Jak se naučit zabezpečení webových aplikací?

autor:
Tweet
Share
Share
Pin

Zabezpečení webu je skutečný problém a je lepší to přiznat dříve, než čekat, až se stane něco špatného.

Rychlý pokrok v technologii, včetně webových služeb a aplikací, způsobil revoluci v moderním podnikání. Mnoho podniků přesunulo většinu svých operací online, což zaměstnancům a obchodním partnerům z jakékoli části světa umožnilo snadno spolupracovat a sdílet data v reálném čase.

Po zavedení moderních webových aplikací HTML5 a Webu 2.0 se požadavky zákazníků změnily. Nyní chce každý mít přístup ke všem informacím, které může potřebovat, 24/7/365. V důsledku toho jsou online podniky také nuceny zpřístupňovat svá data neustále.

I když období globálního blokování mohlo být docela dobré pro ty, kteří pracují z domova a online maloobchodníky, enormně z něj měli prospěch i kyberzločinci.

Rostoucí online transakce a práce na dálku jim umožnily hacknout spoustu informací o kreditních kartách a zaměřit se na vzdálené pracovníky a jejich organizace. Tento pokrok také pozval podvodníky a škodlivé hackery, kteří tu a tam vyvíjejí nové vektory hrozeb.

V letošním roce bylo asi 80 % společností svědkem prudkého nárůstu kybernetických útoků, zatímco koronavirus podpořil 238% nárůst hrozeb na banky. zpráva.

Ke zmírnění všech těchto útoků se zabezpečení webových aplikací zrodilo velmi dávno. A toto odvětví vyžaduje talentované profesionály, kteří dokážou organizace zachránit před ztrátou dat, peněz a důvěry spotřebitelů.

To je cílem tohoto článku, kde byste porozuměli věcem o zabezpečení, co se očekává od profesionálů v oblasti webové bezpečnosti a zdrojům, z nichž se můžete naučit a ovládat tyto dovednosti.

Takže, začneme?

Co je zabezpečení webových aplikací?

Zabezpečení webu, kybernetická bezpečnost nebo zabezpečení webových aplikací je způsob ochrany online služeb a webových stránek před různými hrozbami využívajícími zranitelnosti související s kódy aplikace.

Některé z běžných cílů těchto útoků jsou řešení pro správu databází, jako je phpMyAdmin, aplikace SaaS, systémy pro správu obsahu (CMS) jako WordPress a další.

Zabezpečení webu má za cíl zabránit takovým útokům tím, že odmítne neoprávněný přístup, použití, zničení/narušení nebo úpravu.

Jaký je tedy důvod, proč útočníci široce cílí na webové aplikace?

  • Přirozená složitost zdrojového kódu aplikace, která zvyšuje pravděpodobnost zranitelnosti a také manipulace s kódem.
  • Aplikace se snadno spouštějí; útočníci tak mohou snadno spustit nebo automatizovat většinu útoků, které mohou cílit na tisíce aplikací najednou.
  • Vysoce hodnotná kořist, která zahrnuje citlivá a soukromá data prostřednictvím manipulace se zdrojovým kódem a také finanční kořist

Běžné typy zranitelnosti

Cross-site Scripting (XSS)

XSS umožňuje útočníkům vkládat skripty na straně klienta do webové stránky a přistupovat přímo k důležitým datům, přimět uživatele k prozrazení důležitých dat nebo se vydávat za uživatele. Mezi jeho důsledky patří přístup k účtům, aktivace trojských koní, změna obsahu stránky atd.

Falšování požadavků mezi stránkami (CSRF)

CSRF oklame oběti tam, kde podají žádost, která využívá jejich autorizaci nebo autentizaci. Prostřednictvím těchto oprávnění účtu tedy mohou útočníci zadávat požadavky vydávající se za uživatele. Mohlo by to vést k převodu prostředků, změně hesla atd.

  Jak vypnout polohu na Life360, aniž by to kdokoli věděl

Denial of Service (DoS) a Distributed Denial of Service (DDoS)

Útočníci přetěžují cílový server a/nebo jeho infrastrukturu různými útoky. Jakmile server přestane být schopen efektivně zpracovávat požadavky na inkling, začne se chovat pomalu a odmítne službu případně dalším příchozím požadavkům, a to i od legitimních návštěvníků.

SQL injection 💉

Metoda, kterou útočník používá ke zneužití zranitelností, podobná způsobu, jakým databáze implementují vyhledávací dotazy. Útočníci využívají SQI k přístupu k neoprávněným datům, vytváření nebo úpravě uživatelských oprávnění, ničení nebo manipulaci s citlivými daty a dalším.

