Úvod do zabezpečení webových aplikací

Nyní žijeme ve světě webu. Každý den dochází na webu k milionům transakcí v každé oblasti, jako je bankovnictví, školy, obchod, špičkové instituce světa, výzkumná centra. Je nesmírně důležité, aby data, která jsou předmětem transakce, byla velmi bezpečná a komunikace spolehlivá. Proto přichází důležitost zabezpečení webu.

Co je zabezpečení webových aplikací?

Zabezpečení webových aplikací je odvětví informační bezpečnosti, které se zabývá zabezpečením webových aplikací, webových služeb a webových stránek. Jedná se o určitý druh zabezpečení aplikací, který se používá konkrétně na webové nebo internetové úrovni.

Zabezpečení webu je důležité, protože webové aplikace jsou napadeny špatným kódováním nebo nesprávnou dezinfekcí vstupů a výstupů aplikace. Mezi běžné útoky na webovou bezpečnost patří skriptování mezi weby (XSS) a SQL Injections.

Kromě XSS, SQL Injections jsou dalšími typy útoků na webovou bezpečnost spuštění libovolného kódu, zveřejnění cesty, poškození paměti, vzdálené začlenění souborů, přetečení vyrovnávací paměti, lokální začlenění souborů atd. Zabezpečení webu je zcela založeno na lidech a procesech. Proto je nesmírně důležité, aby vývojáři používali řádné kódovací standardy a kontrolu rozumnosti pro všechny takové hrozby pro webovou bezpečnost, dříve než webové stránky uvedou do provozu.

Bezpečnostní kontroly musí být ve skutečnosti uplatňovány ve velmi rané fázi vývoje a musí být aplikovány v každé fázi životního cyklu vývoje softwaru. Vývojáři musí být dobře vyškoleni v kybernetické bezpečnosti a bezpečném kódování. Jednorázové testování aplikace rozhodně není efektivní. V každé fázi je třeba provádět nepřetržitou regresi útoků na webovou bezpečnost.

Standardizace zabezpečení webu

OWASP (Open Web Application Security Project) je orgán standardů pro zabezpečení webových aplikací. Poskytuje kompletní dokumentaci, nástroje, techniky a metodiky v oblasti zabezpečení webových aplikací. OWASP je jedním z nezaujatých zdrojů informací o osvědčených postupech v oblasti zabezpečení webových aplikací.

OWASP Hlavní rizika webové bezpečnosti

Níže jsou uvedena hlavní bezpečnostní rizika na webu OWASP.

SQL Injection:

Jedná se o typ útoku injekcí, který umožňuje provádět škodlivé a nesprávné dotazy SQL, které by mohly řídit databáze webového serveru. Útočníci mohou pomocí příkazů SQL obejít opatření zabezpečení aplikací. Mohou ověřit nebo autorizovat webové stránky nebo webové stránky a získat obsah databází SQL obejít příkazy SQL. K tomuto útoku může dojít na webech, které jako databáze používají SQL, MYSQL, Oracle atd. Jedná se o nejčastější a nejnebezpečnější bezpečnostní útok podle dokumentace OWASP 2017.

Skriptování mezi weby (XSS):

To útočníkům umožňuje vkládat skripty na straně klienta do webových aplikací a webových stránek zobrazených jinými uživateli. K obcházení zásad, jako je stejná zásada původu, lze použít zranitelnost skriptování mezi weby. Podle roku 2007 představoval XSS 84% všech bezpečnostních útoků na webu.

V závislosti na citlivosti dat může být XSS malým útokem nebo velkou hrozbou pro webové stránky.

Vykořisťovatelé skládají škodlivá data do obsahu, který je dodáván do klientského prohlížeče. Když jsou data doručena na klienta, vypadá to, že kombinovaná data pocházejí ze samotného důvěryhodného serveru a na konci klienta mají všechna sada oprávnění. Útočník nyní může získat zvýšený přístup a oprávnění k obsahu citlivé stránky, k souborům cookie relace a řadě dalších informací.

Nefunkční autentizace a správa relací:

Tento útok umožňuje zachytit nebo obejít ověřování na webové stránce nebo v aplikaci.

Jedná se spíše o slabý standard, který následuje vývojář webových stránek, který způsobuje problémy, jako je například

  • Předvídatelné přihlašovací údaje.
  • Nechrání přihlašovací údaje uživatele při uložení správně.
  • ID relace jsou zobrazeny v adrese URL.
  • Hesla, ID relací se neposílají přes šifrované URL.
  • Hodnoty relací nevyprší časový limit po určité době.

Aby se těmto útokům zabránilo, měl by vývojář dávat pozor na dodržování správných standardů, jako je ochrana hesel a jejich řádné hašování během předávání, nevystavování ID relací, vypršení časového limitu relace po určité době, obnovení ID relací po úspěšném přihlášení pokus.

Chcete-li opravit Broken Authentication

  • Délka hesla by měla být zachována alespoň na 8 znaků.
  • Heslo by mělo být složité, aby ho uživatel nemohl předvídat. To by mělo využívat správná pravidla pro nastavení hesla, jako jsou alfanumerické, speciální znaky a kombinace velkých a malých písmen.
  • Selhání ověření by nikdy nemělo znamenat, která část autentizačních dat je nesprávná. Reakce na chyby by měly být do určité míry obecné. Např .: Neplatné přihlašovací údaje namísto zobrazení uživatelského jména nebo hesla, které je přesně nesprávné.

Chybná konfigurace zabezpečení:

To je jedna z špatných praktik, díky nimž jsou webové stránky náchylné k útokům. Např. Konfigurace aplikačního serveru vrátí uživatelům úplné trasování zásobníku, aby útočníci věděli, kde je chyba, a podle toho zaútočí na weby. Aby se předešlo těmto případům, je důležité, aby byla implementována silná aplikační architektura a pravidelně prováděly kontroly zabezpečení.

Závěr

Je velmi důležité, aby každý web dodržoval správné standardy, udržoval správné techniky kódování, měl robustní architekturu aplikací, prověřování prováděl pravidelně bez selhání a pokusil se ve větší míře vyhnout útokům na webovou bezpečnost.

Doporučené články

Toto je průvodce zabezpečením webových aplikací. Zde jsme probrali úvod, standardizaci, hlavní rizika webové bezpečnosti. Další informace naleznete také v následujících článcích -

  1. Otázky k rozhovoru s kybernetickým zabezpečením
  2. Rozhovory s vývojem webu
  3. Kariéra ve vývoji webových aplikací
  4. Co je Elasticsearch?
  5. Co je skriptování mezi weby?

Kategorie:

Vývoj softwaru