Како научити безбедност веб апликација?

by
Tweet
Share
Share
Pin

Безбедност на интернету је од суштинског значаја и препоручљиво је обратити пажњу на њу пре него што дође до нежељених ситуација.

Развој технологије, посебно веб сервиса и апликација, значајно је променио начин на који модерне компаније функционишу. Већина предузећа пребацила је своје пословање на интернет, омогућавајући запосленима и партнерима широм света да сарађују и размењују информације у реалном времену.

Са увођењем савремених HTML5 веб апликација и Веба 2.0, очекивања корисника су се променила. Данас свако жели непрекидан приступ потребним информацијама, 24 сата дневно, 365 дана у години. Због тога су и онлајн компаније приморане да своје податке учине стално доступним.

Иако је период глобалних ограничења био повољан за рад од куће и онлајн продају, сајбер криминалци су такође имали велику корист од тога.

Повећање онлајн трансакција и рада на даљину омогућило је хакерима да дођу до велике количине информација о кредитним картицама и да циљају раднике на даљину и њихове организације. Овај тренд је такође привукао преваранте и злонамерне хакере који константно развијају нове методе напада.

Према извештају, око 80% компанија је ове године забележило пораст сајбер напада, а претње банкама су се повећале за 238% због пандемије.

Као одговор на ове нападе, развијена је безбедност веб апликација. Ова област захтева стручњаке који могу да заштите организације од губитка података, финансијских средстава и поверења клијената.

Циљ овог чланка је да разјасни концепте безбедности, шта се очекује од професионалаца за веб безбедност, и да представи ресурсе за стицање и унапређење потребних вештина.

Па, да почнемо?

Шта је безбедност веб апликација?

Веб безбедност, сајбер безбедност или безбедност веб апликација представљају начине заштите онлајн сервиса и веб сајтова од различитих претњи, експлоатацијом слабости у коду апликација.

Честе мете ових напада укључују системе за управљање базама података као што је пхпМиАдмин, СааС апликације, системе за управљање садржајем (CMS) као што је WordPress и многе друге.

Сврха веб безбедности је да спречи неовлашћен приступ, коришћење, уништавање, ометање или модификацију података и система.

Зашто су веб апликације честе мете нападача?

  • Сложена природа изворног кода апликација повећава могућност постојања рањивости и манипулације кодом.
  • Апликације се лако извршавају, што омогућава нападачима да једноставно покрену или аутоматизују нападе на хиљаде апликација истовремено.
  • Висока вредност плена укључује осетљиве и приватне податке, који се могу добити манипулацијом изворног кода, као и финансијску добит.

Уобичајени типови рањивости

Скриптовање на више локација (XSS)

XSS омогућава хакерима да убаце скрипте на клијентској страни веб странице и директно приступе важним подацима, обману кориснике да открију осетљиве информације или се лажно представе као корисници. Последице могу бити приступ налозима, активирање тројанаца и промена садржаја странице.

Фалсификовање захтева на више локација (CSRF)

CSRF обмањује жртве да пошаљу захтев користећи њихове дозволе или аутентификацију. На тај начин, нападачи могу слати захтеве представљајући се као корисник, што може довести до трансфера новца или промене лозинке.

Ускраћивање услуге (DoS) и дистрибуирано ускраћивање услуге (DDoS)

Нападачи преоптерећују циљани сервер и његову инфраструктуру великим бројем захтева. Када сервер постане неспособан да обрађује захтеве, постаје спор и на крају одбија услугу за нове захтеве, чак и од легитимних корисника.

SQL ињекција 💉

Нападачи користе ову методу да искористе слабости у начину на који базе података извршавају упите. Путем SQL ињекције, нападачи могу да приступе неовлашћеним подацима, креирају или модификују корисничке налоге, униште или измене осетљиве податке.

Даљинско укључивање датотека

Нападачи користе даљинско укључивање датотека за убацивање злонамерних кодова у сервер веб апликације, како би извршили ове кодове и нашкодили апликацији, манипулисали њоме или украли податке.

