Uvod v varnost spletnih aplikacij
Zdaj živimo v svetu spleta. Vsak dan se v spletu dogaja milijon transakcij na vseh področjih, kot so bančništvo, šole, podjetja, najvišje svetovne institucije, raziskovalni centri. Izjemno pomembno je, da so podatki, ki se izvajajo, zelo varni in komunikacija zanesljiva. Iz tega izvira pomen varovanja spleta.
Kaj je varnost spletnih aplikacij?
Varnost spletnih aplikacij je veja informacijske varnosti, ki se ukvarja z varnostjo spletnih aplikacij, spletnih storitev in spletnih mest. Gre za nekakšno varnost aplikacij, ki se uporablja posebej na ravni spleta ali interneta.
Spletna varnost je pomembna, saj se spletne aplikacije napadejo zaradi slabega kodiranja ali nepravilnega saniranja vhodov in izhodov aplikacij. Pogosti napadi na spletno varnost so skrivni skript (XSS) in SQL injekcije.
Poleg XSS, SQL injekcij so druge vrste napadov na spletno varnost arbitrarno izvrševanje kode, razkritje poti, poškodba pomnilnika, oddaljena vključitev datotek, preliv vmesnika, vključitev lokalnih datotek itd. Spletna varnost v celoti temelji na ljudeh in procesih. Zato je izjemno pomembno, da razvijalci pred kakršnimi koli grožnjami spletne varnosti uporabijo ustrezne standarde kodiranja in preverjanje ustreznosti, preden spletna mesta zaživijo.
Pravzaprav je treba varnostne preglede izvajati na zelo zgodnji stopnji razvoja in jih še naprej uporabljati na vseh stopnjah življenjskega cikla razvoja programske opreme. Razvijalci morajo biti dobro usposobljeni za kibernetsko varnost in varne prakse kodiranja. Enkratno testiranje aplikacije vsekakor ni učinkovito. Na vseh stopnjah je treba izvajati stalno napredovanje napadov na spletno varnost.
Standardizacija spletne varnosti
OWASP (Open Security Security Project) je organ za standardizacijo varnosti spletnih aplikacij. Ponuja popolno dokumentacijo, orodja, tehnike in metodologije na področju varnosti spletnih aplikacij. OWASP je eden nepristranskih virov informacij o najboljših praksah varnosti spletnih aplikacij.
OWASP Top Web Security Tisk
Spodaj so navedena zgornja tveganja za spletno varnost, o katerih poroča OWASP.
SQL injekcija:
To je vrsta injekcijskega napada, ki omogoča izvajanje zlonamernih in nepravilnih poizvedb SQL, ki bi lahko nadzirale baze podatkov spletnega strežnika. Napadalci lahko uporabijo izjave SQL, da zaobidejo varnostne ukrepe aplikacije. Lahko potrdijo ali avtorizirajo spletne strani ali spletna mesta in pridobijo vsebino baz podatkov SQL ob obisku stavkov SQL. Ta napad se lahko zgodi na spletnih mestih, ki kot baze podatkov uporabljajo SQL, MYSQL, Oracle itd. Glede na dokumentacijo OWASP 2017 je to najpogostejši in najnevarnejši varnostni napad.
Skriptiranje med spletnimi stranmi (XSS):
To omogoči napadalcem, da vbrizgajo skript na strani odjemalca v spletne aplikacije in spletne strani, ki si jih ogledajo drugi uporabniki. Ranljivost med skriptnimi spletnimi mesti se lahko uporabi za izogibanje politikam, kot je ista izvorna politika. Po letu 2007 je XSS predstavljal 84% vseh varnostnih napadov na spletu.
Glede na občutljivost podatkov bi bil XSS lahko manjši napad ali velika grožnja spletnim mestom.
Izkoriščevalci zložijo zlonamerne podatke v vsebino, ki se dostavi v brskalnik odjemalca. Ko se podatki dostavijo odjemalcu, je videti, da so združeni podatki prišli iz samega zaupanja vrednega strežnika in ima na koncu odjemalca vse naloge dovoljenj. Napadalec lahko zdaj pridobi večji dostop in privilegije do občutljive vsebine strani, do piškotkov seje in različnih drugih informacij.
Broken overjanje in upravljanje sej:
Ta napad omogoča, da na spletni strani ali v aplikaciji zajamejo ali zaobidejo overjanje.
To je bolj šibek standard, ki mu sledi razvijalec spletnih strani, ki povzroča težave, kot so npr.
- Predvidljive poverilnice za prijavo.
- Ko shranjuje, ne zaščiti uporabniških poverilnic uporabnikov pravilno.
- ID-ji seje, ki so izpostavljeni v URL-ju.
- Gesla, ID-ji seje se ne pošiljajo prek šifriranih URL-jev.
- Vrednosti seje se po določenem času ne iztečejo.
Da bi preprečili te napade, bi moral razvijalci paziti na vzdrževanje ustreznih standardov, kot so zaščita gesel in pravilno razmnoževanje le-teh, medtem ko se ne izpostavljajo ID-ji seje, časovno omejiti sejo po določenem času, poustvariti ID-je seje po uspešni prijavi. poskus.
Popraviti prekinjeno preverjanje pristnosti
- Dolžina gesla mora biti najmanj 8 znakov.
- Geslo mora biti zapleteno, da ga uporabnik ne more predvideti. To bi moralo uporabiti ustrezna pravila za nastavitev gesla, kot so alfanumerične, posebne črke in kombinacije velikih in malih črk.
- Napake preverjanja pristnosti ne smejo nikoli navesti, kateri del podatkov za preverjanje pristnosti je napačen. Odzivi na napake morajo biti do neke mere splošni. Npr .: neveljavne poverilnice namesto prikaza uporabniškega imena ali gesla, ki so natančno napačna.
Napačne varnostne napačne nastavitve:
To je ena izmed slabih praks, zaradi katerih so spletna mesta ranljiva za napade. Za npr. Konfiguracije strežnika aplikacij vrnejo sled celotnega sklada uporabnikom, zaradi česar napadalci vedo, kje je napaka in s tem napadajo spletna mesta. Da bi preprečili takšne primere, je pomembno, da se izvaja močna arhitektura aplikacij in občasno izvajate varnostna preverjanja.
Zaključek
Zelo pomembno je, da vsako spletno mesto upošteva ustrezne standarde, vzdržuje ustrezne tehnike kodiranja, ima robustno arhitekturo aplikacij, občasno izvajajte preglede in se poskusite v večji meri izogniti napadom spletne varnosti.
Priporočeni članki
To je vodnik o varnosti spletnih aplikacij. Tu smo razpravljali o uvodu, standardizaciji, glavnih tveganjih spletne varnosti. Če želite izvedeti več, si oglejte tudi naslednje članke -
- Vprašanja o intervjuju glede kibernetske varnosti
- Vprašanja za intervju o spletnem razvoju
- Kariera pri spletnem razvoju
- Kaj je Elasticsearch?
- Kaj je skrivnostno skripta?