EITC/IS/WASF Web Applications Security Fundamentals არის ევროპული IT სერტიფიცირების პროგრამა მსოფლიო ქსელის სერვისების უსაფრთხოების თეორიულ და პრაქტიკულ ასპექტებზე, დაწყებული ძირითადი ვებ პროტოკოლების დაცვით, კონფიდენციალურობით, მუქარითა და თავდასხმებით ვებ ტრაფიკის სხვადასხვა ფენებზე, ვებ – ტრაფიკზე. სერვერების უსაფრთხოება, უსაფრთხოება უფრო მაღალ ფენებში, მათ შორის ვებ ბრაუზერები და ვებ აპლიკაციები, ასევე ავთენტიფიკაცია, სერთიფიკატები და ფიზინგი.
EITC/IS/WASF ვებ აპლიკაციების უსაფრთხოების საფუძვლების სასწავლო პროგრამა მოიცავს HTML და JavaScript ვებ უსაფრთხოების ასპექტებს, DNS, HTTP, ქუქი-ფაილებს, სესიებს, ქუქიების და სესიების შეტევებს, იგივე წარმოშობის პოლიტიკას, სხვადასხვა საიტის მოთხოვნის გაყალბებას, იგივე გამონაკლისებს. წარმოშობის პოლიტიკა, საიტის სკრიპტირება (XSS), საიტის სკრიპტების დაცვა, ვებ თითის ანაბეჭდი, კონფიდენციალურობა ვებში, DoS, ფიშინგი და გვერდითი არხები, სერვისზე უარის თქმა, ფიშინგი და გვერდითი არხები, ინექციის შეტევები, კოდის ინექცია, ტრანსპორტი ფენის უსაფრთხოება (TLS) და შეტევები, HTTPS რეალურ სამყაროში, ავტორიზაცია, WebAuthn, ვებ უსაფრთხოების მართვა, უსაფრთხოების პრობლემები Node.js პროექტში, სერვერის უსაფრთხოება, კოდირების უსაფრთხო პრაქტიკა, ადგილობრივი HTTP სერვერის უსაფრთხოება, DNS ხელახალი შეტევები, ბრაუზერის შეტევები, ბრაუზერი არქიტექტურა, ისევე როგორც უსაფრთხო ბრაუზერის კოდის დაწერა შემდეგი სტრუქტურის ფარგლებში, რომელიც მოიცავს ყოვლისმომცველ ვიდეო დიდაქტიკურ შინაარსს, როგორც მითითებას ამ EITC სერთიფიკაციისთვის.
ვებ აპლიკაციის უსაფრთხოება არის ინფორმაციული უსაფრთხოების ქვეჯგუფი, რომელიც ფოკუსირებულია ვებსაიტზე, ვებ აპლიკაციაზე და ვებ სერვისის უსაფრთხოებაზე. ვებ აპლიკაციების უსაფრთხოება, მის ყველაზე საბაზისო დონეზე, ეფუძნება აპლიკაციის უსაფრთხოების პრინციპებს, მაგრამ ის მათ განსაკუთრებით იყენებს ინტერნეტსა და ვებ პლატფორმებზე. ვებ აპლიკაციების უსაფრთხოების ტექნოლოგიები, როგორიცაა ვებ აპლიკაციების ფეიერვოლები, არის სპეციალიზებული ინსტრუმენტები HTTP ტრაფიკთან მუშაობისთვის.
Open Web Application Security Project (OWASP) გთავაზობთ რესურსებს, რომლებიც უფასო და ღიაა. მასზე პასუხისმგებელი არაკომერციული OWASP ფონდია. 2017 წლის OWASP ტოპ 10 არის მიმდინარე კვლევის შედეგი, რომელიც დაფუძნებულია 40-ზე მეტი პარტნიორი ორგანიზაციის ვრცელ მონაცემებზე. ამ მონაცემების გამოყენებით 2.3-ზე მეტ აპლიკაციაში გამოვლინდა დაახლოებით 50,000 მილიონი დაუცველობა. ტოპ ათეული ყველაზე კრიტიკული ონლაინ აპლიკაციების უსაფრთხოების შესახებ, OWASP Top 10 - 2017 მიხედვით, არის:
- ინჟექტორი
- ავთენტიფიკაციის პრობლემები
- ექსპოზიცია მგრძნობიარე მონაცემების XML გარე ერთეულები (XXE)
- წვდომის კონტროლი, რომელიც არ მუშაობს
- უსაფრთხოების არასწორი კონფიგურაცია
- საიტიდან საიტის სკრიპტირება (XSS)
- დესერიალიზაცია, რომელიც არ არის უსაფრთხო
- კომპონენტების გამოყენება, რომლებსაც აქვთ ცნობილი ხარვეზები
- შესვლა და მონიტორინგი არასაკმარისია.
