Uvod u sigurnost web aplikacija

Sada živimo u svijetu Weba. Svakog dana postoji milijun transakcija koje se odvijaju na internetu u svim oblastima poput bankarstva, škola, poslovanja, najboljih svjetskih institucija, istraživačkih centara. Izuzetno je važno da su podaci kojima se vrši transakcija vrlo sigurni, a komunikacija pouzdana. Otuda dolazi važnost osiguranja weba.

Što je sigurnost web aplikacija?

Sigurnost web aplikacija je grana informacijske sigurnosti koja se bavi sigurnošću web aplikacija, web usluga i web stranica. To je vrsta sigurnosti aplikacija koja se posebno primjenjuje na web ili internetskoj razini.

Web sigurnost je važna jer se web aplikacije napadaju zbog lošeg kodiranja ili nepravilnog saniranja ulaza i izlaza aplikacija. Česti napadi web sigurnosti su skripta skripta na različitim lokacijama (XSS) i SQL injekcije.

Osim XSS, SQL ubrizgavanja, ostale vrste napada web sigurnosti su proizvoljno izvršavanje koda, otkrivanje puta, oštećenje memorije, daljinsko uključivanje datoteka, prekrivanje spremnika, uključivanje lokalnih datoteka itd. Web sigurnost u potpunosti se temelji na ljudima i procesima. Stoga je izuzetno važno da programeri koriste ispravne standarde kodiranja i provjere ispravnosti za sve takve prijetnje web sigurnosti prije nego što web stranice pokrenu uživo.

Zapravo se sigurnosne provjere moraju primijeniti u vrlo ranoj fazi razvoja i nastaviti primjenjivati ​​u svim fazama životnog ciklusa razvoja softvera. Programeri moraju biti dobro obučeni za kibernetičku sigurnost i sigurne prakse kodiranja. Jednokratno testiranje aplikacije definitivno nije učinkovito. U svim fazama treba provoditi stalnu regresiju za napade web sigurnosti.

Standardizacija web sigurnosti

OWASP (Open Security Security Project) je tijelo za standardizaciju sigurnosti web aplikacija. Pruža cjelovitu dokumentaciju, alate, tehnike i metodologije u području sigurnosti web aplikacija. OWASP je jedan od nepristranih izvora informacija o najboljim praksama u sigurnosti web aplikacija.

OWASP Top Rizici za web sigurnost

Ispod su glavni rizici za web sigurnost prijavljeni na OWASP.

SQL ubrizgavanje:

Ovo je vrsta napada ubrizgavanja koja omogućuje izvršavanje zlonamjernih i neprimjerenih SQL upita koji mogu kontrolirati baze podataka web poslužitelja. Napadači mogu upotrebljavati SQL izjave kako bi zaobišli sigurnosne mjere aplikacija. Mogu potvrditi ili autorizirati web stranice ili web stranice i dobiti sadržaj SQL baze podataka zaobilazeći SQL izjave. Ovaj se napad može dogoditi na web lokacijama koje kao baze podataka koriste SQL, MYSQL, Oracle itd. Prema dokumentaciji OWASP 2017 ovo je najzastupljeniji i najopasniji sigurnosni napad.

Cross Site Scripting (XSS):

To omogućuje napadačima da ubrizgavaju skripte na strani klijenta u web aplikacije i web stranice koje pregledavaju drugi korisnici. Ranjivost skripta na različitim web lokacijama može se upotrijebiti za zaobilaženje politika kao što su iste politike podrijetla. Prema 2007, XSS je činio 84% svih sigurnosnih napada na webu.

Ovisno o osjetljivosti podataka, XSS može biti manji napad ili velika prijetnja web mjestima.

Exploiters ubacuju zlonamjerne podatke u sadržaj koji se isporučuje pregledniku klijenta. Kad se podaci predaju klijentu, izgleda da kombinirani podaci dolaze od samog pouzdanog poslužitelja i da na kraju klijenta imaju sve skupove dozvola. Napadač sada može dobiti povećani pristup i privilegije osjetljivom sadržaju stranice, sesijskim kolačićima i raznim drugim informacijama.

Prekinuta provjera autentičnosti i upravljanje sesijama:

Ovaj napad omogućuje uhvatiti ili zaobići autentifikaciju na web stranici ili aplikaciji.

To je više slab standard kojeg prati programer web mjesta koji uzrokuje probleme poput, na primjer,

  • Predvidljive vjerodajnice za prijavu.
  • Ne ispravno štiti vjerodajnice za prijavu korisnika prilikom pohrane.
  • ID-ovi sesije izloženi u URL-u.
  • Lozinke, ID-ovi sesije ne šalju se preko šifriranih URL-ova.
  • Vrijednosti sesije ne istječu nakon određenog vremena.

Da bi se spriječili ovi napadi, programer bi trebao biti oprezan u održavanju odgovarajućih standarda poput zaštite lozinki i pravilnog podešavanja lozinki tijekom prolaska, ne izlaganja ID-ova sesije, istekanja sesije nakon određenog vremena, rekreiranja sesijskih ID-ova nakon uspješne prijave. pokušaj.

Popraviti pokvarenu autentifikaciju

  • Duljina zaporke treba održavati barem 8 znakova.
  • Lozinka bi trebala biti složena kako korisnik ne bi mogao to predvidjeti. Ovo bi trebalo koristiti ispravna pravila za postavljanje zaporke kao alfanumeričke, posebne znakove i kombinacije velikih i malih slova.
  • Neuspjesi autentifikacije nikada ne bi trebali ukazivati ​​koji je dio podataka za provjeru autentičnosti netočan. Odgovori na pogreške trebali bi u određenoj mjeri biti generički. Npr .: nevaljane vjerodajnice umjesto da prikazuju korisničko ime ili lozinku koje su točno netačne.

Pogrešne konfiguracije:

Ovo je jedna od loših praksi koja web stranice čini ranjivim na napade. Jer npr. Konfiguracije poslužitelja aplikacija vraćaju cijeli trag snopa korisnicima tako da napadači znaju gdje je problem i prema tome napadaju web mjesta. Da bi se spriječili takvi slučajevi, važno je da se primijeni snažna arhitektura aplikacija i povremeno izvršavaju sigurnosna skeniranja.

Zaključak

Vrlo je važno da svaka web stranica slijedi odgovarajuće standarde, održava odgovarajuće tehnike kodiranja, ima robusnu arhitekturu aplikacija, povremeno pokreće skeniranja i neuspjeh te pokušava u većoj mjeri izbjeći napade web sigurnosti.

Preporučeni članci

Ovo je vodič o sigurnosti web aplikacija. Ovdje smo razgovarali o uvodu, standardizaciji, glavnim rizicima web sigurnosti. Možete pogledati i sljedeće članke da biste saznali više -

  1. Pitanja o intervjuu za cyber sigurnost
  2. Pitanja o intervjuu za web razvoj
  3. Karijera u web razvoju
  4. Što je Elasticsearch?
  5. Što je skriptu na različitim mjestima?

Kategorija:

Razvoj softvera