Како научити безбедност веб апликација?

Веб безбедност је права ствар, и боље је то признати раније него чекати да се нешто лоше деси.

Брзи напредак технологије, укључујући веб услуге и апликације, револуционирао је модерна предузећа. Многа предузећа су већину својих операција пребацила на интернет, омогућавајући запосленима и пословним партнерима из било ког дела света да сарађују и лако деле податке у реалном времену.

Након што су уведене модерне ХТМЛ5 веб апликације и Веб 2.0, захтеви купаца су се променили. Сада свако жели да приступи свим информацијама које су му потребне 24/7/365. Као резултат тога, онлајн предузећа су такође принуђена да своје податке учине доступним све време.

Иако је глобални период затварања могао бити прилично добар за оне који раде од куће и онлајн продавце, он је такође имао огромне користи за сајбер криминалце.

Све веће онлајн трансакције и рад на даљину омогућили су им да хакују много информација о кредитним картицама и циљају удаљене раднике и њихове организације. Овај напредак је такође позвао преваранте и злонамерне хакере који с времена на време развијају нове векторе претњи.

Ове године је око 80 одсто компанија доживело пораст сајбер напада, док је корона вирус подстакао пораст претњи банкама за 238 одсто, каже извештај.

Да би се ублажили сви ови напади, безбедност веб апликација је рођена давно. А ова индустрија захтева талентоване професионалце који могу да спасу организације од губитка података, новца и поверења потрошача.

Ово је циљ овог чланка где ћете разумети ствари о безбедности, шта се очекује од професионалаца за веб безбедност и изворе из којих можете научити и савладати вештине.

Дакле, да почнемо?

Шта је безбедност веб апликација?

Веб безбедност, сајбер безбедност или безбедност веб апликација је начин заштите онлајн услуга и веб локација од различитих претњи искоришћавајући рањивости повезане са кодовима апликације.

Неке од уобичајених мета ових напада су решења за управљање базама података као што су пхпМиАдмин, СааС апликације, системи за управљање садржајем (ЦМС) попут ВордПресс-а и још много тога.

Веб безбедност има за циљ да спречи такве нападе одбијањем неовлашћеног приступа, коришћења, уништавања/ометања или модификације.

Дакле, који је разлог зашто нападачи широко циљају веб апликације?

  • Инхерентна сложеност изворног кода апликације, повећавајући вероватноћу рањивости, као и манипулацију кодом.
  • Апликације се лако извршавају; стога, нападачи могу лако покренути или аутоматизовати већину напада, који могу истовремено циљати хиљаде апликација.
  • Плен високе вредности који укључује осетљиве и приватне податке путем манипулације изворним кодом, као и финансијски плен

Уобичајени типови рањивости

Скриптовање на више локација (КССС)

КССС омогућава нападачима да унесу скрипте на страни клијента на веб страницу и директно приступе важним подацима, преваре кориснике да открију важне податке или се лажно представљају за кориснике. Његове последице укључују приступ налозима, активирање тројанаца, промену садржаја странице итд.

Фалсификовање захтева на више локација (ЦСРФ)

ЦСРФ вара жртве када поднесу захтев који користи њихово овлашћење или аутентификацију. Дакле, преко ових привилегија налога, нападачи могу да упућују захтеве лажно представљајући корисника. То може довести до трансфера средстава, промене лозинке итд.

Ускраћивање услуге (ДоС) и дистрибуирано ускраћивање услуге (ДДоС)

Нападачи преоптерећују циљани сервер и/или његову инфраструктуру различитим саобраћајем напада. Када сервер постане неспособан да ефикасно обрађује инклинг захтеве, он почиње да се понаша споро и ускраћује услугу на крају за више долазних захтева, чак и од легитимних посетилаца.

  15 најбољих ПИМ софтвера за ефикасно управљање подацима о производу

СКЛ ињекција 💉

Метода коју нападач користи да би искористио рањивости сличан начину на који базе података имплементирају упите за претрагу. Нападачи користе СКИ да приступе неовлашћеним подацима, креирају или модификују корисничке дозволе, уништавају или манипулишу осетљивим подацима и још много тога.

Даљинско укључивање датотека

Нападачи га користе за убацивање злонамерних датотека са кодовима у сервер веб апликација како би извршили ове кодове да нашкоде апликацији, манипулишу њоме и изврше крађу података.