Други

Остали напади укључују оштећење меморије, повреде података, прелазак преко директоријума, убризгавање команди и преливање бафера.

Ове информације показују колико је безбедност на вебу важна и зашто је неопходно применити је што пре, како би се избегле потенцијалне претње апликацијама и финансијска и репутацијска штета.

Услед све веће потребе за безбедношћу, многи људи се интересују за учење. Ако желите да се бавите овом облашћу, то може бити одличан избор за каријеру, као и корисно на личном нивоу.

Шта раде професионалци за веб безбедност?

Стручњаци за веб безбедност су задужени за заштиту веб апликација, повезаних мрежа и података. Они помажу у спречавању крађе података надгледањем мрежа и реаговањем на претње.

Ови стручњаци често имају искуство као мрежни или системски администратори и програмери. Ова област захтева знатижељу, критичко размишљање, страст за истраживањем и учењем. Неопходно је да буду спремни да надмудре хакере који непрестано развијају и убацују нове претње.

Безбедносне претње могу се појавити у било ком тренутку, па стручњаци за безбедност морају бити упознати са најновијим тактикама које хакери користе да би се ушуњали у системе и мреже. Неке од одговорности стручњака за веб безбедност су:

  • Откривање рањивости у веб апликацијама, базама података и шифровању.
  • Ублажавање напада решавањем безбедносних проблема.
  • Периодичне ревизије ради обезбеђивања најбољих безбедносних пракси.
  • Примена алата за превенцију и откривање напада како би се спречили злонамерни напади.
  • Имплементација система за управљање рањивостима у облаку и локално.
  • Управљање чишћењем у случају напада.
  • Сарадња са другим ИТ одељењима на планирању опоравка од катастрофе.
  • Сарадња са тим лидерима и људским ресурсима на едукацији свих запослених о препознавању сумњивих активности.

Неке најбоље безбедносне праксе за обезбеђивање веб апликација

Коришћење заштитних зидова веб апликација (WAF)

WAF помаже у заштити веб апликација од злонамерних HTTP захтева. Он представља баријеру између нападача и сервера и може заштитити седми слој од претњи као што су XSS, CSRF и SQL ињекција.

DDoS ублажавање

Ова техника се користи за ублажавање DDoS напада на апликације и мрежни слој, обезбеђујући веб странице, апликације и серверску инфраструктуру.

Бот 🤖 филтрирање

Имплементирано је за филтрирање лошег бот саобраћаја.

DNS заштита

Ова техника се користи да би се заштитио DNS захтев од напада који се спроводе путем пресретања и тровања DNS кеша.

Коришћење HTTPS-а

HTTPS шифрује све податке који се размењују између сервера и клијента како би се заштитили подаци за пријаву, информације заглавља, колачићи и подаци захтева.

Ако сте одлучили да учите о безбедности веб апликација, можете користити следеће ресурсе за учење и усавршавање својих вештина 🧑‍💻.

ПортСвиггер

Учите од креатора Burp Suite-a – водеће платформе за различите сајбер безбедносне алате ПортСвиггер. Ово је онлајн и БЕСПЛАТНА обука која може унапредити вашу каријеру у сајбер безбедности.

Уз интерактивне лабораторије, можете учити било када и са било ког места и пратити свој напредак током времена. Пружа обуку о рањивостима пословне логике, откривању информација, тровању веб кеш меморије, несигурној десериализацији, SQL ињекцији, XSS, CSRF, XXE ињекцији и још много тога.

ПортСвиггер-ов материјал за учење су направили искусни професионалци, истраживачки тим и њихов оснивач – Дафид Стутард. Он је такође аутор познате књиге „Приручник хакера за веб апликације“.

Туторијали су детаљно објашњени у тексту и видео садржају како би се лакше запамтиле кључне тачке. Њихове интерактивне лабораторије чине цео курс узбудљивим, а постављају реалне загонетке како би се тестирале ваше хакерске вештине.

