EITC/IS/WASF Web Applications Security Fundamentals היא תוכנית הסמכת ה-IT האירופית בנושא היבטים תיאורטיים ומעשיים של אבטחת שירותי אינטרנט עולמיים, החל מאבטחת פרוטוקולי אינטרנט בסיסיים, דרך פרטיות, איומים והתקפות על שכבות שונות של תקשורת רשת תעבורת אינטרנט, אינטרנט אבטחת שרתים, אבטחה בשכבות גבוהות יותר, כולל דפדפני אינטרנט ויישומי אינטרנט, כמו גם אימות, אישורים ופיזינג.
תוכנית הלימודים של EITC/IS/WASF Web Applications Security Fundamentals מכסה מבוא להיבטי אבטחת אינטרנט של HTML ו-JavaScript, DNS, HTTP, קובצי Cookie, הפעלות, התקפות קובצי Cookie והפעלה, מדיניות זהה מקור, זיוף בקשות חוצות אתרים, חריגים לאותו הדבר. מדיניות מקור, סקריפטים חוצי אתרים (XSS), הגנות סקריפטים חוצה אתרים, טביעת אצבע באינטרנט, פרטיות באינטרנט, DoS, דיוג וערוצים צדדיים, מניעת שירות, דיוג וערוצי צד, התקפות הזרקה, הזרקת קוד, תחבורה אבטחת שכבות (TLS) והתקפות, HTTPS בעולם האמיתי, אימות, WebAuthn, ניהול אבטחת אינטרנט, חששות אבטחה בפרויקט Node.js, אבטחת שרת, נוהלי קידוד בטוח, אבטחת שרת HTTP מקומי, התקפות חיבור מחדש של DNS, התקפות דפדפן, דפדפן ארכיטקטורה, כמו גם כתיבת קוד דפדפן מאובטח, בתוך המבנה הבא, הכולל תוכן דידקטי וידאו מקיף כהתייחסות להסמכת EITC זו.
אבטחת יישומי אינטרנט היא תת-קבוצה של אבטחת מידע המתמקדת באבטחת אתרים, יישומי אינטרנט ושירותי אינטרנט. אבטחת יישומי אינטרנט, ברמה הבסיסית ביותר, מבוססת על עקרונות אבטחת יישומים, אך היא מיישמת אותם במיוחד על האינטרנט ופלטפורמות האינטרנט. טכנולוגיות אבטחה של יישומי אינטרנט, כגון חומות אש של יישומי אינטרנט, הן כלים מיוחדים לעבודה עם תעבורת HTTP.
Open Web Application Security Project (OWASP) מציע משאבים שהם גם חינמיים וגם פתוחים. קרן OWASP ללא מטרות רווח אחראית עליה. ה-OWASP Top 2017 לשנת 10 הוא תוצאת המחקר הנוכחי המבוסס על נתונים נרחבים שנאספו מלמעלה מ-40 ארגונים שותפים. כ-2.3 מיליון נקודות תורפה זוהו בלמעלה מ-50,000 יישומים המשתמשים בנתונים אלו. עשרת החששות החשובים ביותר לאבטחת יישומים מקוונים, על פי OWASP Top 10 - 2017, הם:
- הזרקה
- בעיות אימות
- נתונים רגישים חשופים ישויות חיצוניות XML (XXE)
- בקרת גישה שאינה פועלת
- תצורה שגויה של אבטחה
- סקריפטים מאתר לאתר (XSS)
- דה-סריאליזציה שאינה מאובטחת
- שימוש ברכיבים בעלי פגמים ידועים
- רישום וניטור אינם מספיקים.
מכאן שהנוהג של הגנה על אתרי אינטרנט ושירותים מקוונים מפני איומי אבטחה שונים המנצלים חולשות בקוד של יישום ידוע בשם אבטחת יישומי אינטרנט. מערכות ניהול תוכן (למשל, WordPress), כלי ניהול מסדי נתונים (למשל, phpMyAdmin), ואפליקציות SaaS הם כולם יעדים נפוצים להתקפות יישומים מקוונים.
יישומי אינטרנט נחשבים למטרות בעדיפות גבוהה על ידי העבריינים מכיוון:
- בגלל המורכבות של קוד המקור שלהם, סבירות גבוהה יותר לפגיעויות ללא השגחה ושינוי קוד זדוני.
- תגמולים בעלי ערך גבוה, כגון מידע אישי רגיש שהושג באמצעות שיבוש יעיל בקוד המקור.