აქედან გამომდინარე, ვებსაიტებისა და ონლაინ სერვისების დაცვის პრაქტიკა უსაფრთხოების სხვადასხვა საფრთხისგან, რომლებიც იყენებენ აპლიკაციის კოდის სისუსტეებს, ცნობილია, როგორც ვებ აპლიკაციის უსაფრთხოება. კონტენტის მართვის სისტემები (მაგ., WordPress), მონაცემთა ბაზის ადმინისტრირების ხელსაწყოები (მაგ., phpMyAdmin) და SaaS აპლიკაციები ყველა ჩვეულებრივი სამიზნეა ონლაინ აპლიკაციების თავდასხმებისთვის.
ვებ აპლიკაციები განიხილება მოძალადეების მიერ მაღალი პრიორიტეტის სამიზნეებად, რადგან:
- მათი საწყისი კოდის სირთულის გამო, უყურადღებო დაუცველობა და მავნე კოდის მოდიფიკაცია უფრო სავარაუდოა.
- მაღალი ღირებულების ჯილდოები, როგორიცაა მგრძნობიარე პერსონალური ინფორმაცია, რომელიც მიღებულია კოდის ეფექტური გაყალბებით.
- შესრულების სიმარტივე, რადგან თავდასხმების უმეტესობა შეიძლება ადვილად ავტომატიზირებული იყოს და განურჩევლად განლაგდეს ათასობით, ათობით ან თუნდაც ასობით ათასი სამიზნეზე ერთდროულად.
- ორგანიზაციები, რომლებიც ვერ იცავენ თავიანთ ვებ აპლიკაციებს, დაუცველები არიან თავდასხმის მიმართ. ამან შეიძლება გამოიწვიოს მონაცემთა ქურდობა, კლიენტებთან ურთიერთობის დაძაბვა, გაუქმებული ლიცენზიები და სამართლებრივი ქმედებები, სხვა საკითხებთან ერთად.
დაუცველობა საიტებზე
შეყვანის/გამოსვლის სანიტარიზაციის ხარვეზები ხშირია ვებ აპლიკაციებში და ისინი ხშირად იყენებენ წყაროს კოდის შესაცვლელად ან არაავტორიზებული წვდომის მისაღებად.
ეს ხარვეზები იძლევა სხვადასხვა თავდასხმის ვექტორების ექსპლუატაციის საშუალებას, მათ შორის:
- SQL Injection – როდესაც დამნაშავე მანიპულირებს backend მონაცემთა ბაზაში მავნე SQL კოდით, ინფორმაცია ვლინდება. სიის უკანონო დათვალიერება, ცხრილის წაშლა და ადმინისტრატორის არაავტორიზებული წვდომა ამ შედეგებს შორისაა.
- XSS (Cross-site Scripting) არის ინექციური შეტევა, რომელიც მიზნად ისახავს მომხმარებლებს, რათა მიიღონ წვდომა ანგარიშებზე, გაააქტიურონ ტროასები ან შეცვალონ გვერდის შინაარსი. როდესაც მავნე კოდი შეჰყავთ პირდაპირ აპლიკაციაში, ეს ცნობილია როგორც შენახული XSS. როდესაც მავნე სკრიპტი ასახულია აპლიკაციიდან მომხმარებლის ბრაუზერზე, ეს ცნობილია როგორც ასახული XSS.
- დისტანციური ფაილის ჩართვა – შეტევის ეს ფორმა საშუალებას აძლევს ჰაკერს შეიყვანოს ფაილი ვებ აპლიკაციის სერვერში დისტანციური მდებარეობიდან. ამან შეიძლება გამოიწვიოს აპლიკაციის შიგნით საშიში სკრიპტების ან კოდის შესრულება, ასევე მონაცემთა მოპარვა ან მოდიფიკაცია.
- ჯვარედინი მოთხოვნის გაყალბება (CSRF) – თავდასხმის ტიპი, რომელსაც შეუძლია გამოიწვიოს ფულის გაუთვალისწინებელი გადარიცხვა, პაროლის შეცვლა ან მონაცემთა ქურდობა. ეს ხდება მაშინ, როდესაც მავნე ვებ პროგრამა ავალებს მომხმარებლის ბრაუზერს განახორციელოს არასასურველი მოქმედება ვებსაიტზე, რომელშიც ისინი შესული არიან.