ЕдКс

Основе веб безбедности од ЕдКс су одличне за разумевање основних принципа. Пружа вам преглед уобичајених напада и контрамера, како теоретски, тако и практично.

Такође ћете научити о најбољим безбедносним праксама које се тренутно користе за заштиту веб апликација. Да бисте похађали курс, није вам потребно претходно знање о безбедности. Међутим, знање о HTTP-у, JavaScript-у и HTML-у биће вам од велике користи.

Трајање курса је 5 недеља, са 4-6 часова недељно. Курс је потпуно БЕСПЛАТАН, али можете платити 48,97 долара да бисте добили верификовани сертификат са потписом инструктора и логом институције. Овај сертификат можете користити за побољшање својих перспектива за посао и можете га делити на LinkedIn-у или укључити у свој CV.

Станфорд

Курс CS 253 Веб безбедност од Станфорда нуди свеобухватан преглед веб безбедности и има за циљ да помогне студентима да разумеју уобичајене веб нападе и начине њиховог спречавања. Курс покрива не само основе већ и напредне теме у веб безбедности.

Неке од тема које су укључене:

  • Принципи веб безбедности
  • Напади и контрамере
  • Рањивости веб апликација
  • Модел безбедности претраживача
  • Ињекциони, DoS и TLS напади
  • Отисак прста, приватност, политика истог порекла, аутентификација, скриптовање на више локација, JavaScript безбедност
  • Дубинска одбрана
  • Претње које се појављују
  • Технике писања безбедног кода, безбедносне експлоатације
  • Примена напредних веб стандарда и одбрана слабих веб апликација

Да бисте похађали овај курс, потребно је да имате CS 142 или било које друго еквивалентно искуство у веб развоју. Присуство је обавезно, а оцена се заснива на:

  • 75% задаци
  • 25% завршни испит

За бољу припрему, можете погледати решење за Завршни испит 2019 и друге примерке питања за CS 253.

Пријатељски за почетнике

Без сумње, Udemy је једна од најбољих платформа за онлајн учење за различите курсеве, а безбедност веб апликација је један од њих. Ако сте почетник, овај курс је одличан за вас, јер не захтева претходно знање о кодирању.

На овом курсу ћете научити:

  • Идентификацију најбољих 10 претњи које је открио OWASP или Open Web Application Security Project
  • Разумевање како се ове претње могу ублажити
  • Утицај сваке претње на ваше пословање
  • Како нападачи извршавају ове претње

Курс је објашњен једноставним језиком, како би га разумео свако ко има основна знања о интернету и рачунарима. Такође покрива детаљну одбрану, објашњење лажирања, откривања информација, неовлашћеног приступа, одбацивања, подизања привилегија и DoS напада.

Искусни тутори вас уче свему што вам је потребно да савладате основе веб безбедности.

Coursera

Још једна одлична опција на листи је Coursera, која вас учи како да користите OWASP ZAP или Zed Attack Proxy. Овај алат помаже стручњацима за безбедност и тестерима пенетрације у проналажењу рањивости.

  • Учи се како да скенирате у потрази за рањивостима, анализирате резултате скенирања и генеришете извештаје на основу њих.
  • Такође ћете научити како да конфигуришете проксије претраживача за пасивно скенирање одговора и захтева приликом истраживања веб сајтова.
  • Кратко објашњење како да прегледате, пресретнете, проследите и измените веб захтеве који се појављују између веб апликације и претраживача.
  • Штавише, научићете да користите листе речника за проналажење фасцикли и датотека на вашем веб серверу.
  • Поред тога, моћи ћете да разумете како можете да индексирате веб сајтове помоћу паука да бисте пронашли URL-ове и везе.

Инструктори курса вас воде корак по корак кроз сваку тему у видео снимку на подељеном екрану, а пошто је у облаку, не морате губити време на преузимање. Coursera нуди сертификате за сваки програм без додатних трошкова.

