Hogyan lehet megtanulni a webalkalmazások biztonságát?

A webbiztonság igazi üzlet, és jobb, ha hamarabb tudomásul veszi, mint várni, hogy valami rossz történjen.

A technológia gyors fejlődése, beleértve a webszolgáltatásokat és alkalmazásokat is, forradalmasította a modern vállalkozásokat. Sok vállalkozás a legtöbb tevékenységét az internetre helyezte át, így a világ bármely részéről érkező alkalmazottak és üzleti partnerek könnyedén, valós időben együttműködhetnek és megoszthatnak adatokat.

A modern HTML5 webalkalmazások és a Web 2.0 bevezetése után az ügyfelek igényei megváltoztak. Most mindenki hozzá akar férni minden olyan információhoz, amelyre szüksége lehet, 24/7/365. Ennek eredményeként az online vállalkozások is arra kényszerülnek, hogy adataikat folyamatosan elérhetővé tegyék.

Bár a globális zárlat időszaka meglehetősen jól járhatott az otthonról dolgozók és az online kereskedők számára, óriási hasznot hajtott a kiberbűnözőknek is.

A növekvő online tranzakciók és távmunka lehetővé tette számukra, hogy rengeteg hitelkártya-információt törjenek fel, és megcélozzák a távoli dolgozókat és szervezeteiket. Ez az előrelépés csalókat és rosszindulatú hackereket is meghívott, akik időnként új fenyegetési vektorokat fejlesztenek ki.

Idén a vállalatok mintegy 80%-a volt tanúja a kibertámadások megugrásának, míg a koronavírus 238%-kal növelte a bankokat érő fenyegetéseket. jelentés.

Mindezen támadások mérséklésére a webalkalmazások biztonsága már régen megszületett. Ehhez az iparághoz pedig tehetséges szakemberekre van szükség, akik megmenthetik a szervezeteket az adatok, a pénz és a fogyasztói bizalom elvesztésétől.

Ennek a cikknek a célja, hogy megértse a biztonsággal kapcsolatos dolgokat, hogy mit várnak el a webbiztonsági szakemberektől, és milyen forrásokból tanulhatja meg és sajátíthatja el a készségeket.

Szóval, kezdjük?

Mi az a webalkalmazás-biztonság?

A webes biztonság, a kiberbiztonság vagy a webalkalmazás-biztonság az online szolgáltatások és webhelyek védelmének módja a különféle fenyegetésekkel szemben, amelyek kihasználják az alkalmazások kódjaival kapcsolatos sebezhetőségeket.

E támadások gyakori célpontjai az adatbázis-kezelő megoldások, például a phpMyAdmin, a SaaS-alkalmazások, a tartalomkezelő rendszerek (CMS), például a WordPress stb.

A webbiztonság célja az ilyen támadások megakadályozása az illetéktelen hozzáférés, használat, megsemmisítés/megszakítás vagy módosítás megtagadása révén.

Tehát mi az oka annak, hogy a támadók széles körben veszik célba a webes alkalmazásokat?

  • Az alkalmazás forráskódjának összetettsége, amely növeli a sebezhetőségek és a kódmanipuláció valószínűségét.
  • Az alkalmazások könnyen végrehajthatók; így a támadók könnyen elindíthatják vagy automatizálhatják a támadások többségét, amelyek egyszerre több ezer alkalmazást is megcélozhatnak.
  • Nagy értékű zsákmányok, amelyek forráskód-manipuláció révén érzékeny és privát adatokat, valamint pénzügyi zsákmányt tartalmaznak

A sebezhetőség gyakori típusai

Webhelyek közötti szkriptelés (XSS)

Az XSS lehetővé teszi a támadók számára, hogy kliensoldali szkripteket töltsenek be egy weboldalba, és közvetlenül hozzáférjenek a fontos adatokhoz, rávegyék a felhasználókat fontos adatok közzétételére, vagy kiadják magukat a felhasználóknak. Ennek következményei közé tartozik a fiókokhoz való hozzáférés, a trójaiak aktiválása, az oldal tartalmának megváltoztatása stb.

Telephelyek közötti kérelem-hamisítás (CSRF)

A CSRF becsapja az áldozatokat, amikor olyan kérést nyújtanak be, amely az ő felhatalmazásukat vagy hitelesítésüket használja fel. Ezért ezeken a fiókjogosultságokon keresztül a támadók a felhasználónak megszemélyesítő kéréseket intézhetnek. Ez pénzátutalást, jelszómódosítást stb.

