EITC/IS/WAPT ვებ აპლიკაციების შეღწევადობის ტესტირება არის ევროპული IT სერტიფიცირების პროგრამა ვებ აპლიკაციების შეღწევადობის ტესტირების თეორიულ და პრაქტიკულ ასპექტებზე (თეთრი ჰაკინგი), მათ შორის სხვადასხვა ტექნიკის ვებსაიტების spidering, სკანირება და თავდასხმის ტექნიკა, მათ შორის სპეციალიზებული შეღწევადობის ტესტირების ხელსაწყოები და კომპლექტები. .
EITC/IS/WAPT ვებ აპლიკაციების შეღწევადობის ტესტირების სასწავლო პროგრამა მოიცავს Burp Suite-ის შესავალს, ვებ სპრაიდერინგს და DVWA-ს, უხეში ძალის ტესტირებას Burp Suite-ით, ვებ აპლიკაციის firewall-ის (WAF) გამოვლენას WAFW00F-ით, სამიზნე სკუპსა და ობობას, ფარული ფაილების აღმოჩენას. ZAP, WordPress დაუცველობის სკანირება და მომხმარებლის სახელების ჩამოთვლა, დატვირთვის ბალანსერის სკანირება, საიტის სკრიპტირება, XSS – ასახული, შენახული და DOM, პროქსი თავდასხმები, პროქსის კონფიგურაცია ZAP-ში, ფაილების და დირექტორიების შეტევები, ფაილების და დირექტორიების აღმოჩენა DirBuster-ით, ვებ შეტევების პრაქტიკა. , OWASP Juice Shop, CSRF – Cross Site Request Forgery, ქუქიების შეგროვება და საპირისპირო ინჟინერია, HTTP ატრიბუტები – ქუქიების მოპარვა, SQL ინექცია, DotDotPwn – დირექტორიაში გადასასვლელი fuzzing, iframe ინექცია და HTML ინექცია, Heartbleed exploit – კოდის აღმოჩენა, PHloit. bWAPP – HTML ინექცია, ასახული POST, OS-ის ბრძანების ინექცია Commix-ით, სერვერის მხარეს მოიცავს SSI ინექცია, ტესტირება Docker-ში, OverTheWire-ში Natas, LFI და ბრძანების ინექცია, Google hacking for pentesting, Google Dorks For penetration testing, Apache2 ModSecurity, ისევე როგორც Nginx ModSecurity, შემდეგი სტრუქტურის ფარგლებში, რომელიც მოიცავს ყოვლისმომცველ ვიდეო დიდაქტიკურ კონტენტს, როგორც მითითებას ამ EITC სერთიფიკაციისთვის.
ვებ აპლიკაციის უსაფრთხოება (ხშირად მოხსენიებული, როგორც Web AppSec) არის ვებსაიტების დიზაინის კონცეფცია, რომ ნორმალურად იმოქმედონ მაშინაც კი, როდესაც მათზე თავდასხმა ხდება. ცნება არის უსაფრთხოების ზომების ერთობლიობის ინტეგრირება ვებ აპლიკაციაში, რათა დაიცვას მისი აქტივები მტრული აგენტებისგან. ვებ აპლიკაციები, ისევე როგორც ყველა პროგრამული უზრუნველყოფა, მიდრეკილია ხარვეზებისკენ. ამ ხარვეზებიდან ზოგიერთი არის ფაქტობრივი დაუცველობა, რომელთა გამოყენება შესაძლებელია, რაც საფრთხეს უქმნის ბიზნესს. ასეთი ხარვეზებისგან დაცულია ვებ აპლიკაციის უსაფრთხოების საშუალებით. ის გულისხმობს განვითარების უსაფრთხო მიდგომების გამოყენებას და უსაფრთხოების კონტროლის დანერგვას პროგრამული უზრუნველყოფის განვითარების სასიცოცხლო ციკლის განმავლობაში (SDLC), რაც უზრუნველყოფს დიზაინის ხარვეზებს და განხორციელების საკითხებს. ონლაინ შეღწევადობის ტესტირება, რომელსაც ახორციელებენ ექსპერტები, რომლებიც მიზნად ისახავს გამოავლინონ და გამოიყენონ ვებ აპლიკაციის დაუცველობა ეგრეთ წოდებული თეთრი ჰაკერების მიდგომის გამოყენებით, არის აუცილებელი პრაქტიკა შესაბამისი თავდაცვის უზრუნველსაყოფად.
