etechblog

Jak se naučit zabezpečení webových aplikací?

Photo of author

By etechblogcz

Ochrana webových aplikací: Nutnost v dnešní digitální době

Bezpečnost webových stránek představuje závažný problém, a je lepší si to uvědomit dříve, než dojde k nějakému incidentu.

Díky rychlému rozvoji technologií, především webových služeb a aplikací, prošlo moderní podnikání zásadní proměnou. Mnoho společností přesunulo podstatnou část svých operací do online prostředí, což umožňuje zaměstnancům a obchodním partnerům z celého světa snadnou spolupráci a sdílení dat v reálném čase.

S příchodem moderních webových aplikací využívajících HTML5 a Web 2.0 se změnily i požadavky uživatelů. Nyní chce každý mít nonstop přístup ke všem potřebným informacím, 24 hodin denně, 7 dní v týdnu, 365 dní v roce. To nutí i online podniky, aby svá data neustále zpřístupňovaly.

I když období celosvětové pandemie přineslo výhody pro ty, kteří pracují z domova, a pro online prodejce, obrovský profit z něj měli i kyberzločinci.

Nárůst online transakcí a práce na dálku jim umožnil získat přístup k velkému množství údajů o kreditních kartách a zaměřit se na vzdálené pracovníky a jejich organizace. Tento vývoj také přilákal podvodníky a škodlivé hackery, kteří neustále vymýšlejí nové metody útoků.

V letošním roce zaznamenalo přibližně 80 % společností prudký nárůst kybernetických útoků, zatímco pandemie koronaviru podpořila 238% nárůst hrozeb zaměřených na banky. Zpráva.

Z důvodu zmírnění těchto útoků vznikla ochrana webových aplikací již dávno. Toto odvětví potřebuje talentované odborníky, kteří dokážou chránit organizace před ztrátou dat, financí a důvěry zákazníků.

Cílem tohoto článku je objasnit problematiku zabezpečení, role odborníků v oblasti webové bezpečnosti a zdroje, ze kterých se můžete učit a osvojit si potřebné dovednosti.

Takže, můžeme začít?

Co je to zabezpečení webových aplikací?

Zabezpečení webu, kybernetická bezpečnost nebo zabezpečení webových aplikací představuje ochranu online služeb a webových stránek před různými hrozbami, které využívají zranitelnosti v kódu aplikace.

Mezi časté cíle těchto útoků patří systémy pro správu databází, jako je phpMyAdmin, SaaS aplikace, systémy pro správu obsahu (CMS), například WordPress, a další.

Cílem zabezpečení webu je zabránit těmto útokům tím, že zabrání neoprávněnému přístupu, použití, zničení, narušení nebo úpravě dat.

Proč jsou webové aplikace tak často cílem útoků?

  • Složitost zdrojového kódu aplikací, která zvyšuje pravděpodobnost zranitelností a manipulace s kódem.
  • Aplikace se snadno spouštějí; útočníci tak mohou snadno spouštět nebo automatizovat většinu útoků, které mohou cílit na tisíce aplikací najednou.
  • Vysoká hodnota kořisti, která zahrnuje citlivá a soukromá data získaná manipulací se zdrojovým kódem, a také finanční zisk.

Běžné typy zranitelnosti

Cross-site Scripting (XSS)

XSS umožňuje útočníkům vkládat skripty na straně klienta do webové stránky a získat přímý přístup k důležitým datům, donutit uživatele prozradit citlivé informace nebo se za ně vydávat. Důsledky mohou zahrnovat přístup k účtům, aktivaci trojských koní, změnu obsahu stránky atd.

Falšování požadavků mezi stránkami (CSRF)

CSRF oklame oběti tak, že podají požadavek, který využívá jejich autorizaci nebo autentizaci. S těmito oprávněními k účtu pak mohou útočníci zadávat požadavky vydávající se za uživatele. To může vést k převodu prostředků, změně hesla atd.

Útoky typu Denial of Service (DoS) a Distributed Denial of Service (DDoS)

Útočníci zahlcují cílový server a/nebo jeho infrastrukturu různými útoky. Jakmile server přestane efektivně zpracovávat požadavky, začne pracovat pomalu a odmítne službu i pro legitimní návštěvníky.

SQL injection 💉

Jedná se o metodu, kterou útočník používá k využití zranitelností v databázích, podobnou způsobu, jakým databáze implementují vyhledávací dotazy. Útočníci využívají SQL injection k přístupu k neoprávněným datům, vytváření nebo úpravě uživatelských oprávnění, ničení nebo manipulaci s citlivými daty a dalším.

