликацији, а који се мора уклонити, ВАФ-ови користе различите хеуристике. Они могу брзо да идентификују злонамерне актере и познате векторе напада захваљујући редовно ажурираном скупу потписа.

Скоро сви ВАФ-ови могу бити прилагођени појединачним случајевима употребе и безбедносним прописима, као и борби против нових (такође познатих као нулти дан) претњи. Коначно, да би стекли додатни увид у долазеће посетиоце, већина савремених решења користи податке о репутацији и понашању.

Да би се изградио безбедносни периметар, ВАФ-ови се обично комбинују са додатним безбедносним решењима. Оне могу укључивати услуге превенције дистрибуираних ускраћивања услуге (ДДоС), које дају додатну скалабилност потребну за спречавање напада великог обима.

Контролна листа за безбедност веб апликација
Поред ВАФ-ова, постоји низ приступа за заштиту веб апликација. Свака безбедносна листа за проверу веб апликације треба да садржи следеће процедуре:

• Прикупљање података — Ручно прегледајте апликацију, тражећи улазне тачке и кодове на страни клијента. Класификујте садржај који хостује трећа страна.
• Ауторизација — Потражите обилажење путање, проблеме са вертикалном и хоризонталном контролом приступа, недостајућу ауторизацију и несигурне, директне референце објеката приликом тестирања апликације.
• Обезбедите све преносе података криптографијом. Да ли су неке осетљиве информације шифроване? Да ли сте користили неке алгоритме који нису дорасли? Има ли грешака у случају случајности?
• Одбијање услуге — Тестирајте анти-аутоматизацију, закључавање налога, ХТТП протокол ДоС и СКЛ џокер ДоС да бисте побољшали отпорност апликације на нападе ускраћивања услуге. Ово не укључује сигурност од ДоС и ДДоС напада великог обима, који захтевају комбинацију технологија филтрирања и скалабилних ресурса да би се одупрли.

За више детаља, можете да проверите Цхеат Схеет тестирања безбедности веб апликације ОВАСП (такође је одличан извор за друге теме везане за безбедност).

ДДоС заштита

ДДоС напади, или дистрибуирани напади ускраћивања услуге, типичан су начин прекидања веб апликације. Постоји низ приступа за ублажавање ДДоС напада, укључујући одбацивање саобраћаја волуметријског напада на мреже за испоруку садржаја (ЦДН) и коришћење спољних мрежа да би се на одговарајући начин усмеравали истински захтеви без изазивања прекида услуге.

ДНССЕЦ (Домаин Наме Систем Сецурити Ектенсионс) заштита

Систем имена домена, или ДНС, је телефонски именик Интернета и одражава начин на који интернет алат, као што је веб претраживач, проналази релевантни сервер. Тровање ДНС кеш меморије, напади на путу и ​​друга средства ометања животног циклуса ДНС претраживања ће користити лоши актери да отму овај процес ДНС захтева. Ако је ДНС телефонски именик Интернета, ДНССЕЦ је ИД позиваоца који се не може преварити. Захтев за ДНС претрагу може се заштитити помоћу ДНССЕЦ технологије.