Vzdálené zahrnutí souboru

Útočníci jej používají k vložení škodlivých souborů s kódy do serveru webové aplikace, aby tyto kódy spustili a poškodili aplikaci, manipulovali s ní a provedli krádež dat.

Ostatní

Mezi další útoky patří poškození paměti, únik dat, clickjacking, procházení adresářů, vkládání příkazů, přetečení másla a další.

Doufám, že to stačí k tomu, abychom pochopili, že zabezpečení webu je nutností dneška a proč ho musí každý implementovat co nejdříve, než by mohlo představovat jakoukoli hrozbu pro vaši aplikaci a poškodit vás finančně nebo z hlediska pověsti.

Vzhledem k jeho rostoucím nárokům se mnoho lidí hlásí, aby se učili. A pokud se chcete naučit tento předmět, může to být skvělá kariérní možnost a přínosná na osobní úrovni.

Co dělají Web Security Professionals?

Za ochranu webových aplikací, příslušných sítí a dat aplikací jsou zodpovědní odborníci na webovou bezpečnost. Pomáhají zmírňovat narušení dat tím, že monitorují síť a reagují na hrozby.

Tito odborníci mají zkušenosti jako správci sítě nebo systému, programátoři. Je to proto, že tato oblast vyžaduje zvídavost, kritické myšlení, vášeň pro výzkum a učení. Musí být schopni přelstít hackery, kteří jsou „destruktivně kreativní“ při vývoji a injektování různých hrozeb.

Vzhledem k tomu, že bezpečnostní hrozby se mohou objevit kdykoli, bezpečnostní profesionálové musí mít přehled o všech nejnovějších taktikách, které hackeři používají, aby se dostali do systémů a sítí. Některé z povinností profesionálů v oblasti webové bezpečnosti jsou:

  • Najděte zranitelná místa ve webových aplikacích, databázích a šifrování.
  • Zmírněte útoky opravou bezpečnostních problémů
  • Pravidelně provádějte audity, abyste zajistili nejlepší bezpečnostní postupy
  • Nasaďte nástroje prevence a detekce koncových bodů, abyste zabránili škodlivým útokům
  • Implementujte systémy pro správu zranitelnosti napříč aktivy v cloudu a lokálně
  • Zajistěte čištění v případě útoků
  • Spolupracujte s dalšími IT operacemi při plánování obnovy po havárii.
  • Spolupracujte s vedoucími týmu a HR a vzdělávejte všechny zaměstnance, aby odhalili podezřelé aktivity.

Některé osvědčené bezpečnostní postupy pro zabezpečení webových aplikací

Používání firewallů webových aplikací (WAF)

WAF pomáhá chránit vaše webové aplikace před škodlivými požadavky HTTP. Vytváří bariéru mezi útočníkem a vaším serverem. Dokáže chránit sedmou vrstvu před hrozbami jako XSS, CSRF, SQL injection atd.

Zmírnění DDoS

Jak název napovídá, používá se ke zmírnění útoků DDoS aplikací a síťové vrstvy, tedy k zabezpečení webových stránek, aplikací a serverové infrastruktury.

Bot 🤖 filtrování

Je implementován k odfiltrování špatného provozu botů.

DNS ochrana

Děje se tak, aby byl váš požadavek DNS chráněn před zneužitím prostřednictvím útoků na cestě a otravy mezipaměti DNS.

Pomocí HTTPS

HTTPS šifruje všechna data vyměňovaná mezi serverem a vaším klientem, aby chránila přihlašovací údaje, informace v záhlaví, soubory cookie, data požadavků atd.

Pokud jste se tedy rozhodli naučit se zabezpečení webových aplikací, můžete se obrátit na následující výukové zdroje a zdokonalit své dovednosti 🧑‍💻.

PortSwigger

Učte se od tvůrců Burp Suite – přední platformy pro různé nástroje kybernetické bezpečnosti PortSwigger. Jedná se o online a ZDARMA školení, které může podpořit vaši kariéru v oblasti kybernetické bezpečnosti.

  Opravit chybu připojení k serveru Dolphin Traversal

Díky interaktivním laboratořím se můžete učit kdykoli a odkudkoli a navíc sledovat svůj pokrok v průběhu času. Poskytuje školení v oblasti zranitelností obchodní logiky, zpřístupňování informací, otravy webové mezipaměti, nezabezpečené deserializace, SQL injection, XSS, CSRF, XXE injection a dalších.

Výukové materiály PortSwigger jsou vytvářeny zkušenými profesionály, výzkumným týmem a jejich zakladatelem – Dafyddem Stuttardem. Je také autorem slavné knihy s názvem Web Application Hacker’s Handbook.

