Bevezetés a webes alkalmazások biztonságába
Most a web világában élünk. Minden nap egy milliárd tranzakció történik, amelyek az interneten zajlanak minden olyan területen, mint a bankok, az iskolák, az üzleti vállalkozások, a világ legjobb intézményei, a kutatóközpontok. Rendkívül fontos, hogy az adatátvitel nagyon biztonságos és a kommunikáció megbízható. Ezért fontos az internet biztonságának biztosítása.
Mi a webes alkalmazások biztonsága?
A webes alkalmazások biztonsága az információbiztonság egyik ága, amely a webes alkalmazások, webszolgáltatások és webhelyek biztonságával foglalkozik. Ez egyfajta alkalmazásbiztonság, amelyet kifejezetten webes vagy internetes szinten alkalmaznak.
A webbiztonság fontos, mivel a webes alkalmazások megtámadják az alkalmazás bemeneteinek és kimeneteinek rossz kódolása vagy nem megfelelő fertőtlenítése miatt. Általános internetes biztonsági támadások a webhelyek közötti szkriptek (XSS) és az SQL befecskendezések.
Az XSS-en, az SQL-befecskendezéseken kívül a webes biztonsági támadások más típusai az önkényes kódfuttatás, az útvonal-nyilvánosságra hozatal, a memória sérülése, a fájlok távoli beillesztése, a puffer túlcsordulása, a helyi fájlok beillesztése stb. A webes biztonság teljesen az emberekre és a folyamatokra épül. Ezért rendkívül fontos, hogy a fejlesztők megfelelő kódolási szabványokat és az ésszerűség ellenőrzését alkalmazzák az ilyen webes biztonsági fenyegetések előtt, mielőtt a weboldalakat élővé teszik.
A biztonsági ellenőrzéseket valójában a fejlesztés nagyon korai szakaszában kell elvégezni, és a szoftverfejlesztési életciklus minden szakaszában alkalmazni kell. A fejlesztőket jól ki kell képezni a kiberbiztonságra és a biztonságos kódolási gyakorlatra. Az alkalmazás egyszeri tesztelése minden bizonnyal nem hatékony. Az internetes biztonsági támadások folyamatos visszaszorítását minden szakaszban végre kell hajtani.
A webbiztonság szabványosítása
Az OWASP (nyílt webes alkalmazásbiztonsági projekt) a webes alkalmazások biztonságának szabványügyi szerve. Teljes dokumentációt, eszközöket, technikákat és módszertant biztosít a webes alkalmazások biztonsága területén. Az OWASP az egyik elfogulatlan információforrás a webes alkalmazások biztonságának legjobb gyakorlatairól.
Az OWASP legfontosabb webes biztonsági kockázata
Az alábbiakban felsoroljuk az OWASP webhelyen jelentett legfontosabb internetes biztonsági kockázatokat.
SQL befecskendezés:
Ez egy olyan injekciós támadás, amely lehetővé teszi olyan rosszindulatú és nem megfelelő SQL lekérdezések végrehajtását, amelyek ellenőrizhetik a webszerver adatbázisát. A támadók SQL utasításokkal használhatják az alkalmazások biztonsági intézkedéseinek megkerülését. Hitelesíthetnek vagy engedélyezhetnek weboldalakat vagy webhelyeket, és az SQL adatbázisok tartalmát az SQL utasításokat megkerülve szerezhetik be. Ez a támadás olyan helyszíneken fordulhat elő, amelyek SQL, MYSQL, Oracle stb. Adatbázist használnak. Ez az OWASP 2017 dokumentációja szerint a legelterjedtebb és legveszélyesebb biztonsági támadás.
Helyek közötti szkriptek (XSS):
Ez lehetővé teszi a támadók számára, hogy ügyféloldali szkripteket illesszenek be a más felhasználók által megtekintett webes alkalmazásokba és weboldalakba. A webhelyek közötti szkriptek biztonsági rése felhasználható olyan házirendek megkerülésére, mint például az azonos származási házirend. 2007-ben az XSS az interneten végrehajtott összes biztonsági támadás 84% -át tette ki.