Szolgáltatásmegtagadás (DoS) és elosztott szolgáltatásmegtagadás (DDoS)

A támadók különféle támadási forgalommal terhelik túl a megcélzott szervert és/vagy annak infrastruktúráját. Amint a szerver nem képes hatékonyan feldolgozni a sejtett kéréseket, lomhán kezd viselkedni, és végül megtagadja a szolgáltatást több bejövő kéréstől, még a jogos látogatóktól is.

  15 legjobb ingyenes és nyílt forráskódú NAS szoftver

SQL injekció 💉

A támadó által használt módszer a sebezhetőségek kihasználására, hasonlóan ahhoz, ahogyan az adatbázisok végrehajtják a keresési lekérdezéseket. A támadók az SQI-t használják jogosulatlan adatokhoz való hozzáférésre, felhasználói engedélyek létrehozására vagy módosítására, érzékeny adatok megsemmisítésére vagy manipulálására stb.

Távoli fájl beillesztés

A támadók arra használják, hogy rosszindulatú fájlokat kódokkal fecskendezzenek be egy webalkalmazás-szerverbe, hogy végrehajtsák ezeket a kódokat, hogy károsítsák az alkalmazást, manipulálják azt, és adatlopást hajtsanak végre.

Mások

Egyéb támadások közé tartozik a memória sérülése, az adatszivárgás, a kattintástörés, a címtárbejárás, a parancsinjektálás, a vaj túlcsordulása stb.

Remélem, ezek elegendőek ahhoz, hogy megértsük, a webes biztonság az idő szükségessége, és miért kell mindenkinek a lehető leghamarabb bevezetnie, mielőtt az bármilyen veszélyt jelenthet az alkalmazásra, és anyagilag vagy hírnevét sértheti.

A növekvő igények miatt sokan jelentkeznek tanulni. És ha szívesen elsajátítanád ezt a tárgyat, nagyszerű karrierlehetőség lehet, és személyes szinten is előnyös.

Mit csinálnak a webbiztonsági szakemberek?

A webes biztonsági szakemberek felelősek a webalkalmazások, a releváns hálózatok és az alkalmazások adatainak védelméért. Segítenek csökkenteni az adatszivárgást a hálózat figyelésével és a fenyegetésekre való reagálással.

Ezek a szakemberek hálózati vagy rendszergazdai, programozói háttérrel rendelkeznek. Ez azért van, mert ez a terület kíváncsiságot, kritikai gondolkodást, kutatási szenvedélyt és tanulást igényel. Képesnek kell lenniük túljárni a hackerek eszén, akik „pusztítóan kreatívak” a különféle fenyegetések kifejlesztésében és bejuttatásában.

Mivel a biztonsági fenyegetések bármikor felbukkanhatnak, a biztonsági szakembereknek naprakésznek kell lenniük a hackerek által a rendszerekbe és hálózatokba való behatolás során alkalmazott legújabb taktikákkal. A webbiztonsági szakemberek néhány feladata a következők:

  • Keresse meg a webalkalmazások, adatbázisok és titkosítás sebezhetőségét.
  • Csökkentse a támadásokat a biztonsági problémák megoldásával
  • Rendszeresen végezzen ellenőrzéseket a legjobb biztonsági gyakorlatok biztosítása érdekében
  • Telepítsen végpontmegelőző és -észlelő eszközöket a rosszindulatú támadások megelőzésére
  • Valósítson meg rendszereket a sebezhetőségek kezelésére a felhőben és a helyszíni eszközökön keresztül
  • Ha támadás történik, végezze el a tisztítást
  • Együttműködjön más IT-műveletekkel a katasztrófa utáni helyreállítás megtervezésében.
  • Dolgozzon együtt a csapatvezetőkkel és a HR-rel, hogy az összes alkalmazottat felvilágosítsa a gyanús tevékenységek észlelésére.

Néhány bevált biztonsági gyakorlat a webalkalmazások védelmére

Webalkalmazások tűzfalainak (WAF) használata

A WAF segít megvédeni webalkalmazásait a rosszindulatú HTTP-kérésekkel szemben. Gátat helyez a támadó és a szerver közé. Meg tudja védeni a hetedik réteget olyan fenyegetésekkel szemben, mint az XSS, CSRF, SQL injekció stb.

