Zabezpečení webových aplikací - Web application security - Wikipedia
| Část série na |
| Informační bezpečnost |
|---|
| Související kategorie zabezpečení |
| Hrozby |
| Obrana |
Zabezpečení webových aplikací je pobočkou informační bezpečnost která se konkrétně zabývá bezpečností webové stránky, webové aplikace a webové služby. Na vysoké úrovni vychází zabezpečení webových aplikací z principů zabezpečení aplikace ale aplikuje je konkrétně na Internet a web systémy.[1]
Bezpečnostní hrozby
K většině útoků na webové aplikace dochází prostřednictvím cross-site scripting (XSS) a Vložení SQL útoky[2] které jsou obvykle umožněny chybným kódováním a selháním dezinfekce vstupů a výstupů aplikace. Tyto útoky jsou hodnoceny v roce 2009 CWE /SANS Top 25 nejnebezpečnějších chyb při programování.[3]
Podle dodavatele zabezpečení Cenzic patří mezi hlavní chyby zabezpečení v březnu 2012:[4]
| 37% | Cross-site skriptování |
| 16% | Vložení SQL |
| 5% | Zveřejnění cesty |
| 5% | Útok odmítnutí služby |
| 4% | Libovolné provádění kódu |
| 4% | Poškození paměti |
| 4% | Padělání žádosti napříč weby |
| 3% | Únik dat (zpřístupnění informací) |
| 3% | Libovolný zařazení souboru |
| 2% | Zahrnutí místního souboru |
| 1% | Vzdálené zahrnutí souborů |
| 1% | Přetečení zásobníku |
| 15% | Jiné, včetně vložení kódu (PHP / JavaScript) atd. |
Otevřený projekt zabezpečení webových aplikací (OWASP ) poskytuje bezplatné a otevřené zdroje. Vede ji nezisková organizace The OWASP Foundation. OWASP Top 10 - 2017 je zveřejněným výsledkem nedávného výzkumu založeného na komplexních datech shromážděných od více než 40 partnerských organizací. Z těchto dat bylo objeveno přibližně 2,3 milionu chyb zabezpečení ve více než 50 000 aplikacích.[5] Podle OWASP Top 10 - 2017 patří mezi deset nejdůležitějších bezpečnostních rizik webových aplikací:[6]
- Injekce
- Nefunkční ověřování
- Citlivá expozice dat
- Externí entity XML (XXE)
- Nefunkční řízení přístupu
- Chybná konfigurace zabezpečení
- Cross-site scripting (XSS)
- Nejistá deserializace
- Používání komponent se známými chybami zabezpečení
- Nedostatečné protokolování a monitorování
Doporučení osvědčených postupů
Zabezpečený vývoj webových aplikací by měl být vylepšen uplatněním bezpečnostních kontrolních bodů a technik v raných fázích vývoje i v celém systému životní cyklus vývoje softwaru. Zvláštní důraz by měl být kladen na fázi kódování vývoje. Mezi bezpečnostní mechanismy, které by měly být použity, patří modelování hrozeb, analýza rizik, statická analýza, digitální podpis, mezi ostatními.[7]
Bezpečnostní standardy
OWASP je nově vznikající orgán pro standardy zabezpečení webových aplikací. Zejména publikovali OWASP Top 10,[8] který podrobně popisuje hlavní hrozby proti webovým aplikacím. Konsorcium pro zabezpečení webových aplikací (WASC) vytvořilo databázi incidentů s webovými hackery (WHID) a také vytvořilo dokumenty o osvědčených postupech v oblasti zabezpečení webových aplikací s otevřeným zdrojem. WHID se stal projektem OWASP v únoru 2014.[9]
Bezpečnostní technologie
Zatímco zabezpečení je v zásadě založeno na lidech a procesech, při navrhování, budování a testování zabezpečených webových aplikací je třeba vzít v úvahu řadu technických řešení. Na vysoké úrovni tato řešení zahrnují:
- Černá skříňka testovací nástroje jako např Bezpečnostní skenery webových aplikací,[10] skenery zranitelnosti a penetrační testování[11] software
- Bílá krabička testovací nástroje jako např statické analyzátory zdrojového kódu[12]
- Fuzzing,[13] nástroje používané pro vstupní testování
- Skener zabezpečení webových aplikací (skener zranitelnosti)
- Brány firewall webových aplikací (WAF),[14] slouží k zajištění firewall -typová ochrana na vrstvě webové aplikace
- Prolomení hesla nástroje pro testování síla hesla a implementace
Viz také
- Architektura aplikační služby (JAKO)
- Elektronické ověřování
- w3af, bezplatný skener zabezpečení webových aplikací s otevřeným zdrojovým kódem
- Skener zabezpečení webových aplikací
- Vlastní ochrana běhové aplikace
Reference
- ^ "Přehled zabezpečení webových aplikací". 2015-10-23.
- ^ „Testování a porovnání nástrojů pro skenování zranitelnosti webu pro SQL Injection a XSS Attacks“. Fonseca, J .; Vieira, M .; Madeira, H., Spolehlivé výpočty, IEEE. Prosince 2007. doi:10.1109 / PRDC.2007.55.
- ^ "CWE / SANS 25 nejdůležitějších chyb při programování". CWE / SANS. Květen 2009.
- ^ „Zpráva Trendy 2012: Bezpečnostní rizika aplikací“. Cenzic, Inc. 11. března 2012. Citováno 9. července 2012.
- ^ Korolov, Maria (27. dubna 2017). „Nejnovější OWASP Top 10 se zaměřuje na API, webové aplikace: Nový seznam OWASP Top 10 je venku, a přestože většina z nich zůstává stejná, existují nové přírůstky zaměřené na webové aplikace a API.“ CSO. ProQuest 1892694046.
- ^ „OWASP Top 10 - 2017: Deset nejdůležitějších bezpečnostních rizik webových aplikací“ (PDF). Otevřete projekt zabezpečení webových aplikací. 2017. Citováno 30. června 2018.
- ^ Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem (2013-01-17). Msgstr "Systematický přehled modelu vývoje zabezpečení webových aplikací". Recenze umělé inteligence. 43 (2): 259–276. doi:10.1007 / s10462-012-9375-6. ISSN 0269-2821. S2CID 15221613.
- ^ OWASP Top 10
- ^ „WHID Project is now a Joint WASC / OWASP Project“. WASC. 18. února 2014.
- ^ "Skenery zranitelnosti webových aplikací". NIST.
- ^ „Nejlepší společnosti pro testování penetrace“. 2019-11-06.
- ^ „Analyzátory zabezpečení zdrojového kódu“. NIST.
- ^ "Fuzzing". OWASP.
- ^ „Brány firewall webových aplikací pro zabezpečení a dodržování předpisů“. Blog TestingXperts. Březen 2017.