Vzdálené zahrnutí souboru

Útočníci jej používají k vložení škodlivých souborů s kódy do serveru webové aplikace, aby tyto kódy spustili a poškodili aplikaci, manipulovali s ní a provedli krádež dat.

Ostatní

Další útoky zahrnují poškození paměti, únik dat, clickjacking, procházení adresářů, vkládání příkazů, přetečení zásobníku a další.

Doufám, že už je jasné, že zabezpečení webu je v dnešní době naprostou nezbytností a každý by ho měl implementovat co nejdříve, aby předešel potenciálním hrozbám pro svou aplikaci a finančním či reputačním ztrátám.

S rostoucí poptávkou po zabezpečení se stále více lidí rozhoduje pro studium tohoto oboru. Pokud se chcete v tomto směru vzdělat, může to být skvělá kariérní možnost a přínos i pro váš osobní rozvoj.

Co dělají odborníci na webovou bezpečnost?

Odborníci na webovou bezpečnost jsou zodpovědní za ochranu webových aplikací, souvisejících sítí a dat. Pomáhají minimalizovat narušení dat prostřednictvím monitorování sítí a reakcí na hrozby.

Tito odborníci mají zkušenosti jako správci sítí nebo systémů, programátoři. Tato oblast totiž vyžaduje zvídavost, schopnost kritického myšlení, vášeň pro výzkum a učení. Musí být schopni předvídat kroky hackerů, kteří jsou „destruktivně kreativní“ při vývoji a šíření různých hrozeb.

Vzhledem k tomu, že se bezpečnostní hrozby mohou objevit kdykoli, musí mít tito odborníci přehled o nejnovějších taktikách, které hackeři používají k proniknutí do systémů a sítí. Mezi povinnosti odborníků na webovou bezpečnost patří:

  • Vyhledávání zranitelných míst ve webových aplikacích, databázích a šifrování.
  • Zmírňování útoků opravou bezpečnostních problémů.
  • Pravidelné provádění auditů pro zajištění nejlepších bezpečnostních postupů.
  • Nasazování nástrojů prevence a detekce koncových bodů pro zamezení škodlivým útokům.
  • Implementace systémů pro správu zranitelností v cloudovém i lokálním prostředí.
  • Zajištění odstranění následků v případě útoků.
  • Spolupráce s dalšími IT odděleními při plánování obnovy po havárii.
  • Spolupráce s vedoucími týmů a HR, aby byli všichni zaměstnanci informováni a uměli rozpoznat podezřelé aktivity.

Některé osvědčené postupy pro zabezpečení webových aplikací

Používání firewallů webových aplikací (WAF)

WAF pomáhá chránit webové aplikace před škodlivými požadavky HTTP. Vytváří bariéru mezi útočníkem a vaším serverem. Je schopen chránit sedmou vrstvu před hrozbami, jako jsou XSS, CSRF, SQL injection atd.

Zmírnění DDoS

Jak již název napovídá, slouží ke zmírnění útoků DDoS na aplikační a síťové vrstvy, tedy k zabezpečení webových stránek, aplikací a serverové infrastruktury.

Filtrování botů 🤖

Používá se k odfiltrování nežádoucího provozu botů.

DNS ochrana

Chrání vaše požadavky DNS před zneužitím prostřednictvím útoků typu „man-in-the-middle“ a otravou DNS cache.

Používání HTTPS

HTTPS šifruje veškerá data vyměňovaná mezi serverem a klientem, čímž chrání přihlašovací údaje, informace v záhlaví, cookies, data požadavků atd.

Pokud jste se tedy rozhodli učit se zabezpečení webových aplikací, můžete využít následující výukové zdroje a zlepšit své dovednosti 🧑‍💻.

PortSwigger

Učte se od tvůrců Burp Suite – přední platformy pro různé nástroje kybernetické bezpečnosti PortSwigger. Jedná se o online a BEZPLATNÉ školení, které může podpořit vaši kariéru v oblasti kybernetické bezpečnosti.

Díky interaktivním laboratořím se můžete učit kdykoli a odkudkoli a sledovat svůj pokrok. Poskytují školení v oblasti zranitelností obchodní logiky, zpřístupňování informací, otravy webové cache, nezabezpečené deserializace, SQL injection, XSS, CSRF, XXE injection a dalších.

Výukové materiály PortSwigger jsou vytvářeny zkušenými profesionály, výzkumným týmem a jejich zakladatelem – Dafyddem Stuttardem, autorem knihy Web Application Hacker’s Handbook.