Други

Остали напади укључују оштећење меморије, пробој података, прелазак преко директоријума, убризгавање команде, преливање путера и још много тога.

Надам се да је ово довољно да схватите да је безбедност на вебу потреба сата и зашто је свако мора применити што је пре могуће пре него што може да представља било какву претњу вашој апликацији и да вам нашкоди финансијски или репутационо.

Због растућих захтева, многи људи долазе напред да уче. А ако желите да научите ову тему, то би могла бити одлична опција за каријеру и корисна на личном нивоу.

Шта раде професионалци за веб безбедност?

Стручњаци за веб безбедност су они који су одговорни за заштиту веб апликација, релевантних мрежа и података апликација. Они помажу у ублажавању кршења података тако што надгледају мрежу и реагују на претње.

Ови професионалци имају позадину као мрежни или системски администратори, програмери. То је зато што ова област захтева радозналост, критичко размишљање, страст за истраживањем и учење. Морају бити у стању да надмудре хакере који су „деструктивно креативни“ у развијању и убризгавању разних претњи.

Пошто се безбедносне претње могу појавити у било ком тренутку, професионалци за безбедност морају да буду у току са свим најновијим тактикама које хакери користе да би се ушуњали у системе и мреже. Неке од одговорности стручњака за веб безбедност су:

  • Пронађите рањивости у веб апликацијама, базама података и шифровању.
  • Ублажите нападе решавањем безбедносних проблема
  • Периодично вршите ревизије како бисте осигурали најбоље безбедносне праксе
  • Примените алате за превенцију и откривање крајњих тачака да бисте спречили злонамерне нападе
  • Имплементирајте системе за управљање рањивостима преко средстава у облаку и локално
  • Побрините се за чишћење у случају да дође до напада
  • Радите са другим ИТ операцијама на планирању опоравка од катастрофе.
  • Радите са вођама тима и људским ресурсима на едукацији свих запослених да открију сумњиве активности.

Неке најбоље безбедносне праксе за обезбеђење веб апликација

Коришћење заштитних зидова веб апликација (ВАФ)

ВАФ помаже у заштити ваших веб апликација од злонамерних ХТТП захтева. Поставља баријеру између нападача и вашег сервера. Може да заштити слој седам од претњи као што су КССС, ЦСРФ, СКЛ ињекција, итд.

ДДоС ублажавање

Као што име сугерише, користи се за ублажавање ДДоС напада на апликације и мрежног слоја, чиме се обезбеђују веб странице, апликације и серверска инфраструктура.

Бот 🤖 филтрирање

Имплементиран је за филтрирање лошег бот саобраћаја.

ДНС заштита

То се ради да би се ваш ДНС захтев заштитио од отимања путем напада на путу и ​​тровања ДНС кеша.

Коришћење ХТТПС-а

ХТТПС шифрује све податке који се размењују између сервера и вашег клијента да би заштитио акредитиве за пријаву, информације заглавља, колачиће, податке захтева итд.

Дакле, ако сте одлучили да научите безбедност веб апликација, можете се обратити следећим ресурсима за учење и изоштрити своје вештине 🧑‍💻.

ПортСвиггер

Учите од креатора Бурп Суите-а – водеће платформе за разне алате за сајбер безбедност ПортСвиггер. То је онлајн и БЕСПЛАТНА обука која може да унапреди вашу каријеру у сајбер безбедности.

Уз интерактивне лабораторије, можете учити било када и са било ког места и пратити свој напредак током времена. Пружа обуку о рањивостима пословне логике, откривању информација, тровању веб кеш меморије, несигурној десериализацији, СКЛ ињекцији, КССС, ЦСРФ, КСКСЕ ињекцији и још много тога.

  10 најбољих Руст сервер хостинг провајдера у 2022 [Updated]

ПортСвиггер-ов материјал за учење су направили искусни професионалци, истраживачки тим и њихов оснивач – Дафидд Стуттард. Такође је аутор познате књиге под називом Приручник хакера за веб апликације.

Туторијали су свеобухватно објашњени у тексту и видео садржају како би лакше запамтили кључне тачке. Њихове интерактивне лабораторије чине целокупни курс узбудљивим, и ту постављају реалистичне загонетке да тестирају ваше вештине хаковања.