- קלות ביצוע, כי רוב התקיפות יכולות להיות אוטומטיות בקלות ולפרוס ללא הבחנה כנגד אלפי, עשרות ואפילו מאות אלפי מטרות בבת אחת.
- ארגונים שלא מצליחים להגן על יישומי האינטרנט שלהם חשופים להתקפות. זה יכול להוביל לגניבת נתונים, קשרי לקוחות מתוחים, רישיונות מבוטל, ותביעות משפטיות, בין היתר.
נקודות תורפה באתרי אינטרנט
פגמי חיטוי קלט/פלט נפוצים ביישומי אינטרנט, והם מנוצלים לעתים קרובות כדי לשנות קוד מקור או לקבל גישה לא מורשית.
פגמים אלו מאפשרים ניצול של מגוון וקטורי תקיפה, כולל:
- הזרקת SQL - כאשר מבצע מניפולציה של מסד נתונים עורפי עם קוד SQL זדוני, מידע נחשף. גלישה לא חוקית ברשימות, מחיקת טבלה וגישה לא מורשית של מנהל מערכת הם בין ההשלכות.
- XSS (Cross-site Scripting) היא התקפת הזרקה המכוונת למשתמשים כדי לקבל גישה לחשבונות, להפעיל סוסים טרויאניים או לשנות את תוכן העמוד. כאשר קוד זדוני מוזרק ישירות לאפליקציה, הדבר מכונה XSS מאוחסן. כאשר סקריפט זדוני משתקף מאפליקציה לדפדפן של משתמש, הדבר ידוע כ-משתקף XSS.
- הכללת קבצים מרוחקים - צורת התקפה זו מאפשרת להאקר להחדיר קובץ לשרת יישומי אינטרנט ממיקום מרוחק. זה יכול להוביל לביצוע סקריפטים או קוד מסוכנים בתוך האפליקציה, כמו גם לגניבת נתונים או שינוי.
- זיוף בקשה חוצה אתרים (CSRF) - סוג של התקפה שעלולה לגרום להעברה לא מכוונת של מזומנים, שינויי סיסמאות או גניבת נתונים. זה מתרחש כאשר תוכנת אינטרנט זדונית מורה לדפדפן של משתמש לבצע פעולה לא רצויה באתר שאליו הוא מחובר.
בתיאוריה, חיטוי יעיל של קלט/פלט עשוי למגר את כל הפגיעות, ולהפוך את היישום לחסום לשינויים לא מורשים.
עם זאת, מכיוון שרוב התוכניות נמצאות במצב פיתוח תמידי, חיטוי מקיף הוא רק לעתים נדירות אפשרות מעשית. יתר על כן, אפליקציות משולבות בדרך כלל אחת עם השנייה, וכתוצאה מכך סביבה מקודדת שהופכת מורכבת יותר ויותר.
כדי למנוע סכנות כאלה, יש ליישם פתרונות ותהליכי אבטחה של יישומי אינטרנט, כגון אישור PCI Data Security Standard (PCI DSS).
חומת אש ליישומי אינטרנט (WAF)
WAFs (חומת אש של יישומי אינטרנט) הם פתרונות חומרה ותוכנה המגנים על יישומים מפני איומי אבטחה. פתרונות אלו נועדו לבחון תעבורה נכנסת על מנת לזהות ולחסום ניסיונות תקיפה, תוך פיצוי על כל ליקוי חיטוי הקוד.
פריסת WAF מתייחסת לקריטריון מכריע לאישור PCI DSS על ידי הגנה על נתונים מפני גניבה ושינויים. יש לשמור על כל נתוני בעל כרטיס האשראי והחיוב שנשמרו במסד נתונים, בהתאם לדרישה 6.6.
מכיוון שהוא מוצב לפני ה-DMZ שלו בקצה הרשת, הקמת WAF בדרך כלל אינה מצריכה שינויים באפליקציה. לאחר מכן הוא משמש כשער לכל התעבורה הנכנסת, מסנן בקשות מסוכנות לפני שהן יכולות ליצור אינטראקציה עם אפליקציה.
כדי להעריך איזו תעבורה מותרת גישה לאפליקציה ואיזו יש לנכש, WAFs משתמשות במגוון של היוריסטיות. הם יכולים לזהות במהירות שחקנים זדוניים ווקטורי תקיפה ידועים הודות למאגר חתימות המתעדכן באופן קבוע.
