EITC/IS/WASF Web Uygulamaları Güvenliğinin Temelleri, temel web protokollerinin güvenliğinden gizlilik, tehditler ve web trafiğinin farklı katmanlarına yönelik tehditler ve saldırılar aracılığıyla World Wide Web hizmetlerinin güvenliğinin teorik ve pratik yönlerine ilişkin Avrupa BT Sertifikasyon programıdır. sunucu güvenliği, web tarayıcıları ve web uygulamaları dahil olmak üzere daha yüksek katmanlarda güvenlik ve ayrıca kimlik doğrulama, sertifikalar ve kimlik avı.
EITC/IS/WASF Web Uygulamaları Güvenlik Temelleri müfredatı, HTML ve JavaScript web güvenliği konularına giriş, DNS, HTTP, tanımlama bilgileri, oturumlar, tanımlama bilgisi ve oturum saldırıları, Aynı Köken Politikası, Siteler Arası İstek Sahteciliği, Aynısı için istisnaları kapsar. Kaynak İlkesi, Siteler Arası Komut Dosyası Çalıştırma (XSS), Siteler Arası Komut Dosyası Çalıştırma savunmaları, web parmak izi, web'de gizlilik, DoS, kimlik avı ve yan kanallar, Hizmet Reddi, kimlik avı ve yan kanallar, enjeksiyon saldırıları, Kod yerleştirme, taşıma katman güvenliği (TLS) ve saldırılar, gerçek dünyada HTTPS, kimlik doğrulama, WebAuthn, web güvenliğini yönetme, Node.js projesinde güvenlik endişeleri, sunucu güvenliği, güvenli kodlama uygulamaları, yerel HTTP sunucu güvenliği, DNS yeniden bağlama saldırıları, tarayıcı saldırıları, tarayıcı Bu EITC Sertifikasyonu için bir referans olarak kapsamlı video didaktik içeriği kapsayan aşağıdaki yapı içinde güvenli tarayıcı kodu yazmanın yanı sıra.
Web uygulaması güvenliği, web sitesi, web uygulaması ve web hizmeti güvenliğine odaklanan bir bilgi güvenliği alt kümesidir. Web uygulama güvenliği, en temel düzeyde, uygulama güvenliği ilkelerine dayanır, ancak bunları özellikle internet ve web platformlarında uygular. Web uygulaması güvenlik duvarları gibi web uygulaması güvenlik teknolojileri, HTTP trafiğiyle çalışmak için özel araçlardır.
Open Web Application Security Project (OWASP), hem ücretsiz hem de açık kaynaklar sunar. Kar amacı gütmeyen bir OWASP Vakfı bundan sorumludur. 2017 OWASP İlk 10, 40'tan fazla ortak kuruluştan toplanan kapsamlı verilere dayanan mevcut çalışmanın sonucudur. Bu veriler kullanılarak 2.3'den fazla uygulamada yaklaşık 50,000 milyon güvenlik açığı tespit edildi. OWASP İlk 10 – 2017'ye göre en kritik on çevrimiçi uygulama güvenliği sorunu şunlardır:
- Enjeksiyon
- Kimlik doğrulama sorunları
- Açık hassas veri XML harici varlıkları (XXE)
- Çalışmayan erişim kontrolü
- Güvenliğin yanlış yapılandırılması
- Siteden siteye komut dosyası oluşturma (XSS)
- Güvenli olmayan seri durumdan çıkarma
- Bilinen kusurları olan bileşenleri kullanma
- Günlüğe kaydetme ve izleme yetersizdir.
Bu nedenle, bir uygulamanın kodundaki zayıflıklardan yararlanan çeşitli güvenlik tehditlerine karşı web sitelerini ve çevrimiçi hizmetleri savunma uygulaması, web uygulaması güvenliği olarak bilinir. İçerik yönetim sistemleri (ör. WordPress), veritabanı yönetim araçları (ör. phpMyAdmin) ve SaaS uygulamaları, çevrimiçi uygulama saldırılarının ortak hedefleridir.
Web uygulamaları, failler tarafından yüksek öncelikli hedefler olarak kabul edilir, çünkü:
- Kaynak kodlarının karmaşıklığı nedeniyle, katılımsız güvenlik açıkları ve kötü niyetli kod değişikliği olasılığı daha yüksektir.
- Etkili kaynak kodu kurcalama yoluyla elde edilen hassas kişisel bilgiler gibi yüksek değerli ödüller.
- Yürütme kolaylığı, çünkü çoğu saldırı kolayca otomatikleştirilebilir ve aynı anda binlerce, on ve hatta yüz binlerce hedefe ayrım gözetmeksizin konuşlandırılabilir.