Výukové programy jsou podrobně vysvětleny v textu a obsahu videa, aby si snadno zapamatovaly klíčové body. Díky jejich interaktivním laboratořím je celkový kurz vzrušující a kladou realistické hádanky, aby otestovali vaše hackerské dovednosti.

EdX

Základy zabezpečení webu od EdX je skvělé pro pochopení základních principů. Přehled běžných útoků a protiopatření vhodných pro každý z nich vám poskytuje pouze teatrálně a prakticky.

Také vás naučí nejlepší bezpečnostní postupy, které v současnosti převládají pro zabezpečení webových aplikací. Pokud se chcete do kurzu zapojit, nepotřebujete nutně žádné předchozí bezpečnostní znalosti. Ale pokud to uděláte, hodně vám to pomůže lépe porozumět věcem, jako je HTTP, JavaScript, HTML atd.

Délka kurzu je 5 týdnů, což zahrnuje 4-6 hodin týdně. Učit se je zcela ZDARMA; pokud však chcete, můžete zaplatit 48,97 USD za získání ověřeného a instruktorem podepsaného certifikátu s logem instituce. Tento certifikát lze použít ke zvýšení vyhlídek na zaměstnání a lze jej sdílet na LinkedIn nebo jej lze začlenit do vašeho životopisu nebo životopisu.

Stanford

Kurz CS 253 Web Security od Stanford nabízí kompletní shrnutí zabezpečení webu a jeho cílem je přimět studenty, aby pochopili běžné webové útoky a jak jim předcházet. Kurz pokrývá nejen základy, ale také pokročilé sklony v oblasti webové bezpečnosti.

Některá z témat:

  • Principy webové bezpečnosti
  • Útoky a protiopatření
  • Zranitelnosti webových aplikací
  • Bezpečnostní model prohlížeče
  • Injekční, DoS a TLS útoky
  • Fingerprinting, soukromí, zásady stejného původu, autentizace, cross-site skriptování, zabezpečení JavaScriptu
  • Obrana do hloubky
  • Vznikající hrozby
  • Techniky psaní bezpečných kódů, bezpečnostní exploity
  • Implementace vyvíjejících se webových standardů a ochrana slabých webových aplikací

Abyste se mohli zúčastnit tohoto kurzu, musíte absolvovat CS 142 nebo jinou ekvivalentní zkušenost s vývojem webu. Zde je účast povinná a hodnocení je založeno na:

  • 75 % na úkoly
  • 25% na závěrečnou zkoušku

Chcete-li se lépe připravit, můžete si přečíst řešení pro Závěrečná zkouška 2019 a další vzorové otázky pro CS 253.

Začátečník je přátelský

Nepochybně, Udemy je jedním z nejlepších míst pro online studium různých kurzů; zabezpečení webových aplikací je jedním z nich. Pokud jste začátečník, tento kurz je pro vás skvělý, protože nevyžaduje žádné předchozí znalosti kódování.

V tomto kurzu byste se naučili:

  • Identifikace 10 nejlepších hrozeb zjištěných OWASP nebo Open Web Application Security Project
  • Pochopení toho, jak lze tyto hrozby zmírnit
  • Dopad každé hrozby na vaše podnikání
  • Jak útočníci provádějí tyto hrozby

Kurz je vysvětlen v nejjednodušším jazyce, takže mu rozumí každý, kdo má málo informací na internetu a na počítači. Zahrnuje také hloubkovou obranu, vysvětlení pro spoofing, zpřístupnění informací, manipulaci, odmítnutí, zvýšení oprávnění a DoS.

Zkušení lektoři vás naučí vše, co potřebujete k zvládnutí základů webové bezpečnosti.

Coursera

Další velmi dobrou možností na seznamu je Coursera, který učí, jak můžete používat OWASP ZAP nebo Zed Attack Proxy. Tento nástroj pomáhá bezpečnostním profesionálům i penetračním testerům najít zranitelná místa.

  • Učí, jak můžete skenovat zranitelnosti, analyzovat výsledky skenování, generovat z nich zprávy atd.
  • Naučíte se také konfiguraci proxy prohlížeče pro pasivní skenování odpovědí a požadavků pomocí prozkoumávání webových stránek.
  • Stručné vysvětlení, jak zobrazit, zachytit, přeposlat a upravit webové požadavky, ke kterým dochází mezi webovou aplikací a prohlížečem.
  • Dále se naučíte používat seznamy slovníků k vyhledávání složek a souborů na vašem webovém serveru.
  • Kromě toho byste mohli pochopit, jak můžete procházet weby, abyste našli adresy URL a odkazy.
  Jak vyhledávat v historii Chrome podle data

Lektoři kurzu vás krok za krokem provedou každým tématem ve videu na rozdělené obrazovce, a protože je to v cloudu, nemusíte ztrácet čas stahováním. Coursera poskytuje certifikáty zahrnuté pro každý program bez dalších nákladů.

