Úvod do zabezpečenia webových aplikácií
Teraz žijeme vo svete webu. Každý deň sa na webe vyskytuje milión transakcií v každej oblasti, ako je bankovníctvo, školy, podnikanie, špičkové inštitúcie sveta, výskumné centrá. Je nesmierne dôležité, aby údaje, ktoré sa prevádzajú, boli veľmi bezpečné a komunikácia spoľahlivá. Preto je dôležité zabezpečiť web.
Čo je zabezpečenie webových aplikácií?
Zabezpečenie webových aplikácií je oblasť informačnej bezpečnosti, ktorá sa zaoberá bezpečnosťou webových aplikácií, webových služieb a webových stránok. Je to druh zabezpečenia aplikácií, ktorý sa aplikuje konkrétne na webovú alebo internetovú úroveň.
Bezpečnosť webu je dôležitá, pretože webové aplikácie sú napadnuté zlým kódovaním alebo nesprávnou dezinfekciou vstupov a výstupov aplikácií. Bežnými útokmi na webovú bezpečnosť sú skriptovanie medzi servermi (XSS) a SQL Injections.
Okrem XSS, SQL Injections, ďalšími typmi útokov na webovú bezpečnosť sú spustenie ľubovoľného kódu, zverejnenie trasy, poškodenie pamäte, vzdialené zahrnutie súborov, pretečenie vyrovnávacej pamäte, lokálne zahrnutie súborov atď. Zabezpečenie webu je úplne založené na ľuďoch a procesoch. Preto je nesmierne dôležité, aby vývojári používali správne štandardy kódovania a kontrolu zdravého rozumu pre všetky takéto hrozby pre webovú bezpečnosť skôr, ako webové stránky uvedú do prevádzky.
Bezpečnostné kontroly sa v skutočnosti musia uplatňovať vo veľmi ranom štádiu vývoja a musia sa neustále uplatňovať v každej fáze životného cyklu vývoja softvéru. Vývojári musia byť dobre školení v oblasti kybernetickej bezpečnosti a bezpečného kódovania. Jednorazové testovanie aplikácie rozhodne nie je efektívne. V každej fáze je potrebné implementovať neustálu regresiu útokov na webovú bezpečnosť.
Štandardizácia zabezpečenia webu
OWASP (Open Web Application Security Project) je štandardným orgánom pre bezpečnosť webových aplikácií. Poskytuje kompletnú dokumentáciu, nástroje, techniky a metodiky v oblasti zabezpečenia webových aplikácií. OWASP je jedným z nezaujatých zdrojov informácií o osvedčených postupoch v oblasti zabezpečenia webových aplikácií.
OWASP Hlavné riziká pre webovú bezpečnosť
Nižšie sú uvedené najdôležitejšie bezpečnostné riziká na webe hlásené na serveri OWASP.
SQL Injection:
Toto je typ útoku injekcie, ktorý umožňuje vykonávať škodlivé a nesprávne dotazy SQL, ktoré by mohli riadiť databázy webového servera. Útočníci môžu použiť príkazy SQL na obídenie bezpečnostných opatrení aplikácie. Môžu autentifikovať alebo autorizovať webové stránky alebo webové stránky a môžu obsah databáz SQL obchádzať príkazy SQL. K tomuto útoku môže dôjsť na weboch, ktoré ako databázy používajú SQL, MYSQL, Oracle atď. Toto je najbežnejší a najnebezpečnejší bezpečnostný útok podľa dokumentácie OWASP 2017.
Skriptovanie viacerých stránok (XSS):
To útočníkom umožňuje vkladať skripty na strane klienta do webových aplikácií a webových stránok prezeraných inými používateľmi. Slabosť skriptovania na viacerých stránkach sa môže použiť na obídenie politík, ako je rovnaká politika pôvodu. Podľa roku 2007 predstavovalo XSS 84% všetkých bezpečnostných útokov na webe.
V závislosti od citlivosti údajov môže byť XSS menším útokom alebo vážnou hrozbou pre webové stránky.
Vykorisťovatelia zložia škodlivé údaje do obsahu, ktorý sa dodáva do klientskeho prehľadávača. Keď sa dáta doručujú klientovi, vyzerá to, že kombinované údaje pochádzajú zo samotného dôveryhodného servera a na konci klienta majú všetky sady povolení. Útočník teraz môže získať zvýšený prístup a privilégiá k citlivému obsahu stránky, k súborom cookie relácie a množstvu ďalších informácií.
Zlomená autentifikácia a správa relácií:
Tento útok umožňuje zachytiť alebo obísť autentifikáciu na webovej stránke alebo v aplikácii.
Toto je skôr slabý štandard, ktorý sleduje vývojár webových stránok a ktorý spôsobuje problémy, ako napríklad
- Predvídateľné prihlasovacie údaje.
- Pri uchovávaní nechráni prihlasovacie údaje používateľa správne.
- ID adresy sa zobrazujú v adrese URL.
- Heslá, ID relácií sa neposielajú cez šifrované adresy URL.
- Hodnoty relácií sa po určitom čase nevypršia.
Aby sa predišlo týmto útokom, vývojár by mal byť opatrný pri udržiavaní správnych štandardov, ako je ochrana hesiel a ich správne hashovanie počas odovzdávania, nevystavovanie identifikátorov relácií, vypršanie platnosti relácie po určitom čase, obnovenie identifikácií relácií po úspešnom prihlásení pokúsiť.
Oprava chybného overenia
- Dĺžka hesla by mala byť najmenej 8 znakov.
- Heslo by malo byť zložité, aby ho používateľ nemohol predvídať. Mali by ste využiť správne pravidlá pre nastavenie hesiel, ako sú alfanumerické, špeciálne znaky a kombinácie veľkých a malých písmen.
- Zlyhania autentifikácie by nikdy nemali naznačovať, ktorá časť autentifikačných údajov je nesprávna. Reakcie na chyby by mali byť do istej miery všeobecné. Napr .: Neplatné poverenia namiesto zobrazovania používateľského mena alebo hesla, ktoré je presne nesprávne.
Chybná konfigurácia zabezpečenia:
Toto je jeden zo zlých postupov, vďaka ktorým sú webové stránky zraniteľné voči útokom. Napríklad: Konfigurácie aplikačného servera vracajú užívateľom úplné sledovanie trasy, aby útočníkov vedeli, kde je chyba, a podľa toho zaútočia na stránky. Aby sa zabránilo takýmto prípadom, je dôležité, aby sa implementovala silná architektúra aplikácií a pravidelne sa vykonávali kontroly zabezpečenia.
záver
Je veľmi dôležité, aby každá webová stránka dodržiavala príslušné normy, udržiavala správne techniky kódovania, mala robustnú architektúru aplikácií, pravidelne kontrolovala kontroly a aby sa vo väčšej miere snažila vyhnúť útokom na webovú bezpečnosť.
Odporúčané články
Toto bola príručka o bezpečnosti webových aplikácií. Tu sme diskutovali o úvodu, štandardizácii, hlavných rizikách webovej bezpečnosti. Ďalšie informácie nájdete aj v nasledujúcich článkoch -
- Otázky týkajúce sa rozhovoru v oblasti kybernetickej bezpečnosti
- Rozhovory s otázkami vývoja webových aplikácií
- Kariéra vo webovom rozvoji
- Čo je Elasticsearch?
- Čo je skriptovanie na viacerých stránkach?