DDoS enyhítése

Ahogy a neve is sugallja, az alkalmazások DDoS és a hálózati réteg támadásainak mérséklésére szolgál, így biztosítva a webhelyek, alkalmazások és szerver infrastruktúra védelmét.

Bot 🤖 szűrés

Úgy van megvalósítva, hogy kiszűrje a rossz bot forgalmat.

DNS védelem

Ennek célja, hogy megvédje DNS-kérelmét az on-path támadásoktól és a DNS-gyorsítótár-mérgezésektől való eltérítéstől.

HTTPS használata

A HTTPS titkosítja a szerver és az ügyfél között kicserélt összes adatot, hogy megvédje a bejelentkezési hitelesítő adatokat, a fejlécadatokat, a cookie-kat, a kérési adatokat stb.

Tehát, ha elhatározta, hogy megtanulja a webalkalmazások biztonságát, tekintse meg a következő oktatási forrásokat, és fejlessze készségeit 🧑‍💻.

PortSwigger

Tanuljon a Burp Suite készítőitől – a különféle kiberbiztonsági eszközök vezető platformja PortSwigger. Ez egy online és INGYENES képzés, amely fellendítheti karrierjét a kiberbiztonság területén.

Az interaktív laborok segítségével bármikor és bárhonnan tanulhat, valamint nyomon követheti előrehaladását az idő múlásával. Oktatást biztosít az üzleti logikai sebezhetőségekről, az információk nyilvánosságra hozataláról, a webes gyorsítótár mérgezéséről, a nem biztonságos deszerializálásról, az SQL-befecskendezésről, az XSS-ről, a CSRF-ről, az XXE-injekcióról és még sok másról.

A PortSwigger tananyagait tapasztalt szakemberek, kutatócsoport és alapítójuk, Dafydd Stuttard készíti. Ő a szerzője egy híres könyvnek is, a Web Application Hacker’s Handbook (Webalkalmazás-hacker kézikönyve) címmel.

Az oktatóanyagokat a szövegben és a videóban részletesen elmagyarázzuk, hogy könnyebben megjegyezzük a legfontosabb pontokat. Interaktív laborjaik izgalmassá teszik a kurzust, és valósághű rejtvényeket kérnek fel, hogy teszteljék hacker-készségeidet.

  Tanuljon meg gyorsabban beírni a kódot egy gépelési oktatóval

EdX

Web Security Fundamentals by EdX kiválóan alkalmas az alapelvek megértésére. Áttekintést ad a gyakori támadásokról és ellenintézkedésekről, amelyek mindegyikre csak teátrálisan és gyakorlati szempontból alkalmasak.

Ezenkívül megtanítják Önnek a webalkalmazások biztonságossá tételére jelenleg érvényes legjobb biztonsági gyakorlatokat. Ha szeretne csatlakozni a tanfolyamhoz, nincs szükség előzetes biztonsági ismeretekre. De ha megteszi, az sokat segít abban, hogy jobban megértse az olyan dolgokat, mint a HTTP, JavaScript, HTML stb.

A tanfolyam időtartama 5 hét, amely heti 4-6 órát foglal magában. Teljesen INGYENES tanulni; ha azonban szeretné, 48,97 USD-t fizethet, hogy megkapja az intézmény logójával ellátott, ellenőrzött és oktató által aláírt bizonyítványt. Ez a tanúsítvány felhasználható az álláslehetőségek növelésére, és megosztható a LinkedIn-en, vagy beépíthető önéletrajzába vagy önéletrajzába.

Stanford

A CS 253 Web Security tanfolyam által Stanford a teljes webbiztonsági összefoglalót kínálja, és célja, hogy a hallgatók megértsék a gyakori webes támadásokat és azok megelőzésének módját. A kurzus nemcsak az alapokat, hanem a webbiztonság haladó készségeit is lefedi.

