EITC/IS/WAPT Web Applications Penetration Testing היא תוכנית הסמכת ה-IT האירופית על היבטים תיאורטיים ומעשיים של בדיקות חדירה של יישומי אינטרנט (פריצה לבנה), כולל טכניקות שונות לטכניקות עכביש, סריקה והתקפה של אתרי אינטרנט, לרבות כלים וסוויטות מיוחדים לבדיקת חדירה. .
תוכנית הלימודים של EITC/IS/WAPT Web Applications Penetration Testing מכסה היכרות עם Burp Suite, Web spridering ו-DVWA, בדיקות כוח גס עם Burp Suite, זיהוי חומת אש של אפליקציות אינטרנט (WAF) עם WAFW00F, היקף יעד ועכביש, גילוי קבצים מוסתרים עם ZAP, סריקת פגיעות וורדפרס וספירת שמות משתמש, סריקת איזון עומסים, סקריפטים בין-אתרים, XSS - משתקף, מאוחסן ו-DOM, התקפות פרוקסי, קביעת תצורת ה-proxy ב-ZAP, התקפות קבצים וספריות, גילוי קבצים וספריות עם DirBuster, תרגול התקפות אינטרנט , OWASP Juice Shop, CSRF - זיוף בקשות חוצה אתרים, איסוף קובצי cookie והנדסה לאחור, תכונות HTTP - גניבת קובצי Cookie, הזרקת SQL, DotDotPwn - טשטוש מעבר ספריות, הזרקת iframe והזרקת HTML, ניצול Heartbleed - גילוי וניצול, הזרקת קוד PHP, bWAPP - הזרקת HTML, POST משתקף, הזרקת פקודות מערכת הפעלה עם Commix, צד השרת כולל הזרקת SSI, בדיקה ב-Docker, OverTheWire Natas, LFI והזרקת פקודות, פריצה של Google לבדיקת חדירה, Google Dorks לבדיקת חדירה, Apache2 ModSecurity, כמו גם Nginx ModSecurity, בתוך המבנה הבא, הכולל תוכן דידקטי וידאו מקיף כהתייחסות להסמכת EITC זו.
אבטחת יישומי אינטרנט (המכונה לעתים קרובות Web AppSec) היא הרעיון של עיצוב אתרים כך שיפעלו כרגיל גם כאשר הם מותקפים. הרעיון הוא שילוב מערך אמצעי אבטחה ביישום אינטרנט כדי להגן על נכסיו מפני סוכנים עוינים. יישומי אינטרנט, כמו כל תוכנות, מועדים לפגמים. חלק מהפגמים הללו הם נקודות תורפה ממשיות שניתן לנצל, המהוות סיכון לעסקים. פגמים כאלה נשמרים באמצעות אבטחת יישומי אינטרנט. זה כרוך בשימוש בגישות פיתוח מאובטחות והצבת בקרות אבטחה לאורך מחזור החיים של פיתוח התוכנה (SDLC), תוך הבטחת טיפול בפגמי התכנון ובבעיות היישום. בדיקת חדירה מקוונת, המבוצעת על ידי מומחים שמטרתם לחשוף ולנצל פגיעויות של יישומי אינטרנט באמצעות מה שמכונה גישת פריצה לבנה, היא פרקטיקה חיונית על מנת לאפשר הגנה מתאימה.
מבחן חדירה לאינטרנט, הידוע גם כבדיקת עט רשת, מדמה התקפת סייבר על אפליקציית אינטרנט במטרה למצוא פגמים שניתנים לניצול. בדיקות חדירה משמשות לעתים קרובות כדי להשלים חומת אש של יישומי אינטרנט בהקשר של אבטחת יישומי אינטרנט (WAF). בדיקת עט, באופן כללי, כרוכה בניסיון לחדור לכל מספר של מערכות יישומים (למשל, ממשקי API, שרתי קצה/גב) על מנת למצוא נקודות תורפה, כגון קלט לא מחוטא שפגיע להתקפות הזרקת קוד.