ПентестерЛаб

ПентестерЛаб покрива теме од основног до напредног нивоа. Уче вас како да пронађете и ручно искористите пропусте. Све њихове вежбе покривају честе слабости или проблеме који се налазе у различитим системима.

За боље учење, они нуде праве системе и стварне рањивости како бисте могли да учите у реалном времену, без емулације. Њихове онлајн вежбе вам омогућавају да стекнете сертификате након завршетка курса. Све вежбе су подељене у беџеве које можете завршити да бисте добили сертификат.

Јутјуб

Јутјуб је центар знања, само га треба користити на прави начин!

Постоји канал – Google Chrome Developers са 505.000 претплатника на Јутјубу који можете погледати.

У овом водичу можете разумети неке типичне векторе напада и како можете заштитити своје податке, кориснике и репутацију. Упознаћете се са новим курсом који има за циљ да понуди сажета предавања и практичне вежбе о темама, укључујући одбрану и напад.

Mozilla

Погледајте MDN веб документе од Мозиле и приступите корисним чланцима о веб безбедности. Чланци покривају различите теме као што су безбедност садржаја, безбедност везе, безбедност података, цурење информација, интегритет података, заштита од кликања и безбедност корисничких података.

Информације из ових чланака помоћи ће вам да заштитите свој веб сајт и сав његов код од крађе података и напада. Можете научити занимљиве ствари, као што су како да поправите свој веб сајт, блокирате мешовити садржај, о алгоритмима потписа и још много тога.

Invicti

Свеобухватан чланак аутора Invicti успева да објасни суштину безбедности веб апликација. Одлично је написан како би помогао чак и почетницима да разумеју концепте и технологије које се користе у веб безбедности.

Чланак објашњава митове и основе безбедности веб апликација и како компаније могу побољшати безбедност својих веб сајтова и апликација како би спречиле сајбер нападе.

У чланку ћете научити:

  • Како да обезбедите своје веб апликације
  • Избор правог скенера рањивости
  • Разлику између бесплатног и комерцијалног скенера рањивости на вебу
  • Како можете тестирати свој скенер рањивости и када га користити
  • Неке најбоље праксе за обезбеђивање вашег веб сервера, као и других компоненти

SANS

Похађајте курс SEC22 од SANS ако вам је циљ одбрана веб апликација. Овај курс ће вам помоћи да разумете све безбедносне пропусте повезане са вашом веб апликацијом, како бисте могли да заштитите своју веб имовину.

Курс вас упознаје са техникама ублажавања за архитектуру, инфраструктуру и кодирање, заједно са методама из стварног света. Упознаћете се са природом ових рањивости, како бисте разумели зашто се дешавају и како да их ублажите.

Погодан је за људе који су задужени за управљање, имплементацију или одбрану веб апликација, попут аналитичара безбедности апликација, архитеката, програмера, ревизора и тестера.

Курс ће покривати теме као што су:

  • OWASP најбољих 10 претњи
  • Специфични проблеми из CVE топ 25 софтверских грешака
  • Интеграција облака у веб апликацију
  • Конфигурација језика апликације
  • Конфигурација инфраструктуре и управљање безбедношћу
  • Механизми аутентификације
  • HTTP заглавља
  • Мане у пословној логици
  • Грешке у кодирању као што су XSS, CSRF, SQL ињекција итд.

Ако разумете основе концепата и технологија веб апликација, као што су JavaScript и HTML, добро је да почнете са курсом.

Cloudflare

Ово је још један чланак на листи, аутора Cloudflare који покрива теме о безбедности веб апликација.

Чланак јасно објашњава:

  • Шта значи ова терминологија,
  • Неке типичне рањивости, а затим
  • Најбоље праксе за спречавање рањивости веб безбедности

Прочитајте овај чланак да бисте разјаснили неке основне концепте који ће вам бити од велике користи када се упишете на програм за безбедност веб апликација.

Закључак

Учење о безбедности веб апликација постало је изузетно важно због брзог повећања сајбер напада.

Све најбоље!