Néhány téma a következőket tartalmazza:

  • Webbiztonsági alapelvek
  • Támadások és ellenintézkedések
  • Webalkalmazások sebezhetőségei
  • Böngésző biztonsági modellje
  • Injekciós, DoS és TLS támadások
  • Ujjlenyomat, adatvédelem, azonos eredetű szabályzat, hitelesítés, webhelyek közötti szkriptelés, JavaScript biztonság
  • Mélyreható védelem
  • Felmerülő fenyegetések
  • Biztonságos kódok írásának technikái, biztonsági kihasználások
  • A fejlődő webes szabványok megvalósítása és a gyenge webalkalmazások védelme

Ahhoz, hogy részt vegyen ezen a tanfolyamon, CS 142-es vagy bármilyen más, ezzel egyenértékű webfejlesztési tapasztalattal kell rendelkeznie. Itt a jelenlét kötelező, az osztályozás alapja:

  • 75% a megbízásokra
  • 25% a záróvizsgán

A jobb felkészüléshez elolvashatja a megoldást a Záróvizsga 2019 és egyéb mintakérdések CS 253-hoz.

Kezdő barátságos

Kétségtelenül, Udemy az egyik legjobb hely az online tanuláshoz különféle kurzusokhoz; a webalkalmazások biztonsága az egyik ilyen. Ha kezdő vagy, akkor ez a kurzus nagyszerű számodra, mivel nem igényel előzetes kódolási ismereteket.

Ezen a tanfolyamon megtanulhatod:

  • Az OWASP vagy az Open Web Application Security Project által észlelt 10 legjobb fenyegetés azonosítása
  • Megérteni, hogyan lehet ezeket a fenyegetéseket mérsékelni
  • Minden fenyegetés hatása az Ön vállalkozására
  • Hogyan hajtják végre a támadók ezeket a fenyegetéseket

A kurzus a legegyszerűbb nyelven van elmagyarázva, így mindenki megértheti, aki kevés információval rendelkezik az interneten és a számítógépen. Tartalmazza továbbá a mélyreható védelmet, a hamisítás magyarázatát, az információ nyilvánosságra hozatalát, a manipulációt, a visszautasítást, a privilégiumok kiterjesztését és a DoS-t.

Tapasztalt oktatók állnak rendelkezésére, hogy megtanítsák mindazt, ami a webes biztonság alapjainak elsajátításához szükséges.

Coursera

Egy másik nagyon jó lehetőség a listán Coursera, amely megtanítja az OWASP ZAP vagy a Zed Attack Proxy használatát. Ez az eszköz segít a biztonsági szakembereknek, valamint a penetrációtesztelőknek a sebezhetőségek megtalálásában.

  • Megtanítják, hogyan kereshet sebezhetőséget, elemezheti a vizsgálat eredményeit, jelentéseket készíthet belőlük stb.
  • Megtanulja továbbá a böngészőproxy konfigurációját is, amellyel a válaszok és kérések passzív, webhelyek feltárása révén történő vizsgálatához szükséges.
  • Rövid magyarázat a webalkalmazás és a böngésző között előforduló webes kérések megtekintésére, elfogására, továbbítására és módosítására.
  • Ezenkívül megtanulja a szótárlisták használatát mappák és fájlok keresésére a webszerveren.
  • Ezenkívül megértheti, hogyan térképezheti fel a webhelyeket, hogy URL-eket és linkeket találjon.

A tanfolyam oktatói lépésről lépésre végigvezetik Önt az osztott képernyős videó minden témáján, és mivel a felhőben található, nem kell időt vesztegetnie a letöltéssel. A Coursera minden programhoz külön költség nélkül biztosít tanúsítványt.

PentesterLab

PentesterLab kiterjed az alapoktól a haladó szintekig. Megtanítják, hogyan kell manuálisan megtalálni, majd kihasználni a sebezhetőségeket. Valamennyi gyakorlatuk lefedi a különböző rendszerekben fellelhető gyakori gyengeségeket vagy problémákat.

  A KDE Connect telepítése Linuxra az Andriod fájljainak és értesítéseinek eléréséhez

A jobb tanulás érdekében valós rendszereket és valós sebezhetőségeket biztosítanak, így valós időben tanulhat, emuláció nélkül. Online gyakorlataik segítségével bizonyítványokat szerezhet a tanfolyam elvégzése után. Az összes gyakorlat kitűzőkre van osztva, amelyeket befejezhet, és megszerezheti a tanúsítványt.

Youtube

Youtube a tudás központja; csak a megfelelő módon kell használni!

Tehát van egy csatorna – a Google Chrome Developers 505 000 feliratkozóval a YouTube-on, amelyre ránézhet tanulni.