ניתן להשתמש בממצאי מבחן החדירה המקוון כדי להגדיר מדיניות אבטחה של WAF ולטפל בפרצות שהתגלו.
לבדיקת חדירה יש חמישה שלבים.
הליך בדיקת העט מחולק לחמישה שלבים.
- תכנון וצפיות
הגדרת ההיקף והמטרות של הבדיקה, לרבות המערכות שיש לטפל בהן ומתודולוגיות הבדיקה בהן יש להשתמש, היא השלב הראשון.
כדי לקבל הבנה טובה יותר של אופן הפעולה של יעד ונקודות התורפה הפוטנציאליות שלו, אסוף מידע מודיעיני (למשל, שמות רשת ותחום, שרת דואר). - סריקה
השלב הבא הוא להבין כיצד יישום היעד יגיב לסוגים שונים של ניסיונות חדירה. בדרך כלל זה מושג על ידי שימוש בשיטות הבאות:
ניתוח סטטי – בחינת קוד של אפליקציה כדי לחזות כיצד הוא יתנהג בעת הפעלתו. במעבר אחד, כלים אלה יכולים לסרוק את כל הקוד.
ניתוח דינמי הוא תהליך של בדיקת קוד של יישום בזמן שהוא פועל. שיטת סריקה זו מעשית יותר מכיוון שהיא מספקת תצוגה בזמן אמת של ביצועי האפליקציה. - השגת גישה
כדי למצוא את החולשות של מטרה, שלב זה משתמש בהתקפות של יישומי אינטרנט כגון סקריפטים חוצי אתרים, הזרקת SQL ודלתות אחוריות. כדי להבין את הנזק שהפגיעויות הללו עלולות לגרום, בודקים מנסים לנצל אותן על ידי הסלמה של הרשאות, גניבת נתונים, יירוט תעבורה וכן הלאה. - שמירה על גישה
מטרת שלב זה היא להעריך אם ניתן לנצל את הפגיעות כדי לבסס נוכחות ארוכת טווח במערכת שנפגעה, מה שמאפשר לשחקן גרוע לקבל גישה מעמיקה. המטרה היא לחקות איומים מתמשכים מתקדמים, שיכולים להישאר במערכת במשך חודשים על מנת לגנוב את המידע הרגיש ביותר של החברה. - אָנָלִיזָה
תוצאות בדיקת החדירה מוכנסות לאחר מכן לדוח הכולל מידע כגון:
נקודות תורפה שניצלו לפרטי פרטים
נתונים שהתקבלו היו רגישים
משך הזמן שבודק העט הצליח להישאר ללא תשומת לב במערכת.
מומחי אבטחה משתמשים בנתונים אלה כדי לסייע בהגדרת הגדרות WAF של ארגון ופתרונות אבטחה אחרים של יישומים על מנת לתקן נקודות תורפה ולמנוע התקפות נוספות.
שיטות לבדיקת חדירה
- בדיקות חדירה חיצוניות מתמקדות בנכסי החברה הנראים באינטרנט, כגון אפליקציית האינטרנט עצמה, אתר החברה וכן שרתי דואר אלקטרוני ושמות דומיין (DNS). המטרה היא להשיג גישה ולחלץ מידע שימושי.
- בדיקה פנימית כוללת לבוחן גישה לאפליקציה מאחורי חומת האש של חברה המדמה התקפת פנים עוינת. זה לא הכרחי הדמיית עובדים סוררת. עובד שהאישור שלו הושג כתוצאה מניסיון דיוג הוא נקודת מוצא נפוצה.
- בדיקה עיוורת היא כאשר הבוחן פשוט מקבל את שם החברה הנבדקת. זה מאפשר למומחי אבטחה לראות כיצד מתקפת אפליקציה בפועל עשויה להתרחש בזמן אמת.
- בדיקה כפולה סמיות: בבדיקה כפולה סמיות, אנשי אבטחה אינם מודעים להתקפה המדומה מראש. הם לא יספיקו לחזק את הביצורים שלהם לפני ניסיון פריצה, בדיוק כמו בעולם האמיתי.
