Увод у безбедност веб апликација
Сада живимо у свету Веба. Сваког дана се догоди зилион трансакција које се одвијају на мрежи у свим областима попут банкарства, школа, бизниса, најбољих светских институција, истраживачких центара. Изузетно је важно да подаци који се обављају буду врло сигурни, а комуникација поуздана. Отуда долази важност осигурања веба.
Шта је безбедност веб апликација?
Безбедност веб апликација је грана безбедности информација која се бави безбедношћу веб апликација, веб услуга и веб локација. То је врста безбедности апликација која се посебно примењује на веб или Интернет нивоу.
Веб сигурност је важна јер се веб апликације нападају због лошег кодирања или неправилног санирања улаза и излаза апликација. Уобичајени напади веб безбедности су скриптови на различитим локацијама (КССС) и СКЛ убризгавања.
Поред КССС, СКЛ убризгавања, друге врсте напада безбедности на веб страници су произвољно извршавање кода, откривање пута, оштећење меморије, даљинско укључивање датотека, преливање заштитног слоја, укључивање локалних датотека итд. Веб безбедност у потпуности се заснива на људима и процесима. Стога је изузетно важно да програмери користе одговарајуће стандарде кодирања и провере исправности за било какве такве претње веб безбедношћу пре него што веб локације покрену.
Заправо се сигурносне провјере морају примјењивати у врло раној фази развоја и наставити примјењивати у свим фазама животног циклуса развоја софтвера. Програмери морају бити добро обучени за кибернетичку сигурност и сигурне праксе кодирања. Једнократно тестирање апликације дефинитивно није ефикасно. У свим фазама треба проводити сталну регресију за нападе на веб безбедност.
Стандардизација веб безбедности
ОВАСП (Опен Сецурити Сецурити Пројецт) је тело за стандарде за сигурност веб апликација. Пружа комплетну документацију, алате, технике и методологије у области безбедности веб апликација. ОВАСП је један од непристрасних извора информација о најбољим праксама у безбедности веб апликација.
ОВАСП Најважнији ризици веб безбедности
Испод су главни ризици веб сигурности пријављени на ОВАСП.
СКЛ убризгавање:
Ово је врста напада убризгавања која омогућава извршавање злонамерних и неправилних СКЛ упита којима би се могло контролисати базе података веб сервера. Нападачи могу користити СКЛ изјаве како би заобишли мере заштите апликација. Они могу аутентифицирати или ауторизирати веб странице или веб странице и добити садржај СКЛ база података заобилазећи СКЛ изјаве. Овај напад се може догодити на веб локацијама које користе СКЛ, МИСКЛ, Орацле итд. Као базе података. Према документацији ОВАСП 2017 ово је најзаступљенији и најопаснији сигурносни напад.
Цросс Сите Сцриптинг (КССС):
То омогућава нападачима да убризгавају скрипте на страни клијента у веб апликације и веб странице које прегледавају други корисници. Рањивост скрипта на различитим локацијама може се користити да се заобиђу политике попут исте политике порекла. У 2007. години КССС је чинио 84% свих сигурносних напада на вебу.
У зависности од осетљивости података, КССС може бити мали напад или велика претња веб локацијама.
Екплоитерс убацују злонамерне податке у садржај који се испоручује прегледачу клијента. Када се подаци предају клијенту, изгледа да су комбиновани подаци дошли од самог поузданог сервера и да на крају клијента имају све скупове дозвола. Нападач сада може добити повећан приступ и привилегије осетљивом садржају странице, сесијским колачићима и разним другим информацијама.
Прекинута аутентификација и управљање сесијама:
Овај напад омогућава или снимање или заобилазак аутентификације на веб страници или апликацији.
Ово је више слаби стандард праћен програмером веб локација који узрокују проблеме попут, на пример,
- Предвидљива вјеродајница за пријаву.
- Не исправно штити вјеродајнице за пријаву корисника приликом складиштења.
- ИД-ови сесије изложени у УРЛ-у.
- Лозинке, ИД-ови сесије се не шаљу преко шифрованих УРЛ-ова.
- Вриједности сесије не истекну након одређеног времена.
Да би се спречили ови напади, програмер би требао бити опрезан у одржавању исправних стандарда попут заштите лозинки и правилног хасхирања истих док се не излажу, не излагања ИД-ова сесије, тимеирања сесије након одређеног времена, поновног креирања сесијских ИД-ова након успешне пријаве. покушај.
За поправљање прекинуте аутентификације
- Дужина лозинке треба да се задржи најмање 8 знакова.
- Лозинка би требало да буде сложена да корисник не може да је предвиди. Ово би требало да користи исправна правила за постављање лозинке као што су алфанумеричка, посебна комбинација знакова и броја великих и малих слова.
- Неуспјеси аутентификације никада не би требали указивати који је дио података за провјеру аутентичности неточан. Одговори на грешке требали би у одређеној мјери бити генерички. Нпр.: Неважећи акредитиви уместо приказа корисничког имена или лозинке који су тачно нетачни.
Погрешне конфигурације:
Ово је једна од лоших пракси која веб странице чини рањивим на нападе. Нпр. Конфигурације послужитеља апликација враћају читав траг стока корисницима који упозоравају нападаче да знају гдје је мана и према томе нападају веб локације. Да бисте спречили такве случајеве, важно је да се имплементира снажна архитектура апликација и повремено извршава скенирање безбедности.
Закључак
Веома је важно да сваки вебсајт поштује одговарајуће стандарде, одржава одговарајуће технике кодирања, има робусну архитектуру апликација, периодично извршава скенирање без грешке и покушава да у већој мери избегне нападе веб безбедности.
Препоручени чланци
Ово је водич за безбедност веб апликација. Овде смо разговарали о уводу, стандардизацији, главним ризицима веб безбедности. Такође можете погледати следеће чланке да бисте сазнали више -
- Питања о интервјуу за цибер безбедност
- Питања о интервјуу за веб развој
- Каријера у развоју веба
- Шта је Еластицсеарцх?
- Шта је скрипта на више места?