ЕдКс

Основе веб безбедности од ЕдКс је одличан за разумевање основних принципа. Пружа вам преглед уобичајених напада и противмера које су погодне за сваки од њих само театрално и практично.

Они вас такође уче најбољим безбедносним праксама које тренутно преовлађују у заштити веб апликација. Ако желите да се придружите курсу, није вам потребно претходно знање о безбедности. Али ако то урадите, то ће вам много помоћи да боље разумете ствари као што су ХТТП, ЈаваСцрипт, ХТМЛ итд.

Трајање курса је 5 недеља, што укључује 4-6 часова недељно. Учење је потпуно БЕСПЛАТНО; међутим, ако желите, можете платити 48,97 УСД да бисте добили оверен сертификат потписан од стране инструктора са логом институције на њему. Овај сертификат се може користити за повећање перспектива за посао и може се делити на ЛинкедИн-у или може бити укључен у ваш животопис или ЦВ.

Станфорд

Курс ЦС 253 Веб безбедност од Станфорд нуди комплетан сажетак веб безбедности и има за циљ да учини да ученици разумеју уобичајене веб нападе и како да их спрече. Курс покрива не само основе, већ и напредне склоности у веб безбедности.

Неке од тема укључују:

  • Принципи веб безбедности
  • Напади и противмере
  • Рањивости веб апликација
  • Модел безбедности претраживача
  • Ињекциони, ДоС и ТЛС напади
  • Отисак прста, приватност, политика истог порекла, аутентификација, скриптовање на више локација, ЈаваСцрипт безбедност
  • Дубинска одбрана
  • Претње које се појављују
  • Технике за писање безбедних кодова, безбедносне експлоатације
  • Примена напредних веб стандарда и одбрана слабих веб апликација

Да бисте похађали овај курс, морате имати ЦС 142 или било које друго еквивалентно искуство у веб развоју. Овде је присуство обавезно, а оцена се заснива на:

  • 75% на задатке
  • 25% на завршном испиту

Да бисте се боље припремили, можете прочитати решење за Завршни испит 2019 и други узорци питања за ЦС 253.

Пријатељски за почетнике

несумњиво, Удеми је једно од најбољих места за учење онлајн за различите курсеве; безбедност веб апликација је једна од њих. Ако сте почетник, овај курс је одличан за вас, јер не захтева претходно знање кодирања.

На овом курсу ћете научити:

  • Идентификација најбољих 10 претњи које је открио ОВАСП или Опен Веб Апплицатион Сецурити Пројецт
  • Разумевање како се ове претње могу ублажити
  • Утицај сваке претње на ваше пословање
  • Како нападачи извршавају ове претње

Курс је објашњен на најједноставнијем језику тако да свако ко има мало информација на интернету и рачунару може да га разуме. Такође покрива детаљну одбрану, објашњење лажирања, откривања информација, неовлашћеног приступа, одбацивања, подизања привилегија и ДоС-а.

Искусни тутори су ту да вас науче свему што вам је потребно да савладате основе веб безбедности.

Цоурсера

Још једна веома добра опција на листи је Цоурсера, који учи како можете да користите ОВАСП ЗАП или Зед Аттацк Проки. Овај алат помаже професионалцима за безбедност, као и тестерима пенетрације у проналажењу рањивости.

  • Они уче како можете да скенирате у потрази за рањивостима, анализирате резултате скенирања, генеришете извештаје од њих, итд.
  • Такође ћете научити конфигурацију проксија претраживача за пасивно скенирање одговора и захтева истражујући веб локације.
  • Кратко објашњење како да прегледате, пресретнете, проследите и измените веб захтеве који се јављају између веб апликације и претраживача.
  • Штавише, научићете да користите листе речника да пронађете фасцикле и датотеке на вашем веб серверу.
  • Осим тога, могли бисте да разумете како можете пауком да индексирате сајтове да бисте пронашли УРЛ-ове и везе.
  Поправи грешку ПС4 ЦЕ-32895-7

Инструктори курса вас воде корак по корак за сваку тему у видеу на подељеном екрану, а пошто је у облаку, не морате губити време на преузимање. Цоурсера обезбеђује сертификате укључене за сваки програм без додатних трошкова.