PentesterLab

PentesterLab pokrývá od základů až po pokročilé úrovně. Naučí vás, jak ručně najít a následně zneužít zranitelnosti. Všechna jejich cvičení pokrývají běžné slabiny nebo problémy nalezené v různých systémech.

Pro lepší učení poskytují skutečné systémy a skutečná zranitelnost, takže se můžete učit v reálném čase, bez emulace. Jejich online cvičení vám umožní získat certifikáty po absolvování kurzu. Všechna cvičení jsou rozdělena do odznaků, které můžete absolvovat pro získání certifikátu.

Youtube

Youtube je centrem znalostí; jen to musíte použít správným způsobem!

Existuje tedy kanál – Google Chrome Developers s 505 tisíci odběrateli na YouTube, který si můžete vyhledat a dozvědět se.

V tomto kurzu můžete porozumět některým typickým vektorům útoků a tomu, jak můžete chránit svá data, uživatele a pověst. Dále se seznámíte s novým kurzem, který je zaměřen na poskytování stručných přednášek a praktických cvičení na témata zahrnující obranu i útok.

Mozilla

Obraťte se na Webové dokumenty MDN od Mozilly a získáte přístup k užitečným článkům o zabezpečení webu. Zde uvedené články pokrývají různá témata, jako je zabezpečení obsahu, zabezpečení připojení, zabezpečení dat, únik informací, integrita dat, ochrana proti clickjackingu, zabezpečení uživatelských dat atd.

Informace z těchto článků vám pomohou ochránit váš web a všechny jeho kódy před krádeží dat a útoky. Můžete se dozvědět některé zajímavé věci, například jak můžete opravit svůj web, zablokovat smíšený obsah, o podpisových algoritmech a další.

Invicti

Obsáhlý článek od Invicti je výstižný při vysvětlování podstaty zabezpečení webových aplikací. Je skvěle napsaný tak, aby pomohl i začátečníkům pochopit pojmy a technologie používané v zabezpečení webu.

V tomto článku jsou vysvětleny mýty a základy zabezpečení webových aplikací a jak mohou současné podniky zlepšit zabezpečení svých webových stránek a aplikací, aby udržely kybernetické útočníky na uzdě.

Zde se dozvíte:

  • Jak zabezpečit své webové aplikace
  • Výběr správného skeneru zranitelnosti
  • Rozdíl mezi bezplatným a komerčním skenerem zranitelnosti webu
  • Jak můžete otestovat svůj skener zranitelnosti a kdy jej použít
  • Některé osvědčené postupy pro zabezpečení vašeho webového serveru a dalších komponent

SANS

Zúčastněte se tohoto kurzu – SEC22 od SANS pokud se zaměřujete na obranu webových aplikací. Pomůže vám porozumět všem bezpečnostním chybám spojeným s vaší webovou aplikací, abyste mohli chránit svá webová aktiva.

Kurz vás seznámí s technikami zmírňování pro architekturu, infrastrukturu a kódování spolu s metodami v reálném světě. Seznámíte se s povahou těchto zranitelností, abyste pochopili, proč k nim dochází a jak je zmírnit.

Je vhodný pro lidi, kteří jsou zodpovědní za správu, implementaci nebo obranu webových aplikací. Může zahrnovat analytiky zabezpečení aplikací, architekty, vývojáře, audity, testery per atd.

Kurz bude zahrnovat témata jako:

  • 10 nejlepších hrozeb OWASP
  • Specifické problémy z 25 chyb softwaru CWE
  • Integrace cloudu do webové aplikace
  • Konfigurace jazyka aplikace
  • Konfigurace infrastruktury a správa zabezpečení
  • Autentizační mechanismy
  • HTTP hlavičky
  • Chyby v obchodní logice
  • Chyby kódování jako XSS, CSRF, SQL injection atd.

Pokud rozumíte základům konceptů a technologií webových aplikací, jako je JavaScript a HTML, můžete kurz absolvovat.

mračna

Toto je další článek v seznamu mračna který pokrývá věci o zabezpečení webových aplikací.

Přesně to vysvětluje:

  • Jaký je význam této terminologie,
  • Některé typické zranitelnosti a pak
  • Doporučené postupy, jak zabránit zranitelnostem zabezpečení webu

Přečtěte si tento článek, abyste objasnili některé základní pojmy, které vám hodně pomohou při registraci do bezpečnostního programu webových aplikací.

Závěr

Naučit se zabezpečení webových aplikací se stalo zásadní, protože kybernetické útoky rychle přibývají.

Vše nejlepší!