თეორიულად, შეყვანის/გამოსვლის ეფექტურმა გაწმენდამ შეიძლება აღმოიფხვრას ყველა დაუცველობა, რაც აპლიკაციას გაუძლებს არაავტორიზებული მოდიფიკაციისთვის.
თუმცა, იმის გამო, რომ პროგრამების უმეტესობა განვითარების მუდმივ მდგომარეობაშია, ყოვლისმომცველი გაწმენდა იშვიათად არის ეფექტური ვარიანტი. გარდა ამისა, აპლიკაციები ჩვეულებრივ ინტეგრირებულია ერთმანეთთან, რაც იწვევს კოდირებულ გარემოს, რომელიც სულ უფრო რთული ხდება.
ასეთი საფრთხის თავიდან ასაცილებლად, უნდა განხორციელდეს ვებ აპლიკაციების უსაფრთხოების გადაწყვეტილებები და პროცესები, როგორიცაა PCI მონაცემთა უსაფრთხოების სტანდარტის (PCI DSS) სერტიფიცირება.
Firewall ვებ აპლიკაციებისთვის (WAF)
WAF-ები (ვებ აპლიკაციების firewalls) არის აპარატურული და პროგრამული გადაწყვეტილებები, რომლებიც იცავს აპლიკაციებს უსაფრთხოების საფრთხეებისგან. ეს გადაწყვეტილებები შექმნილია შემომავალი ტრაფიკის შესამოწმებლად, რათა აღმოაჩინოს და დაბლოკოს თავდასხმის მცდელობები, ანაზღაურდეს კოდის გაწმენდის ნებისმიერი ხარვეზი.
WAF განლაგება ეხება PCI DSS სერთიფიკაციის გადამწყვეტ კრიტერიუმს მონაცემების ქურდობისა და მოდიფიკაციისგან დაცვით. მონაცემთა ბაზაში დაცული საკრედიტო და სადებეტო ბარათის მფლობელის ყველა მონაცემი დაცული უნდა იყოს 6.6 მოთხოვნის შესაბამისად.
იმის გამო, რომ ის DMZ-ზე მაღლა დგას ქსელის კიდეზე, WAF-ის შექმნა ჩვეულებრივ არ საჭიროებს რაიმე ცვლილებას აპლიკაციაში. შემდეგ ის ემსახურება როგორც კარიბჭეს ყველა შემომავალი ტრაფიკისთვის, ფილტრავს სახიფათო მოთხოვნებს, სანამ ისინი დაუკავშირდებიან აპლიკაციას.
იმის შესაფასებლად, თუ რომელ ტრაფიკს აქვს წვდომა აპლიკაციაზე და რომელი უნდა აღმოიფხვრას, WAF-ები იყენებენ სხვადასხვა ევრისტიკას. მათ შეუძლიათ სწრაფად ამოიცნონ მავნე აქტორები და ცნობილი თავდასხმის ვექტორები რეგულარულად განახლებული ხელმოწერის ფონდის წყალობით.
თითქმის ყველა WAF შეიძლება მორგებული იყოს ინდივიდუალური გამოყენების შემთხვევებზე და უსაფრთხოების რეგულაციებზე, ასევე წარმოშობილ (ასევე ცნობილი როგორც ნულოვანი დღის) საფრთხეების წინააღმდეგ. დაბოლოს, შემომავალი ვიზიტორების შესახებ დამატებითი ინფორმაციის მისაღებად, თანამედროვე გადაწყვეტილებების უმეტესობა იყენებს რეპუტაციისა და ქცევის მონაცემებს.
უსაფრთხოების პერიმეტრის ასაგებად, WAF-ები ჩვეულებრივ კომბინირებულია უსაფრთხოების დამატებით გადაწყვეტილებებთან. ეს შეიძლება მოიცავდეს სერვისზე უარის თქმის (DDoS) პრევენციულ სერვისებს, რაც იძლევა დამატებით მასშტაბურობას, რომელიც საჭიროა დიდი მოცულობის შეტევების თავიდან ასაცილებლად.
საკონტროლო სია ვებ აპლიკაციის უსაფრთხოებისთვის
არსებობს მრავალი მიდგომა ვებ აპლიკაციების დასაცავად WAF-ების გარდა. ნებისმიერი ვებ აპლიკაციის უსაფრთხოების შემოწმება უნდა შეიცავდეს შემდეგ პროცედურებს:
- მონაცემთა შეგროვება — ხელით გადახედეთ აპლიკაციას, მოძებნეთ შესვლის პუნქტები და კლიენტის მხარის კოდები. კონტენტის კლასიფიკაცია, რომელიც მასპინძლობს მესამე მხარის მიერ.