Ebben az oktatóanyagban megismerheti néhány tipikus támadási vektort, és megismerheti, hogyan védheti meg adatait, felhasználóit és hírnevét. Ezután egy új kurzussal ismerkedhetsz meg, amelynek célja tömör előadások és gyakorlati gyakorlatok nyújtása olyan témákban, mint a védekezés és a támadás.

Mozilla

Forduljon felfelé MDN webdokumentumok a Mozillától, és hozzáférhet a webbiztonságról szóló hasznos cikkekhez. Az itt felsorolt ​​cikkek számos témával foglalkoznak, például tartalombiztonság, kapcsolatbiztonság, adatbiztonság, információszivárgás, adatintegritás, kattintás elleni védelem, felhasználói adatok biztonsága stb.

Az ezekben a cikkekben található információk segítenek megvédeni webhelyét és annak összes kódját az adatlopás és támadások ellen. Megtudhat néhány érdekes dolgot, például hogyan javíthatja ki webhelyét, ha blokkolja a vegyes tartalmat, az aláírási algoritmusokról stb.

Invicti

Átfogó cikk a szerzőtől Invicti alkalmas arra, hogy elmagyarázza a webalkalmazások biztonságának aprólékos részleteit. Kiválóan megírva, hogy még kezdőknek is segítsen megérteni a webbiztonságban használt kifejezéseket és technológiákat.

A cikk bemutatja a webalkalmazások biztonságának mítoszait és alapjait, valamint azt, hogy a mai vállalkozások hogyan javíthatják webhelyeik és alkalmazásaik biztonságát, hogy távol tartsák a kibertámadókat.

Itt megtudhatja:

  • Hogyan védheti meg webes alkalmazásait
  • A megfelelő sebezhetőség-ellenőrző kiválasztása
  • Különbség az ingyenes és a kereskedelmi webes sebezhetőségi szkenner között
  • Hogyan tesztelheti a sebezhetőségi szkennert, és mikor kell használni
  • Néhány bevált módszer a webszerver és más összetevők védelmére

NÉLKÜL

Vegye fel ezt a tanfolyamot – SEC22 from NÉLKÜL ha a webalkalmazások védelmét célozza meg. Segít megérteni a webalkalmazásához kapcsolódó összes biztonsági rést, így megvédheti webes eszközeit.

A kurzus bemutatja az építészet, az infrastruktúra és a kódolás mérséklő technikáit a valós módszerek mellett. Megismerheti ezeknek a sebezhető pontoknak a természetét, hogy megértse, miért fordulnak elő, és hogyan csökkentheti őket.

Alkalmas azoknak, akik webalkalmazások kezeléséért, megvalósításáért vagy védelméért felelősek. Tartalmazhatnak alkalmazásbiztonsági elemzőket, építészeket, fejlesztőket, auditokat, tolltesztelőket stb.

A tanfolyam olyan témákat érint, mint:

  • Az OWASP 10 legjobb fenyegetés
  • Konkrét problémák a CWE 25 legnépszerűbb szoftverhibájából
  • Felhő integrálása webalkalmazásba
  • Az alkalmazás nyelvének beállítása
  • Infrastruktúra konfiguráció és biztonsági menedzsment
  • Hitelesítési mechanizmusok
  • HTTP fejlécek
  • Az üzleti logika hibái
  • Kódolási hibák, például XSS, CSRF, SQL injekció stb.

Ha ismeri a webalkalmazás-koncepciók és -technológiák, például a JavaScript és a HTML alapjait, érdemes folytatni a tanfolyamot.

Cloudflare

Ez egy másik cikk a listán Cloudflare amely a webalkalmazások biztonságával kapcsolatos dolgokat fedi le.

Pontosabban elmagyarázza:

  • Mi ennek a terminológiának a jelentése,
  • Néhány tipikus sebezhetőség, majd
  • Bevált módszerek a webes biztonsági rések megelőzésére

Olvassa el ezt a cikket, hogy tisztázzon néhány alapvető fogalmat, amelyek sokat segítenek Önnek, amikor regisztrál egy webalkalmazás-biztonsági programra.

Következtetés

A webalkalmazások biztonságának elsajátítása kulcsfontosságúvá vált, mivel a kibertámadások gyorsan növekednek.

Minden jót!