- Web uygulamalarını koruyamayan kuruluşlar saldırılara karşı savunmasızdır. Bu, diğer şeylerin yanı sıra veri hırsızlığına, gergin müşteri ilişkilerine, iptal edilen lisanslara ve yasal işlemlere yol açabilir.
Web sitelerindeki güvenlik açıkları
Giriş/çıkış temizleme kusurları web uygulamalarında yaygındır ve kaynak kodunu değiştirmek veya yetkisiz erişim sağlamak için sıklıkla kullanılırlar.
Bu kusurlar, aşağıdakiler de dahil olmak üzere çeşitli saldırı vektörlerinin kullanılmasına izin verir:
- SQL Enjeksiyonu – Bir fail, kötü niyetli SQL koduyla bir arka uç veritabanını manipüle ettiğinde, bilgiler açığa çıkar. Yasadışı liste tarama, tablo silme ve yetkisiz yönetici erişimi sonuçları arasındadır.
- XSS (Siteler Arası Komut Dosyası Oluşturma), hesaplara erişmek, Truva atlarını etkinleştirmek veya sayfa içeriğini değiştirmek için kullanıcıları hedefleyen bir enjeksiyon saldırısıdır. Kötü amaçlı kod doğrudan bir uygulamaya enjekte edildiğinde, bu, depolanmış XSS olarak bilinir. Kötü amaçlı komut dosyası bir uygulamadan kullanıcının tarayıcısına yansıtıldığında, bu yansıtılan XSS olarak bilinir.
- Uzak Dosya Dahil Etme – Bu saldırı biçimi, bir bilgisayar korsanının uzak bir konumdan bir web uygulama sunucusuna dosya enjekte etmesine olanak tanır. Bu, uygulama içinde tehlikeli komut dosyalarının veya kodların yürütülmesine ve ayrıca veri hırsızlığına veya değiştirilmesine neden olabilir.
- Siteler Arası İstek Sahteciliği (CSRF) – İstenmeyen nakit aktarımı, parola değişiklikleri veya veri hırsızlığı ile sonuçlanabilecek bir saldırı türü. Kötü amaçlı bir web programı, bir kullanıcının tarayıcısına, oturum açtıkları bir web sitesinde istenmeyen bir eylem gerçekleştirme talimatı verdiğinde oluşur.
Teoride, etkin girdi/çıktı temizleme, tüm güvenlik açıklarını ortadan kaldırarak bir uygulamayı yetkisiz değişikliklere karşı dayanıklı hale getirebilir.
Bununla birlikte, çoğu program sürekli bir gelişim halinde olduğundan, kapsamlı temizlik nadiren uygulanabilir bir seçenektir. Ayrıca, uygulamalar genellikle birbirleriyle entegredir ve bu da giderek daha karmaşık hale gelen kodlanmış bir ortamla sonuçlanır.
Bu tür tehlikelerden kaçınmak için PCI Data Security Standard (PCI DSS) sertifikası gibi web uygulaması güvenlik çözümleri ve süreçleri uygulanmalıdır.
Web uygulamaları için güvenlik duvarı (WAF)
WAF'ler (web uygulaması güvenlik duvarları), uygulamaları güvenlik tehditlerinden koruyan donanım ve yazılım çözümleridir. Bu çözümler, herhangi bir kod temizleme kusurunu telafi ederek saldırı girişimlerini tespit etmek ve engellemek için gelen trafiği denetlemek üzere tasarlanmıştır.
WAF dağıtımı, verileri hırsızlığa ve değişikliğe karşı koruyarak PCI DSS sertifikası için çok önemli bir kriteri ele alır. Bir veritabanında tutulan tüm kredi ve banka kartı sahibi verileri, Gereksinim 6.6'ya göre korunmalıdır.
Ağın ucundaki DMZ'sinin önüne geçtiğinden, bir WAF kurmak genellikle bir uygulamada herhangi bir değişiklik yapılmasını gerektirmez. Ardından, gelen tüm trafik için bir ağ geçidi görevi görür ve tehlikeli istekleri bir uygulamayla etkileşime girmeden önce filtreler.
Hangi trafiğin bir uygulamaya erişmesine izin verildiğini ve hangilerinin ayıklanması gerektiğini değerlendirmek için WAF'ler çeşitli buluşsal yöntemler kullanır. Düzenli olarak güncellenen imza havuzu sayesinde kötü niyetli aktörleri ve bilinen saldırı vektörlerini hızla tespit edebilirler.
