EITC/IS/WASF Web Applications Security Fundamentals 是關於萬維網服務安全的理論和實踐方面的歐洲 IT 認證計劃,範圍從基本 Web 協議的安全性,到隱私、威脅和對不同網絡流量網絡通信層的攻擊、網絡服務器安全性,更高層的安全性,包括 Web 瀏覽器和 Web 應用程序,以及身份驗證、證書和網絡釣魚。
EITC/IS/WASF Web 應用程序安全基礎課程包括 HTML 和 JavaScript Web 安全方面的介紹、DNS、HTTP、cookie、會話、cookie 和會話攻擊、同源策略、跨站點請求偽造、同源異常來源策略、跨站點腳本 (XSS)、跨站點腳本防禦、網絡指紋、網絡隱私、DoS、網絡釣魚和旁道、拒絕服務、網絡釣魚和旁道、注入攻擊、代碼注入、傳輸層安全 (TLS) 和攻擊,現實世界中的 HTTPS,身份驗證,WebAuthn,管理 Web 安全,Node.js 項目中的安全問題,服務器安全,安全編碼實踐,本地 HTTP 服務器安全,DNS 重新綁定攻擊,瀏覽器攻擊,瀏覽器架構,以及編寫安全瀏覽器代碼,在以下結構中,包含全面的視頻教學內容,作為此 EITC 認證的參考。
Web 應用程序安全是信息安全的一個子集,專注於網站、Web 應用程序和 Web 服務安全。 Web 應用程序安全性在最基本的層面上是基於應用程序安全原則,但它特別適用於互聯網和 Web 平台。 Web 應用程序安全技術(例如 Web 應用程序防火牆)是用於處理 HTTP 流量的專用工具。
開放 Web 應用程序安全項目 (OWASP) 提供免費和開放的資源。 一個非盈利的 OWASP 基金會負責它。 2017 年 OWASP 前 10 名是當前研究的結果,該研究基於從 40 多個合作夥伴組織收集的大量數據。 使用該數據在 2.3 多個應用程序中檢測到大約 50,000 萬個漏洞。 根據 OWASP Top 10 – 2017,十大最關鍵的在線應用程序安全問題是:
- 注射
- 身份驗證問題
- 暴露的敏感數據 XML 外部實體 (XXE)
- 訪問控制不起作用
- 安全配置錯誤
- 站點到站點腳本 (XSS)
- 不安全的反序列化
- 使用存在已知缺陷的組件
- 日誌記錄和監控不足。
因此,保護網站和在線服務免受利用應用程序代碼中的弱點的各種安全威脅的做法被稱為 Web 應用程序安全性。 內容管理系統(例如 WordPress)、數據庫管理工具(例如 phpMyAdmin)和 SaaS 應用程序都是在線應用程序攻擊的常見目標。
Web 應用程序被犯罪者視為高優先級目標,因為:
- 由於其源代碼的複雜性,無人看管的漏洞和惡意代碼修改的可能性更大。
- 高價值獎勵,例如通過有效源代碼篡改獲得的敏感個人信息。
- 易於執行,因為大多數攻擊可以很容易地實現自動化,並且可以一次針對數千、數万甚至數十萬個目標不分青紅皂白地部署。
- 未能保護其 Web 應用程序的組織很容易受到攻擊。 這可能導致數據被盜、客戶關係緊張、許可證被取消和法律訴訟等。
網站中的漏洞
輸入/輸出清理漏洞在 Web 應用程序中很常見,並且經常被利用來更改源代碼或獲得未經授權的訪問。
這些缺陷允許利用各種攻擊媒介,包括:
- SQL 注入 – 當犯罪者使用惡意 SQL 代碼操作後端數據庫時,信息就會被洩露。 非法列表瀏覽、表刪除和未經授權的管理員訪問都是其中的後果。
- XSS (Cross-site Scripting) 是一種以用戶為目標的注入攻擊,以獲取對帳戶的訪問權限、激活木馬程序或更改頁面內容。 當惡意代碼直接注入應用程序時,這稱為存儲型 XSS。 當惡意腳本從應用程序鏡像到用戶瀏覽器時,這稱為反射型 XSS。
- 遠程文件包含——這種形式的攻擊允許黑客從遠程位置將文件注入 Web 應用程序服務器。 這可能導致在應用程序中執行危險的腳本或代碼,以及數據被盜或修改。