ვებ შეღწევადობის ტესტი, რომელიც ასევე ცნობილია, როგორც ვებ კალმის ტესტი, ახდენს კიბერ თავდასხმის სიმულაციას ვებ აპლიკაციაზე, რათა აღმოაჩინოს ექსპლუატირებული ხარვეზები. შეღწევადობის ტესტირება ხშირად გამოიყენება ვებ აპლიკაციის firewall-ის დასამატებლად ვებ აპლიკაციის უსაფრთხოების კონტექსტში (WAF). კალმის ტესტირება, ზოგადად, გულისხმობს ნებისმიერი რაოდენობის აპლიკაციის სისტემებში შეღწევის მცდელობას (მაგ. API-ები, ფრონტენდ/უკან სერვერები) მოწყვლადობის აღმოსაჩენად, როგორიცაა არასანიტარული შეყვანები, რომლებიც დაუცველია კოდის ინექციის შეტევების მიმართ.
ონლაინ შეღწევადობის ტესტის დასკვნები შეიძლება გამოყენებულ იქნას WAF უსაფრთხოების პოლიტიკის კონფიგურაციისთვის და აღმოჩენილი დაუცველობის მოსაგვარებლად.
შეღწევადობის ტესტირებას აქვს ხუთი ნაბიჯი.
კალმის ტესტირების პროცედურა დაყოფილია ხუთ ეტაპად.
- დაგეგმვა და სკაუტინგი
ტესტის მოცულობისა და მიზნების განსაზღვრა, მათ შორის, რა სისტემები და გამოსაყენებელი ტესტირების მეთოდოლოგია, პირველი ეტაპია.
იმისათვის, რომ უკეთ გაიგოთ, თუ როგორ მუშაობს სამიზნე და მისი პოტენციური სისუსტეები, შეაგროვეთ ინტელექტი (მაგ., ქსელის და დომენის სახელები, ფოსტის სერვერი). - სკანირება
შემდეგი ეტაპი არის იმის გარკვევა, თუ როგორ რეაგირებს სამიზნე აპლიკაცია სხვადასხვა ტიპის შეჭრის მცდელობებზე. ეს ჩვეულებრივ მიიღწევა შემდეგი მეთოდების გამოყენებით:
სტატიკური ანალიზი – აპლიკაციის კოდის შესწავლა იმის პროგნოზირებისთვის, თუ როგორ მოიქცევა იგი გაშვებისას. ერთი პასით, ამ ინსტრუმენტებს შეუძლიათ მთელი კოდის სკანირება.
დინამიური ანალიზი არის აპლიკაციის კოდის შემოწმების პროცესი, სანამ ის მუშაობს. სკანირების ეს მეთოდი უფრო პრაქტიკულია, რადგან ის უზრუნველყოფს აპლიკაციის მუშაობის რეალურ დროში ხედვას. - წვდომის მიღება
სამიზნის სისუსტეების დასადგენად, ეს ნაბიჯი იყენებს ვებ აპლიკაციის შეტევებს, როგორიცაა სკრიპტირება, SQL ინექცია და უკანა კარები. იმის გასაგებად, თუ რა ზიანი შეიძლება მიაყენოს ამ მოწყვლადობას, ტესტერები ცდილობენ გამოიყენონ ისინი პრივილეგიების გაზრდით, მონაცემების მოპარვით, ტრაფიკის ჩარევით და ა.შ. - წვდომის შენარჩუნება
ამ ეტაპის მიზანია შეაფასოს, შეიძლება თუ არა დაუცველობის გამოყენება კომპრომეტირებულ სისტემაში გრძელვადიანი ყოფნის დასამყარებლად, რაც საშუალებას მისცემს ცუდ მსახიობს მიიღოს სიღრმისეული წვდომა. მიზანია მოწინავე მუდმივი საფრთხეების მიბაძვა, რომელიც შეიძლება დარჩეს სისტემაში თვეების განმავლობაში, რათა მოიპაროს კომპანიის ყველაზე მგრძნობიარე ინფორმაცია. - ანალიზი
შეღწევადობის ტესტის შედეგები შემდეგ იდება ანგარიშში, რომელიც შეიცავს ინფორმაციას, როგორიცაა:
დაუცველობა, რომელიც გამოიყენეს დეტალურად
მიღებული მონაცემები სენსიტიური იყო
კალმის ტესტერმა სისტემაში შეუმჩნეველი დარჩენა შეძლო.
