EITC/IS/WASF Web 应用程序安全基础
EITC/IS/WASF Web Applications Security Fundamentals 是关于万维网服务安全的理论和实践方面的欧洲 IT 认证计划,范围从基本 Web 协议的安全性,到隐私、威胁和对不同网络流量网络通信层的攻击、网络服务器安全性,更高层的安全性,包括 Web 浏览器和 Web 应用程序,以及身份验证、证书和网络钓鱼。
EITC/IS/WASF Web 应用程序安全基础课程包括 HTML 和 JavaScript Web 安全方面的介绍、DNS、HTTP、cookie、会话、cookie 和会话攻击、同源策略、跨站点请求伪造、同源异常来源策略、跨站点脚本 (XSS)、跨站点脚本防御、网络指纹、网络隐私、DoS、网络钓鱼和旁道、拒绝服务、网络钓鱼和旁道、注入攻击、代码注入、传输层安全 (TLS) 和攻击,现实世界中的 HTTPS,身份验证,WebAuthn,管理 Web 安全,Node.js 项目中的安全问题,服务器安全,安全编码实践,本地 HTTP 服务器安全,DNS 重新绑定攻击,浏览器攻击,浏览器架构,以及编写安全浏览器代码,在以下结构中,包含全面的视频教学内容,作为此 EITC 认证的参考。
Web 应用程序安全是信息安全的一个子集,专注于网站、Web 应用程序和 Web 服务安全。 Web 应用程序安全性在最基本的层面上是基于应用程序安全原则,但它特别适用于互联网和 Web 平台。 Web 应用程序安全技术(例如 Web 应用程序防火墙)是用于处理 HTTP 流量的专用工具。
开放 Web 应用程序安全项目 (OWASP) 提供免费和开放的资源。 一个非盈利的 OWASP 基金会负责它。 2017 年 OWASP 前 10 名是当前研究的结果,该研究基于从 40 多个合作伙伴组织收集的大量数据。 使用该数据在 2.3 多个应用程序中检测到大约 50,000 万个漏洞。 根据 OWASP Top 10 – 2017,十大最关键的在线应用程序安全问题是:
- 注射
- 身份验证问题
- 暴露的敏感数据 XML 外部实体 (XXE)
- 访问控制不起作用
- 安全配置错误
- 站点到站点脚本 (XSS)
- 不安全的反序列化
- 使用存在已知缺陷的组件
- 日志记录和监控不足。
因此,保护网站和在线服务免受利用应用程序代码中的弱点的各种安全威胁的做法被称为 Web 应用程序安全性。 内容管理系统(例如 WordPress)、数据库管理工具(例如 phpMyAdmin)和 SaaS 应用程序都是在线应用程序攻击的常见目标。
Web 应用程序被犯罪者视为高优先级目标,因为:
- 由于其源代码的复杂性,无人看管的漏洞和恶意代码修改的可能性更大。
- 高价值奖励,例如通过有效源代码篡改获得的敏感个人信息。
- 易于执行,因为大多数攻击都可以很容易地自动化,并且一次可以不分青红皂白地部署到数千、数万甚至数十万个目标。
- 未能保护其 Web 应用程序的组织很容易受到攻击。 这可能导致数据被盗、客户关系紧张、许可证被取消和法律诉讼等。
网站中的漏洞
输入/输出清理漏洞在 Web 应用程序中很常见,并且经常被利用来更改源代码或获得未经授权的访问。
这些缺陷允许利用各种攻击媒介,包括:
- SQL 注入 – 当犯罪者使用恶意 SQL 代码操作后端数据库时,信息就会被泄露。 非法列表浏览、表删除和未经授权的管理员访问都是其中的后果。
- XSS (Cross-site Scripting) 是一种以用户为目标的注入攻击,以获取对帐户的访问权限、激活木马程序或更改页面内容。 当恶意代码直接注入应用程序时,这称为存储型 XSS。 当恶意脚本从应用程序镜像到用户浏览器时,这称为反射型 XSS。
- 远程文件包含——这种形式的攻击允许黑客从远程位置将文件注入 Web 应用程序服务器。 这可能导致在应用程序中执行危险的脚本或代码,以及数据被盗或修改。