Az adatok érzékenységétől függően az XSS kisebb támadást vagy súlyos fenyegetést jelenthet a webhelyek számára.
A kizsákmányolók rosszindulatú adatokat hajtanak bele az ügyfél böngészőjéhez továbbított tartalomba. Amikor az adatokat az ügyfélen kézbesítik, úgy tűnik, hogy a kombinált adatok maga a megbízható szerver származnak, és az ügyfél végén az összes engedélykészlet rendelkezik. A támadó emellett megnövelt hozzáférést és jogosultságokat kaphat az érzékeny oldal tartalmához, a sütikhez és számos egyéb információhoz.
Törött hitelesítés és munkamenedzsment:
Ez a támadás lehetővé teszi a weboldal vagy alkalmazás hitelesítésének elkerülését vagy megkerülését.
Ez inkább egy olyan gyenge szabvány, amelyet a webhely-fejlesztő követ, és amely olyan problémákat okoz, mint például a
- Kiszámítható bejelentkezési adatok.
- A felhasználó bejelentkezési hitelesítő adatainak tárolásakor nem megfelelő védelme.
- A munkamenet-azonosítók megjelennek az URL-ben.
- Jelszavak, munkamenet-azonosítók nem kerülnek titkosított URL-ekre.
- A munkameneti értékek nem túllépnek egy meghatározott idő elteltével.
A támadások elkerülése érdekében a fejlesztőnek óvatosan kell fenntartania a megfelelő szabványokat, például a jelszavak védelmét és a megfelelő kivonást, miközben átadja, nem szabad feltárnia a munkamenet-azonosítókat, a munkamenetet meghatározott idő után időzíteni, a munkamenet-azonosítókat újratelepíteni a sikeres bejelentkezés után. kísérlet.
A megszakadt hitelesítés javítása
- A jelszó hosszát legalább 8 karakter hosszúnak kell tartani.
- A jelszónak összetettnek kell lennie, hogy a felhasználó nem tudja megjósolni. Ennek megfelelő jelszókészlet-szabályokat kell használnia, például az alfanumerikus, a speciális karakter és a szám kis- és nagybetűs kombinációit.
- A hitelesítési hibák soha nem jelzik, hogy a hitelesítési adatok melyik része helytelen. A hibareakcióknak bizonyos mértékig általánosnak kell lenniük. Pl .: Érvénytelen hitelesítő adatok, ahelyett, hogy a felhasználónevet vagy jelszót jelenítik meg, amely pontosan helytelen.
Biztonsági téves konfigurációk:
Ez az egyik rossz gyakorlat, amely a weboldalakat veszélyezteti a támadásokkal szemben. Például. Alkalmazáskiszolgáló-konfigurációk, amelyek a verem teljes nyomkövetését visszaküldik a felhasználóknak, így a támadók tudják, hol van a hiba, és ennek megfelelően megtámadják a webhelyeket. Az ilyen esetek elkerülése érdekében fontos egy erős alkalmazás-architektúra végrehajtása és a biztonsági ellenőrzések rendszeres futtatása.
Következtetés
Nagyon fontos, hogy minden webhely megfeleljen a megfelelő szabványoknak, fenntartsa a megfelelő kódolási technikákat, amelyek robusztus alkalmazás-architektúrával rendelkezik, rendszeresen futtassa le a szkennelést kudarc nélkül, és próbáljon nagyobb mértékben elkerülni az internetes biztonsági támadásokat.
Ajánlott cikkek
Ez egy útmutató a webes alkalmazások biztonságáról. Itt megvitattuk a webbiztonság bevezetését, szabványosítását, a legnagyobb kockázatokat. A következő cikkeket is megnézheti további információkért -
- Kiberbiztonsági interjú kérdései
- Webfejlesztési interjúkérdések
- Karrier a webfejlesztésben
- Mi az Elasticsearch?
- Mi az a webhelyek közötti szkriptek?