უსაფრთხოების ექსპერტები იყენებენ ამ მონაცემებს საწარმოს WAF პარამეტრების და სხვა აპლიკაციების უსაფრთხოების გადაწყვეტილებების კონფიგურაციაში, რათა შეასწორონ დაუცველობა და თავიდან აიცილონ შემდგომი შეტევები.
შეღწევადობის ტესტირების მეთოდები
- გარე შეღწევადობის ტესტირება ფოკუსირებულია ფირმის აქტივებზე, რომლებიც ჩანს ინტერნეტში, როგორიცაა თავად ვებ აპლიკაცია, კომპანიის ვებსაიტი, აგრეთვე ელ.ფოსტის და დომენის სახელების სერვერები (DNS). მიზანია მოიპოვოს წვდომა და მოიპოვოს სასარგებლო ინფორმაცია.
- შიდა ტესტირება გულისხმობს ტესტერს, რომელსაც აქვს წვდომა აპლიკაციაზე კომპანიის ბუხარლის მიღმა, რომელიც სიმულაციას უწევს მტრული ინსაიდერის შეტევას. ეს არ არის საჭირო თაღლითი თანამშრომლის სიმულაცია. თანამშრომელი, რომლის რწმუნებათა სიგელები მოპოვებული იქნა ფიშინგის მცდელობის შედეგად, ჩვეულებრივი საწყისი წერტილია.
- ბრმა ტესტირება არის ის, როდესაც ტესტერს უბრალოდ მიეწოდება კომპანიის სახელი, რომელიც ტესტირებას ექვემდებარება. ეს საშუალებას აძლევს უსაფრთხოების ექსპერტებს დაინახონ, თუ როგორ შეიძლება მოხდეს აპლიკაციის რეალური თავდასხმა რეალურ დროში.
- ორმაგი ბრმა ტესტირება: ორმაგად ბრმა ტესტში უსაფრთხოების პროფესიონალებმა წინასწარ არ იციან იმიტირებული თავდასხმის შესახებ. მათ არ ექნებათ დრო, რომ გააძლიერონ თავიანთი სიმაგრეები დარღვევის მცდელობამდე, ისევე როგორც რეალურ სამყაროში.
- მიზნობრივი ტესტირება – ამ სცენარში ტესტერი და უსაფრთხოების პერსონალი თანამშრომლობენ და აკონტროლებენ ერთმანეთის მოძრაობას. ეს არის შესანიშნავი სასწავლო სავარჯიშო, რომელიც უსაფრთხოების გუნდს რეალურ დროში აძლევს უკუკავშირს ჰაკერების პერსპექტივიდან.
ვებ აპლიკაციის ფეიერვალები და შეღწევადობის ტესტირება
შეღწევადობის ტესტირება და WAF არის ორი ცალკე, მაგრამ დამატებითი უსაფრთხოების ტექნიკა. ტესტერი, სავარაუდოდ, გამოიყენებს WAF მონაცემებს, როგორიცაა ჟურნალები, რათა იპოვოს და გამოიყენოს აპლიკაციის სუსტი ადგილები მრავალი ტიპის კალმის ტესტირებაში (გარდა ბრმა და ორმაგი ბრმა ტესტებისა).
თავის მხრივ, კალმის ტესტირების მონაცემებს შეუძლია დაეხმაროს WAF ადმინისტრატორებს. ტესტის დასრულების შემდეგ, WAF კონფიგურაციები შეიძლება შეიცვალოს ტესტის დროს გამოვლენილი ხარვეზებისგან დასაცავად.