- ავტორიზაცია - აპლიკაციის ტესტირებისას მოძებნეთ ბილიკის გადაკვეთა, ვერტიკალური და ჰორიზონტალური წვდომის კონტროლის საკითხები, დაკარგული ავტორიზაცია და დაუცველი, პირდაპირი ობიექტის მითითებები.
- დაიცავით ყველა მონაცემთა გადაცემა კრიპტოგრაფიით. დაშიფრულია რაიმე მგრძნობიარე ინფორმაცია? იყენებდით რაიმე ალგორითმს, რომელიც არ არის შესაფერისი? არის თუ არა შემთხვევითი შეცდომები?
- სერვისის უარყოფა — შეამოწმეთ ავტომატიზაციის საწინააღმდეგო, ანგარიშის დაბლოკვის, HTTP პროტოკოლის DoS და SQL ველური ბარათის DoS-ისთვის, რათა გააუმჯობესოთ აპლიკაციის გამძლეობა სერვისზე უარის თქმის შეტევების მიმართ. ეს არ მოიცავს უსაფრთხოებას დიდი მოცულობის DoS და DDoS შეტევებისგან, რომლებიც საჭიროებენ ფილტრაციის ტექნოლოგიებისა და მასშტაბური რესურსების ნაზავს წინააღმდეგობის გაწევას.
დამატებითი დეტალებისთვის, შეგიძლიათ შეამოწმოთ OWASP ვებ აპლიკაციის უსაფრთხოების ტესტირების მოტყუების ფურცელი (ის ასევე შესანიშნავი რესურსია უსაფრთხოებასთან დაკავშირებული სხვა თემებისთვის).
DDoS დაცვა
DDoS თავდასხმები, ან სერვისზე უარის თქმის განაწილებული თავდასხმები, ვებ აპლიკაციის შეწყვეტის ტიპიური გზაა. არსებობს მრავალი მიდგომა DDoS თავდასხმების შესამცირებლად, მათ შორის კონტენტის მიწოდების ქსელებში (CDN) მოცულობითი თავდასხმის ტრაფიკის გაუქმება და გარე ქსელების გამოყენება ნამდვილი მოთხოვნების სათანადო მარშრუტისთვის, სერვისის შეფერხების გარეშე.
DNSSEC (დომენის სახელის სისტემის უსაფრთხოების გაფართოებები) დაცვა
დომენის სახელების სისტემა, ან DNS, არის ინტერნეტის სატელეფონო წიგნი და ის ასახავს, თუ როგორ პოულობს ინტერნეტ ინსტრუმენტი, როგორიცაა ვებ ბრაუზერი, შესაბამის სერვერს. DNS ქეშის მოწამვლა, გზაზე თავდასხმები და DNS საძიებო სასიცოცხლო ციკლში ჩარევის სხვა საშუალებები გამოყენებული იქნება ცუდი მოქმედი პირების მიერ DNS მოთხოვნის პროცესის გასატაცებლად. თუ DNS არის ინტერნეტის სატელეფონო წიგნი, DNSSEC არის დაუსაბუთებელი აბონენტის ID. DNS საძიებო მოთხოვნა შეიძლება იყოს დაცული DNSSEC ტექნოლოგიის გამოყენებით.
სასერტიფიკაციო კურიკულუმის დეტალურად გასაცნობად შეგიძლიათ გააფართოვოთ და გაანალიზოთ ქვემოთ მოცემული ცხრილი.
EITC/IS/WASF ვებ აპლიკაციების უსაფრთხოების საფუძვლების სერტიფიცირების სასწავლო გეგმა მიუთითებს ღია წვდომის დიდაქტიკური მასალების ვიდეო ფორმატში. სასწავლო პროცესი დაყოფილია ეტაპობრივ სტრუქტურად (პროგრამები -> გაკვეთილები -> თემები), რომელიც მოიცავს სასწავლო გეგმის შესაბამის ნაწილებს. ასევე გათვალისწინებულია ულიმიტო კონსულტაცია დომენის ექსპერტებთან.
სერტიფიცირების პროცედურის შესახებ დეტალებისთვის შეამოწმეთ როგორ მუშაობს.
ჩამოტვირთეთ სრული ოფლაინ თვითსწავლების მოსამზადებელი მასალები EITC/IS/WASF Web Applications Security Fundamentals პროგრამისთვის PDF ფაილში
EITC/IS/WASF მოსამზადებელი მასალები – სტანდარტული ვერსია
EITC/IS/WASF მოსამზადებელი მასალები – გაფართოებული ვერსია მიმოხილვის კითხვებით