ПентестерЛаб

ПентестерЛаб покрива од основних до напредних нивоа. Они вас уче како да пронађете и затим ручно искористите пропусте. Све њихове вежбе покривају уобичајене слабости или проблеме који се налазе у различитим системима.

За боље учење, они пружају праве системе и стварне рањивости тако да можете учити у реалном времену, без емулације. Њихове онлајн вежбе вам омогућавају да добијете сертификате након завршетка курса. Све вежбе су подељене у беџеве које можете завршити да бисте добили сертификат.

ЈуТјуб

ЈуТјуб је средиште знања; само га морате користити на прави начин!

Дакле, постоји канал – Гоогле Цхроме Девелоперс са 505.000 претплатника на ИоуТубе-у који можете погледати да бисте сазнали.

У овом водичу можете разумети неке типичне векторе напада и како можете да заштитите своје податке, кориснике и репутацију. Затим ћете се упознати са новим курсом који има за циљ да пружи сажета предавања и практичне вежбе о темама укључујући одбрану и напад.

Мозилла

Окрените до МДН веб документи од Мозилла-е и приступите корисним чланцима о веб безбедности. Чланци наведени овде покривају различите теме као што су безбедност садржаја, безбедност везе, безбедност података, цурење информација, интегритет података, заштита од кликања, безбедност корисничких података итд.

Информације из ових чланака ће вам помоћи да заштитите своју веб локацију и све њене кодове од крађе података и напада. Можете научити неке занимљиве ствари као што су како можете да поправите своју веб локацију, блокирате мешовити садржај, о алгоритмима потписа и још много тога.

Инвицти

Свеобухватан чланак аутора Инвицти је способан да објасни суштину безбедности веб апликација. Одлично је написан да помогне чак и почетницима да разумеју појмове и технологије које се користе у веб безбедности.

У чланку су објашњени митови и основе безбедности веб апликација и како садашња предузећа могу побољшати безбедност својих веб локација и апликација како би држала сајбер нападаче на одстојању.

Овде ћете научити:

  • Како да обезбедите своје веб апликације
  • Избор правог скенера рањивости
  • Разлика између бесплатног и комерцијалног скенера рањивости на вебу
  • Како можете тестирати свој скенер рањивости и када га користити
  • Неке најбоље праксе за обезбеђење вашег веб сервера, као и других компоненти

САНС

Узмите овај курс – СЕЦ22 од САНС ако циљате на одбрану веб апликација. То ће вам помоћи да разумете све безбедносне пропусте повезане са вашом веб апликацијом како бисте могли да заштитите своју веб имовину.

Курс вас упознаје са техникама ублажавања за архитектуру, инфраструктуру и кодирање заједно са методама из стварног света. Упознат ћете се са природом ових рањивости да бисте разумели зашто се дешавају и како да их ублажите.

Погодан је за људе који су одговорни за управљање, имплементацију или одбрану веб апликација. Може укључивати аналитичаре безбедности апликација, архитекте, програмере, ревизоре, тестере за оловке итд.

Курс ће покривати теме као што су:

  • ОВАСП најбољих 10 претњи
  • Специфични проблеми из ЦВЕ топ 25 софтверских грешака
  • Интеграција облака у веб апликацију
  • Конфигурација језика апликације
  • Конфигурација инфраструктуре и управљање безбедношћу
  • Механизми аутентификације
  • ХТТП заглавља
  • Мане у пословној логици
  • Грешке кодирања као што су КССС, ЦСРФ, СКЛ ињекција итд.

Ако разумете основе концепата и технологија веб апликација као што су ЈаваСцрипт и ХТМЛ, добро је да кренете са курсом.

Цлоудфларе

Ово је још један чланак на листи аутора Цлоудфларе који покрива ствари о безбедности веб апликација.

Тачно, објашњава:

  • Шта је значење ове терминологије,
  • Неке типичне рањивости, а затим
  • Најбоље праксе за спречавање рањивости веб безбедности

Прочитајте овај чланак да бисте разјаснили неке основне концепте који ће вам много помоћи када се упишете за безбедносни програм веб апликација.

Закључак

Учење безбедности веб апликација постало је кључно јер се сајбер напади брзо повећавају.

Све најбоље!