Neredeyse tüm WAF'ler, ortaya çıkan (sıfır gün olarak da bilinir) tehditlerle mücadelenin yanı sıra bireysel kullanım durumları ve güvenlik düzenlemelerine göre uyarlanabilir. Son olarak, çoğu modern çözüm, gelen ziyaretçiler hakkında ek bilgiler elde etmek için itibar ve davranış verilerini kullanır.
Bir güvenlik çevresi oluşturmak için, WAF'ler genellikle ek güvenlik çözümleriyle birleştirilir. Bunlar, yüksek hacimli saldırıları önlemek için gereken ekstra ölçeklenebilirliği sağlayan dağıtılmış hizmet reddi (DDoS) önleme hizmetlerini içerebilir.
Web uygulaması güvenliği için kontrol listesi
WAF'lere ek olarak web uygulamalarını korumaya yönelik çeşitli yaklaşımlar vardır. Herhangi bir web uygulaması güvenlik kontrol listesi aşağıdaki prosedürleri içermelidir:
- Veri toplama — Giriş noktalarını ve istemci tarafı kodlarını arayarak uygulamayı elle gözden geçirin. Üçüncü bir tarafça barındırılan içeriği sınıflandırın.
- Yetkilendirme — Uygulamayı test ederken yol geçişlerini, dikey ve yatay erişim denetimi sorunlarını, eksik yetkilendirmeyi ve güvenli olmayan, doğrudan nesne referanslarını arayın.
- Tüm veri aktarımlarını kriptografi ile güvence altına alın. Herhangi bir hassas bilgi şifrelendi mi? Enfiye etmeyen herhangi bir algoritma kullandınız mı? Herhangi bir rastgelelik hatası var mı?
- Hizmet reddi — Bir uygulamanın hizmet reddi saldırılarına karşı direncini artırmak için anti-otomasyon, hesap kilitleme, HTTP protokolü DoS ve SQL joker karakter DoS için test edin. Bu, direnmek için filtreleme teknolojileri ve ölçeklenebilir kaynakların bir karışımını gerektiren yüksek hacimli DoS ve DDoS saldırılarına karşı güvenliği içermez.
Daha fazla ayrıntı için OWASP Web Uygulaması Güvenlik Testi Hile Sayfasına bakılabilir (aynı zamanda güvenlikle ilgili diğer konular için harika bir kaynaktır).
DDoS koruması
DDoS saldırıları veya dağıtılmış hizmet reddi saldırıları, bir web uygulamasını kesintiye uğratmanın tipik bir yoludur. DDoS saldırılarını azaltmak için, İçerik Dağıtım Ağlarında (CDN'ler) hacimsel saldırı trafiğini atmak ve hizmet kesintisine neden olmadan gerçek istekleri uygun şekilde yönlendirmek için harici ağlar kullanmak dahil olmak üzere bir dizi yaklaşım vardır.
DNSSEC (Alan Adı Sistemi Güvenlik Uzantıları) koruması
Alan adı sistemi veya DNS, İnternet'in telefon rehberidir ve web tarayıcısı gibi bir İnternet aracının ilgili sunucuyu nasıl bulduğunu yansıtır. DNS önbellek zehirlenmesi, yolda saldırılar ve DNS arama yaşam döngüsüne müdahale etmenin diğer yolları, kötü aktörler tarafından bu DNS istek sürecini ele geçirmek için kullanılacaktır. DNS, İnternet'in telefon rehberiyse, DNSSEC sahte olmayan arayan kimliğidir. Bir DNS arama isteği, DNSSEC teknolojisi kullanılarak korunabilir.
Kendinizi sertifika müfredatı hakkında ayrıntılı olarak tanımak için aşağıdaki tabloyu genişletebilir ve analiz edebilirsiniz.
EITC/IS/WASF Web Uygulamaları Güvenlik Temelleri Sertifikasyon Müfredatı, açık erişimli didaktik materyallere bir video biçiminde atıfta bulunur. Öğrenme süreci, ilgili müfredat bölümlerini kapsayan adım adım bir yapıya (programlar -> dersler -> konular) bölünmüştür. Alan uzmanları ile sınırsız danışmanlık da sağlanmaktadır.
Sertifikasyon prosedürü kontrolü ile ilgili ayrıntılar için Nasıl Çalışır?.
EITC/IS/WASF Web Uygulamaları Güvenliğinin Temelleri programına yönelik çevrimdışı kendi kendine öğrenme hazırlık malzemelerinin tamamını PDF dosyası olarak indirin
EITC/IS/WASF hazırlık malzemeleri – standart versiyon
EITC/IS/WASF hazırlık materyalleri – inceleme sorularını içeren genişletilmiş versiyon