საბოლოოდ, კალმის ტესტირება აკმაყოფილებს უსაფრთხოების აუდიტის მეთოდების შესაბამისობის გარკვეულ მოთხოვნებს, როგორიცაა PCI DSS და SOC 2. გარკვეული მოთხოვნები, როგორიცაა PCI-DSS 6.6, შეიძლება დაკმაყოფილდეს მხოლოდ სერტიფიცირებული WAF-ის გამოყენების შემთხვევაში. თუმცა, ზემოაღნიშნული უპირატესობებისა და WAF პარამეტრების შეცვლის პოტენციალის გამო, ეს არ ხდის კალმის ტესტირებას ნაკლებად სასარგებლო.
რა მნიშვნელობა აქვს ვებ უსაფრთხოების ტესტირებას?
ვებ უსაფრთხოების ტესტირების მიზანია ვებ აპლიკაციებში უსაფრთხოების ხარვეზების იდენტიფიცირება და მათი დაყენება. განაცხადის ფენა არის ძირითადი მიზანი (ანუ ის, რაც მუშაობს HTTP პროტოკოლზე). ვებ აპლიკაციისთვის სხვადასხვა ფორმის შეყვანის გაგზავნა პრობლემების წარმოშობისა და სისტემის მოულოდნელი რეაგირების მიზნით არის საერთო მიდგომა მისი უსაფრთხოების შესამოწმებლად. ეს „უარყოფითი ტესტები“ გამოიყურება იმის დასადგენად, აკეთებს თუ არა სისტემა ისეთ რამეს, რისი მიღწევაც არ იყო გამიზნული.
ასევე მნიშვნელოვანია გვესმოდეს, რომ ვებ-უსაფრთხოების ტესტირება უფრო მეტს გულისხმობს, ვიდრე აპლიკაციის უსაფრთხოების მახასიათებლების (როგორიცაა ავტორიზაცია და ავტორიზაცია) უბრალოდ შემოწმება. ასევე გადამწყვეტი მნიშვნელობა აქვს სხვა ფუნქციების უსაფრთხოდ განლაგებას (მაგ., ბიზნეს ლოგიკა და სათანადო შეყვანის ვალიდაციის და გამომავალი კოდირების გამოყენება). მიზანია დავრწმუნდეთ, რომ ვებ აპლიკაციის ფუნქციები უსაფრთხოა.
რა არის უსაფრთხოების შეფასების მრავალი სახეობა?
- ტესტი დინამიური აპლიკაციის უსაფრთხოებისთვის (DAST). აპლიკაციის უსაფრთხოების ეს ავტომატური ტესტი საუკეთესოდ შეეფერება დაბალი რისკის მქონე აპებს, რომლებიც უნდა აკმაყოფილებდეს უსაფრთხოების მარეგულირებელ მოთხოვნებს. DAST-ის შერწყმა ზოგად მოწყვლადობაზე უსაფრთხოების ზოგიერთ სახელმძღვანელოსთან ონლაინ ტესტირებასთან არის საუკეთესო სტრატეგია საშუალო რისკის მქონე აპლიკაციებისთვის და უმნიშვნელო ცვლილებებისთვის.
- უსაფრთხოების შემოწმება სტატიკური აპლიკაციებისთვის (SAST). აპლიკაციის უსაფრთხოების ეს სტრატეგია მოიცავს როგორც ავტომატურ, ასევე მექანიკურ ტესტირების მეთოდებს. იდეალურია შეცდომების აღმოსაჩენად აპლიკაციების ცოცხალ გარემოში გაშვების გარეშე. ის ასევე საშუალებას აძლევს ინჟინერებს დაასკანირონ წყაროს კოდი, რათა აღმოაჩინონ და გამოასწორონ პროგრამული უზრუნველყოფის უსაფრთხოების ხარვეზები სისტემატური გზით.