כמעט כל ה-WAFs עשויים להיות מותאמים למקרי שימוש בודדים ולתקנות אבטחה, כמו גם להילחם באיומים מתעוררים (הידועים גם בתור אפס יום). לבסוף, כדי להשיג תובנות נוספות לגבי מבקרים נכנסים, רוב הפתרונות המודרניים משתמשים בנתוני מוניטין והתנהגות.
על מנת לבנות היקף אבטחה, WAF משולבים בדרך כלל עם פתרונות אבטחה נוספים. אלה יכולים לכלול שירותי מניעת מניעת שירות מבוזרת (DDoS), המעניקים את המדרגיות הנוספת הדרושה למניעת התקפות בנפח גבוה.
רשימת רשימת אבטחת יישומי אינטרנט
ישנן מגוון גישות להגנה על אפליקציות אינטרנט בנוסף ל-WAFs. כל רשימת בדיקה לאבטחת יישומי אינטרנט צריכה לכלול את ההליכים הבאים:
- איסוף נתונים - עברו על האפליקציה ביד, חפשו נקודות כניסה וקודים בצד הלקוח. סיווג תוכן שמתארח על ידי צד שלישי.
- הרשאה - חפש חציית נתיבים, בעיות בקרת גישה אנכית ואופקית, הרשאות חסרות והפניות לא מאובטחות וישיר של אובייקט בעת בדיקת האפליקציה.
- אבטח את כל שידורי הנתונים באמצעות קריפטוגרפיה. האם מידע רגיש הוצפן? האם השתמשת באלגוריתמים שאינם מתאימים? האם יש שגיאות אקראיות?
- מניעת שירות - בדיקת אנטי אוטומציה, נעילת חשבון, פרוטוקול HTTP DoS ו-SQL wildcard DoS כדי לשפר את העמידות של אפליקציה נגד התקפות מניעת שירות. זה לא כולל אבטחה מפני התקפות DoS ו-DDoS בנפח גבוה, הדורשות שילוב של טכנולוגיות סינון ומשאבים ניתנים להרחבה כדי להתנגד.
לפרטים נוספים, אפשר לעיין ב-OWASP Web Application Security Testing Sheet (זהו גם משאב נהדר לנושאים אחרים הקשורים לאבטחה).
הגנה DDoS
התקפות DDoS, או התקפות מניעת שירות מבוזרות, הן דרך טיפוסית להפריע ליישום אינטרנט. ישנן מספר גישות להפחתת התקפות DDoS, כולל השלכת תעבורת תקיפה נפחית ברשתות להעברת תוכן (CDNs) ושימוש ברשתות חיצוניות כדי לנתב בקשות אמיתיות כראוי מבלי לגרום להפרעה בשירות.
הגנת DNSSEC (הרחבות אבטחת מערכת שמות דומיין).
מערכת שמות הדומיין, או DNS, היא ספר הטלפונים של האינטרנט, והיא משקפת כיצד כלי אינטרנט, כגון דפדפן אינטרנט, מוצא את השרת הרלוונטי. הרעלת מטמון DNS, התקפות בנתיב ואמצעים אחרים להפרעה במחזור החיים של בדיקת ה-DNS ישמשו שחקנים גרועים כדי לחטוף את תהליך בקשת ה-DNS הזה. אם DNS הוא ספר הטלפונים של האינטרנט, DNSSEC הוא זיהוי מתקשר בלתי ניתן לזיוף. ניתן להגן על בקשת חיפוש DNS באמצעות טכנולוגיית DNSSEC.
כדי להכיר את עצמכם באופן מפורט עם תכנית הלימודים להסמכה תוכלו להרחיב ולנתח את הטבלה שלהלן.
תכנית הלימודים של EITC/IS/WASF Web Applications Security Fundamentals Certification מתייחסת לחומרים דידקטיים בגישה פתוחה בצורת וידאו. תהליך הלמידה מחולק למבנה שלב אחר שלב (תוכניות -> שיעורים -> נושאים) המכסה חלקים רלוונטיים בתכנית הלימודים. ניתן גם ייעוץ ללא הגבלה עם מומחי תחום.
לפרטים על הליך ההסמכה בדוק איך זה עובד?.
הורד את חומרי ההכנה המלאים ללמידה עצמית לא מקוונת עבור תוכנית יסודות האבטחה של יישומי אינטרנט EITC/IS/WASF בקובץ PDF