- 跨站点请求伪造 (CSRF) – 一种可能导致意外转移现金、更改密码或数据盗窃的攻击。 当恶意 Web 程序指示用户的浏览器在他们登录的网站上执行不希望的操作时,就会发生这种情况。
从理论上讲,有效的输入/输出清理可能会消除所有漏洞,使应用程序不受未经授权的修改的影响。
但是,由于大多数项目都处于永久开发状态,因此全面消毒很少是可行的选择。 此外,应用程序通常相互集成,导致编码环境变得越来越复杂。
为避免此类危险,应实施 Web 应用程序安全解决方案和流程,例如 PCI 数据安全标准 (PCI DSS) 认证。
Web 应用程序防火墙 (WAF)
WAF(Web 应用程序防火墙)是保护应用程序免受安全威胁的硬件和软件解决方案。 这些解决方案旨在检查传入流量,以检测和阻止攻击企图,弥补任何代码清理缺陷。
WAF 部署通过防止数据被盗和修改来解决 PCI DSS 认证的关键标准。 根据要求 6.6,必须保护数据库中维护的所有信用卡和借记卡持卡人数据。
因为它位于网络边缘的 DMZ 之前,所以建立 WAF 通常不需要对应用程序进行任何更改。 然后,它充当所有传入流量的网关,在危险请求与应用程序交互之前过滤掉它们。
为了评估哪些流量被允许访问应用程序以及哪些流量必须被清除,WAF 采用了各种启发式方法。 得益于定期更新的签名池,他们可以快速识别恶意行为者和已知的攻击媒介。
几乎所有的 WAF 都可以根据个人用例和安全法规进行定制,以及应对新出现的(也称为零日)威胁。 最后,为了获得对访客的更多洞察,大多数现代解决方案都使用声誉和行为数据。
为了构建安全边界,WAF 通常与其他安全解决方案结合使用。 这些可能包括分布式拒绝服务 (DDoS) 预防服务,它提供了防止大量攻击所需的额外可扩展性。
Web 应用程序安全检查表
除了 WAF 之外,还有多种方法可以保护 Web 应用程序。 任何 Web 应用程序安全检查表都应包括以下程序:
- 收集数据——手动检查应用程序,寻找入口点和客户端代码。 对第三方托管的内容进行分类。
- 授权——在测试应用程序时寻找路径遍历、垂直和水平访问控制问题、缺少授权以及不安全的直接对象引用。
- 使用加密技术保护所有数据传输。 是否有任何敏感信息被加密? 您是否使用过任何不符合标准的算法? 有没有随机性错误?
- 拒绝服务——测试反自动化、帐户锁定、HTTP 协议 DoS 和 SQL 通配符 DoS,以提高应用程序抵御拒绝服务攻击的能力。 这不包括针对大量 DoS 和 DDoS 攻击的安全性,这需要混合过滤技术和可扩展资源来抵御。
有关更多详细信息,可以查看 OWASP Web 应用程序安全测试备忘单(它也是其他安全相关主题的绝佳资源)。
DDoS保护
DDoS 攻击或分布式拒绝服务攻击是中断 Web 应用程序的典型方式。 有多种方法可以缓解 DDoS 攻击,包括丢弃内容交付网络 (CDN) 上的大量攻击流量,以及使用外部网络在不导致服务中断的情况下适当地路由真实请求。
DNSSEC(域名系统安全扩展)保护
域名系统或 DNS 是 Internet 的电话簿,它反映了 Internet 工具(例如 Web 浏览器)如何找到相关服务器。 不良行为者将使用 DNS 缓存中毒、路径攻击和其他干扰 DNS 查找生命周期的手段来劫持此 DNS 请求过程。 如果 DNS 是 Internet 的电话簿,那么 DNSSEC 就是不可欺骗的呼叫者 ID。 可以使用 DNSSEC 技术保护 DNS 查找请求。
要详细了解认证课程,您可以扩展和分析下表。
EITC/IS/WASF Web 应用程序安全基础认证课程以视频形式引用开放式教学材料。 学习过程分为逐步结构(课程 -> 课程 -> 主题),涵盖相关课程部分。 还提供与领域专家的无限咨询。
有关认证程序检查的详细信息 运行流程.
认证计划课程