- შეღწევადობის გამოცდა. ეს სახელმძღვანელო აპლიკაციის უსაფრთხოების ტესტი იდეალურია არსებითი აპლიკაციებისთვის, განსაკუთრებით მათთვის, რომლებიც განიცდიან მნიშვნელოვან ცვლილებებს. მოწინავე თავდასხმის სცენარების მოსაძებნად, შეფასება იყენებს ბიზნეს ლოგიკას და მოწინააღმდეგეზე დაფუძნებულ ტესტირებას.
- აპლიკაციის თვითდაცვა გაშვების დროს (RASP). აპლიკაციის უსაფრთხოების ეს მზარდი მეთოდი აერთიანებს სხვადასხვა ტექნოლოგიურ ტექნიკას აპლიკაციის ინსტრუმენტირებისთვის, რათა საფრთხეების ყურება და, იმედია, თავიდან აიცილოს რეალურ დროში, როდესაც ისინი წარმოიქმნება.
რა როლს თამაშობს აპლიკაციის უსაფრთხოების ტესტირება კომპანიის რისკის შემცირებაში?
ვებ აპლიკაციებზე თავდასხმების დიდი უმრავლესობა მოიცავს:
- SQL Injection
- XSS (სივრცის სკრიპტირება)
- დისტანციური ბრძანების შესრულება
- ბილიკის გავლის შეტევა
- შეზღუდული წვდომა კონტენტზე
- გატეხილი მომხმარებლის ანგარიშები
- მავნე კოდის ინსტალაცია
- დაკარგული გაყიდვების შემოსავალი
- მომხმარებელთა ნდობა ეცემა
- ზიანს აყენებს ბრენდის რეპუტაციას
- და ბევრი სხვა შეტევა
დღევანდელ ინტერნეტ გარემოში, ვებ აპლიკაციას შეიძლება ზიანი მიაყენოს სხვადასხვა გამოწვევებმა. ზემოთ მოცემული გრაფიკა ასახავს თავდამსხმელების მიერ განხორციელებულ რამდენიმე ყველაზე გავრცელებულ თავდასხმას, რომელთაგან თითოეულმა შეიძლება მნიშვნელოვანი ზიანი მიაყენოს ინდივიდუალურ აპლიკაციას ან მთელ ბიზნესს. მრავალი თავდასხმის ცოდნა, რომლებიც აპლიკაციას დაუცველს ხდის, ისევე როგორც შეტევის შესაძლო შედეგები, საშუალებას აძლევს კომპანიას დროზე ადრე მოაგვაროს დაუცველობა და ეფექტურად შეამოწმოს ისინი.
შემარბილებელი კონტროლი შეიძლება დაწესდეს SDLC-ის ადრეულ ფაზებზე, რათა თავიდან იქნას აცილებული რაიმე პრობლემა დაუცველობის ძირეული მიზეზის იდენტიფიცირებით. ვებ აპლიკაციის უსაფრთხოების ტესტის დროს, ცოდნა იმის შესახებ, თუ როგორ მუშაობს ეს საფრთხეები, ასევე შეიძლება გამოყენებულ იქნას ცნობილი საინტერესო ადგილების სამიზნედ.
შეტევის გავლენის აღიარება ასევე მნიშვნელოვანია კომპანიის რისკის მართვისთვის, რადგან წარმატებული თავდასხმის ზემოქმედება შეიძლება გამოყენებულ იქნას მთლიანობაში დაუცველობის სიმძიმის დასადგენად. თუ დაუცველობა აღმოჩენილია უსაფრთხოების ტესტის დროს, მათი სიმძიმის დადგენა საშუალებას აძლევს კომპანიას პრიორიტეტულად მიენიჭოს გამოსასწორებელი ძალისხმევა უფრო ეფექტურად. კომპანიისთვის რისკის შესამცირებლად, დაიწყეთ კრიტიკული სიმძიმის საკითხებით და იმუშავეთ ქვემოთ, რათა შეამციროთ გავლენა.