Výukové programy jsou podrobně vysvětleny v textu a video obsahu, aby si snadno zapamatovali klíčové body. Jejich interaktivní laboratoře dělají celý kurz zajímavým a kladou realistické hádanky k otestování vašich hackerských dovedností.

EdX

Kurz Základy zabezpečení webu od EdX je skvělý pro pochopení základních principů. Poskytuje jak teoretický, tak praktický přehled běžných útoků a protiopatření.

Naučí vás také nejlepší bezpečnostní postupy, které se v současnosti používají pro zabezpečení webových aplikací. Pro účast v kurzu nepotřebujete žádné předchozí znalosti zabezpečení, ale znalost HTTP, JavaScriptu a HTML vám pomůže lépe porozumět látce.

Kurz trvá 5 týdnů s 4–6 hodinami studia týdně. Učení je zcela ZDARMA; pokud však chcete, můžete zaplatit 48,97 USD za získání ověřeného a instruktorem podepsaného certifikátu s logem instituce. Tento certifikát lze použít ke zlepšení vašich šancí na získání zaměstnání a lze jej sdílet na LinkedIn nebo ho můžete uvést ve svém životopise.

Stanford

Kurz CS 253 Web Security od Stanford nabízí kompletní shrnutí zabezpečení webu a jeho cílem je naučit studenty pochopit běžné webové útoky a způsoby, jak jim předcházet. Kurz pokrývá nejen základy, ale také pokročilé aspekty webové bezpečnosti.

Některá z témat:

  • Principy webové bezpečnosti
  • Útoky a protiopatření
  • Zranitelnosti webových aplikací
  • Bezpečnostní model prohlížeče
  • Injekční, DoS a TLS útoky
  • Fingerprinting, soukromí, zásady stejného původu, autentizace, cross-site skriptování, zabezpečení JavaScriptu
  • Obrana do hloubky
  • Objevující se hrozby
  • Techniky psaní bezpečných kódů, bezpečnostní exploity
  • Implementace vyvíjejících se webových standardů a ochrana slabých webových aplikací

Pro účast v tomto kurzu musíte mít absolvovaný CS 142 nebo ekvivalentní zkušenosti s vývojem webu. Účast je povinná a hodnocení je založeno na:

  • 75 % za úkoly
  • 25 % za závěrečnou zkoušku

Pro lepší přípravu si můžete přečíst řešení Závěrečné zkoušky 2019 a další vzorové otázky pro CS 253.

Vhodné pro začátečníky

Udemy je bezesporu jedním z nejlepších míst pro online studium různých kurzů, a zabezpečení webových aplikací je jedním z nich. Pokud jste začátečník, tento kurz je pro vás skvělý, protože nevyžaduje žádné předchozí znalosti programování.

V tomto kurzu se naučíte:

  • Identifikovat 10 největších hrozeb podle OWASP (Open Web Application Security Project).
  • Pochopit, jak lze tyto hrozby minimalizovat.
  • Dopad každé hrozby na vaše podnikání.
  • Jak útočníci tyto hrozby provádějí.

Kurz je vysvětlen srozumitelným jazykem, takže je přístupný každému, kdo má základní znalosti internetu a práce s počítačem. Zahrnuje také hloubkovou obranu, vysvětlení spoofingu, zpřístupnění informací, manipulaci, odmítnutí služby, eskalaci oprávnění a útoky DoS.

Zkušení lektoři vás naučí vše, co potřebujete k zvládnutí základů webové bezpečnosti.

Coursera

Další skvělou volbou na seznamu je Coursera, která učí, jak používat OWASP ZAP neboli Zed Attack Proxy. Tento nástroj pomáhá bezpečnostním profesionálům i penetračním testerům při vyhledávání zranitelných míst.

  • Naučíte se skenovat zranitelnosti, analyzovat výsledky skenování, generovat z nich zprávy atd.
  • Naučíte se také konfigurovat proxy prohlížeče pro pasivní skenování odpovědí a požadavků při procházení webových stránek.
  • Krátce se dozvíte, jak zobrazovat, zachytávat, přeposílat a upravovat webové požadavky, ke kterým dochází mezi webovou aplikací a prohlížečem.
  • Dále se naučíte používat seznamy slovníků k vyhledávání složek a souborů na webovém serveru.
  • Kromě toho můžete pochopit, jak můžete procházet weby a hledat adresy URL a odkazy.

Lektoři kurzu vás krok za krokem provedou každým tématem ve videu na rozdělené obrazovce, a protože se jedná o cloudové řešení, nemusíte ztrácet čas stahováním. Coursera poskytuje certifikáty zahrnuté v ceně každého programu.