- 跨站點請求偽造 (CSRF) – 一種可能導致意外轉移現金、更改密碼或數據盜竊的攻擊。 當惡意 Web 程序指示用戶的瀏覽器在他們登錄的網站上執行不希望的操作時,就會發生這種情況。
從理論上講,有效的輸入/輸出清理可能會消除所有漏洞,使應用程序不受未經授權的修改的影響。
但是,由於大多數項目都處於永久開發狀態,因此全面消毒很少是可行的選擇。 此外,應用程序通常相互集成,導致編碼環境變得越來越複雜。
為避免此類危險,應實施 Web 應用程序安全解決方案和流程,例如 PCI 數據安全標準 (PCI DSS) 認證。
Web 應用程序防火牆 (WAF)
WAF(Web 應用程序防火牆)是保護應用程序免受安全威脅的硬件和軟件解決方案。 這些解決方案旨在檢查傳入流量,以檢測和阻止攻擊企圖,彌補任何代碼清理缺陷。
WAF 部署通過防止數據被盜和修改來解決 PCI DSS 認證的關鍵標準。 根據要求 6.6,必須保護數據庫中維護的所有信用卡和借記卡持卡人數據。
因為它位於網絡邊緣的 DMZ 之前,所以建立 WAF 通常不需要對應用程序進行任何更改。 然後,它充當所有傳入流量的網關,在危險請求與應用程序交互之前過濾掉它們。
為了評估哪些流量被允許訪問應用程序以及哪些流量必須被清除,WAF 採用了各種啟發式方法。 得益於定期更新的簽名池,他們可以快速識別惡意行為者和已知的攻擊媒介。
幾乎所有的 WAF 都可以根據個人用例和安全法規進行定制,以及應對新興(也稱為零日)威脅。 最後,為了獲得對訪客的更多洞察,大多數現代解決方案都使用聲譽和行為數據。
為了構建安全邊界,WAF 通常與其他安全解決方案結合使用。 這些可能包括分佈式拒絕服務 (DDoS) 預防服務,它提供了防止大量攻擊所需的額外可擴展性。
Web 應用程序安全檢查表
除了 WAF 之外,還有多種方法可以保護 Web 應用程序。 任何 Web 應用程序安全檢查表都應包括以下程序:
- 收集數據——手動檢查應用程序,尋找入口點和客戶端代碼。 對第三方託管的內容進行分類。
- 授權——在測試應用程序時尋找路徑遍歷、垂直和水平訪問控制問題、缺少授權以及不安全的直接對象引用。
- 使用加密技術保護所有數據傳輸。 是否有任何敏感信息被加密? 您是否使用過任何不符合標準的算法? 有沒有隨機性錯誤?
- 拒絕服務 - 測試反自動化、帳戶鎖定、HTTP 協議 DoS 和 SQL 通配符 DoS,以提高應用程序抵禦拒絕服務攻擊的能力。 這不包括針對大量 DoS 和 DDoS 攻擊的安全性,這需要混合過濾技術和可擴展資源來抵禦。
有關更多詳細信息,可以查看 OWASP Web 應用程序安全測試備忘單(它也是其他安全相關主題的絕佳資源)。
DDoS保護
DDoS 攻擊或分佈式拒絕服務攻擊是中斷 Web 應用程序的典型方式。 有多種方法可以緩解 DDoS 攻擊,包括丟棄內容交付網絡 (CDN) 上的大量攻擊流量,以及使用外部網絡在不導致服務中斷的情況下適當地路由真實請求。
DNSSEC(域名系統安全擴展)保護
域名系統或 DNS 是 Internet 的電話簿,它反映了 Internet 工具(例如 Web 瀏覽器)如何找到相關服務器。 不良行為者將使用 DNS 緩存中毒、路徑攻擊和其他干擾 DNS 查找生命週期的手段來劫持此 DNS 請求過程。 如果 DNS 是 Internet 的電話簿,那麼 DNSSEC 就是不可欺騙的呼叫者 ID。 可以使用 DNSSEC 技術保護 DNS 查找請求。
要詳細了解認證課程,您可以擴展和分析下表。
EITC/IS/WASF Web 應用程序安全基礎認證課程以視頻形式引用開放式教學材料。 學習過程分為逐步結構(課程 -> 課程 -> 主題),涵蓋相關課程部分。 還提供與領域專家的無限諮詢。
有關認證程序檢查的詳細信息 如何操作.
下載 EITC/IS/WASF Web 應用程式安全基礎課程的完整離線自學準備資料(PDF 檔案)