პრობლემის იდენტიფიცირებამდე, კომპანიის აპლიკაციების ბიბლიოთეკაში თითოეული პროგრამის შესაძლო გავლენის შეფასება დაგეხმარებათ აპლიკაციის უსაფრთხოების ტესტირების პრიორიტეტად მინიჭებაში. Wenb უსაფრთხოების ტესტირება შეიძლება დაიგეგმოს პირველ რიგში ფირმის კრიტიკულ აპლიკაციებზე, უფრო მიზანმიმართული ტესტირებით, რათა შეამციროს რისკი ბიზნესისთვის. მაღალი დონის აპლიკაციების ჩამოყალიბებული სიით, wenb უსაფრთხოების ტესტირება შეიძლება დაიგეგმოს პირველ რიგში ფირმის კრიტიკულ აპლიკაციებზე, უფრო მიზანმიმართული ტესტირებით, რათა შეამციროს რისკი ბიზნესის მიმართ.
რა ფუნქციები უნდა შემოწმდეს ვებ აპლიკაციის უსაფრთხოების ტესტის დროს?
ვებ აპლიკაციის უსაფრთხოების ტესტირებისას გაითვალისწინეთ ფუნქციების შემდეგი არასრული სია. თითოეული მათგანის არაეფექტურმა განხორციელებამ შეიძლება გამოიწვიოს სისუსტეები, რაც საფრთხეს უქმნის კომპანიას.
- აპლიკაციისა და სერვერის კონფიგურაცია. დაშიფვრა/კრიპტოგრაფიული კონფიგურაციები, ვებ სერვერის კონფიგურაციები და ა.შ. ყველა პოტენციური ხარვეზის მაგალითია.
- შეყვანისა და შეცდომის დამუშავების ვალიდაცია. შეყვანისა და გამომავალი დამუშავების ცუდი დამუშავება იწვევს SQL ინექციას, ადგილზე სკრიპტირებას (XSS) და სხვა ტიპურ ინექციის პრობლემებს.
- სესიების ავთენტიფიკაცია და შენარჩუნება. დაუცველობა, რამაც შეიძლება გამოიწვიოს მომხმარებლის იმიტაცია. ასევე მხედველობაში უნდა იქნას მიღებული რწმუნებათა სიძლიერე და დაცვა.
- ავტორიზაცია. აპლიკაციის შესაძლებლობების დაცვა ვერტიკალური და ჰორიზონტალური პრივილეგიების გაზრდისგან შემოწმებულია.
- ლოგიკა ბიზნესში. პროგრამების უმეტესობა, რომლებიც უზრუნველყოფენ ბიზნეს ფუნქციონირებას, ეყრდნობა მათ.
- ლოგიკა კლიენტის ბოლოს. ამ ტიპის ფუნქცია სულ უფრო ხშირია თანამედროვე, JavaScript-ით დატვირთულ ვებგვერდებთან, ასევე ვებგვერდებთან, რომლებიც იყენებენ კლიენტის მხარის სხვა ტიპის ტექნოლოგიებს (მაგ. Silverlight, Flash, Java აპლეტები).
სასერტიფიკაციო კურიკულუმის დეტალურად გასაცნობად შეგიძლიათ გააფართოვოთ და გაანალიზოთ ქვემოთ მოცემული ცხრილი.
EITC/IS/WAPT ვებ აპლიკაციების შეღწევადობის ტესტირების სერტიფიცირების სასწავლო გეგმა მიუთითებს ღია წვდომის დიდაქტიკური მასალების ვიდეო ფორმატში. სასწავლო პროცესი დაყოფილია ეტაპობრივ სტრუქტურად (პროგრამები -> გაკვეთილები -> თემები), რომელიც მოიცავს სასწავლო გეგმის შესაბამის ნაწილებს. ასევე გათვალისწინებულია ულიმიტო კონსულტაცია დომენის ექსპერტებთან.
სერტიფიცირების პროცედურის შესახებ დეტალებისთვის შეამოწმეთ როგორ მუშაობს.
ჩამოტვირთეთ სრული ოფლაინ თვითსწავლების მოსამზადებელი მასალები EITC/IS/WAPT ვებ აპლიკაციების შეღწევადობის ტესტირების პროგრამისთვის PDF ფაილში
EITC/IS/WAPT მოსამზადებელი მასალები – სტანდარტული ვერსია
EITC/IS/WAPT მოსამზადებელი მასალები – გაფართოებული ვერსია მიმოხილვის კითხვებით