PentesterLab

PentesterLab pokrývá témata od základní až po pokročilou úroveň. Naučí vás, jak ručně najít a využít zranitelnosti. Všechna jejich cvičení zahrnují běžné slabiny nebo problémy nalezené v různých systémech.

Pro lepší učení poskytují skutečné systémy a skutečné zranitelnosti, abyste se mohli učit v reálném čase bez emulace. Jejich online cvičení vám umožní získat certifikáty po absolvování kurzu. Všechna cvičení jsou rozdělena do odznaků, které můžete absolvovat pro získání certifikátu.

YouTube

YouTube je centrem znalostí; jen ho musíte správně používat!

Můžete vyhledat například kanál Google Chrome Developers s 505 tisíci odběrateli.

V tomto kurzu se dozvíte o některých typických vektorech útoků a o tom, jak chránit data, uživatele a pověst. Dále se seznámíte s novým kurzem, který se zaměřuje na poskytování stručných přednášek a praktických cvičení na témata zahrnující obranu i útok.

Mozilla

V Webových dokumentech MDN od Mozilly najdete užitečné články o zabezpečení webu. Články pokrývají různá témata, jako je zabezpečení obsahu, zabezpečení připojení, zabezpečení dat, únik informací, integrita dat, ochrana proti clickjackingu, zabezpečení uživatelských dat atd.

Informace z těchto článků vám pomohou chránit váš web a jeho kód před krádeží dat a útoky. Dozvíte se například, jak opravit web, blokovat smíšený obsah, o podpisových algoritmech a další.

Invicti

Obsáhlý článek od Invicti výstižně popisuje podstatu zabezpečení webových aplikací. Je napsán tak, aby i začátečníci pochopili pojmy a technologie používané v zabezpečení webu.

V článku jsou vysvětleny mýty a základy zabezpečení webových aplikací a jak mohou současné podniky zlepšit zabezpečení svých webových stránek a aplikací, aby udržely kybernetické útočníky na uzdě.

Zde se dozvíte:

  • Jak zabezpečit webové aplikace.
  • Jak vybrat správný skener zranitelností.
  • Rozdíl mezi bezplatným a komerčním skenerem zranitelností webu.
  • Jak testovat skener zranitelností a kdy jej použít.
  • Některé osvědčené postupy pro zabezpečení webového serveru a dalších komponent.

SANS

Pokud se zaměřujete na obranu webových aplikací, zúčastněte se kurzu SEC22 od SANS. Pomůže vám pochopit všechny bezpečnostní chyby spojené s webovými aplikacemi a chránit je.

Kurz vás seznámí s technikami pro minimalizaci rizik v oblasti architektury, infrastruktury a kódování a s metodami z reálného světa. Seznámíte se s podstatou těchto zranitelností, abyste pochopili, proč k nim dochází a jak je zmírnit.

Je vhodný pro osoby zodpovědné za správu, implementaci nebo ochranu webových aplikací. Může zahrnovat analytiky zabezpečení aplikací, architekty, vývojáře, auditory, penetrační testery atd.

Kurz bude zahrnovat témata jako:

  • 10 největších hrozeb OWASP
  • Specifické problémy z 25 chyb softwaru CWE
  • Integrace cloudu do webové aplikace
  • Konfigurace jazyka aplikace
  • Konfigurace infrastruktury a správa zabezpečení
  • Autentizační mechanismy
  • HTTP hlavičky
  • Chyby v obchodní logice
  • Chyby v kódování, jako XSS, CSRF, SQL injection atd.

Kurz můžete absolvovat, pokud rozumíte základním konceptům a technologiím webových aplikací, jako je JavaScript a HTML.

Cloudflare

Další užitečný článek v seznamu je od Cloudflare, který se věnuje problematice zabezpečení webových aplikací.

Podrobně vysvětluje:

  • Význam dané terminologie.
  • Některé typické zranitelnosti.
  • Doporučené postupy, jak zabránit zranitelnostem zabezpečení webu.

Přečtěte si tento článek a objasněte si některé základní pojmy, které vám pomohou při registraci do programu zabezpečení webových aplikací.

Závěr

Vzhledem k rychlému nárůstu kybernetických útoků je studium zabezpečení webových aplikací stále důležitější.

Přejeme vám mnoho úspěchů!

Tweet
Share
Share
Pin

Software 10 pohledávek, který nikdy nezmeškáte platbu v roce 2022

11 Software pro správu podnikových procesů (BPM) pro malé a střední podniky