- בדיקות ממוקדות – בתרחיש זה, הבוחן וצוות האבטחה משתפים פעולה ועוקבים אחר תנועותיו של זה. זהו תרגיל הדרכה מצוין שנותן לצוות אבטחה משוב בזמן אמת מנקודת מבטו של האקר.
חומות אש של יישומי אינטרנט ובדיקות חדירה
בדיקות חדירה ו-WAFs הן שתי טכניקות אבטחה נפרדות אך משלימות. סביר שהבודק ימנף נתוני WAF, כגון יומנים, כדי למצוא ולנצל אזורים חלשים של אפליקציה בסוגים רבים של בדיקות עטים (למעט בדיקות עיוורות ועיוורון כפול).
בתורו, נתוני בדיקת עט יכולים לעזור למנהלי WAF. לאחר השלמת בדיקה, ניתן לשנות תצורות WAF כדי להגן מפני הפגמים שהתגלו במהלך הבדיקה.
לבסוף, בדיקת עט עומדת בדרישות התאימות של שיטות ביקורת האבטחה, כגון PCI DSS ו-SOC 2. ניתן לעמוד בדרישות מסוימות, כגון PCI-DSS 6.6, רק אם נעשה שימוש ב-WAF מוסמך. עם זאת, בשל היתרונות שהוזכרו לעיל והפוטנציאל לשינוי הגדרות WAF, זה לא הופך את בדיקת העט לפחות שימושית.
מהי המשמעות של בדיקות אבטחת אינטרנט?
המטרה של בדיקות אבטחת אינטרנט היא לזהות פגמי אבטחה ביישומי אינטרנט והתקנתם. שכבת היישום היא היעד העיקרי (כלומר, מה שרץ בפרוטוקול HTTP). שליחת צורות שונות של קלט ליישום אינטרנט כדי לגרום לבעיות ולגרום למערכת להגיב בדרכים בלתי צפויות היא גישה נפוצה לבדיקת האבטחה שלה. ה"בדיקות השליליות" הללו בודקות אם המערכת עושה משהו שהיא לא נועדה להשיג.
חשוב גם להבין שבדיקת אבטחת אינטרנט כוללת יותר מסתם אימות תכונות האבטחה של האפליקציה (כגון אימות והרשאה). זה גם חיוני להבטיח שתכונות אחרות ייפרסו בצורה בטוחה (למשל, לוגיקה עסקית ושימוש באימות קלט נאות וקידוד פלט). המטרה היא לוודא שהפונקציות של יישום האינטרנט בטוחות.
מהם הסוגים הרבים של הערכות אבטחה?
- בדיקה לאבטחת יישומים דינמיים (DAST). מבחן אבטחת יישומים אוטומטי זה מתאים ביותר לאפליקציות בסיכון נמוך, הפונות לפנים, שחייבות לעמוד בדרישות האבטחה הרגולטוריות. שילוב של DAST עם כמה בדיקות אבטחה מקוונות ידניות לאיתור פגיעויות נפוצות היא האסטרטגיה הטובה ביותר עבור אפליקציות בסיכון בינוני ויישומים חיוניים שעוברים שינויים קלים.
- בדיקת אבטחה עבור יישומים סטטיים (SAST). אסטרטגיית אבטחת יישומים זו כוללת גם שיטות בדיקה אוטומטיות וגם ידניות. זה אידיאלי לאיתור באגים מבלי להפעיל אפליקציות בסביבה חיה. זה גם מאפשר למהנדסים לסרוק קוד מקור כדי לזהות ולתקן פגמי אבטחה בתוכנה בצורה שיטתית.
- בדיקת חדירה. מבחן אבטחת יישומים ידני זה אידיאלי עבור יישומים חיוניים, במיוחד אלה שעוברים שינויים משמעותיים. כדי למצוא תרחישי תקיפה מתקדמים, ההערכה משתמשת בלוגיקה עסקית ובבדיקות מבוססות יריב.
- הגנה עצמית של יישום בזמן ריצה (RASP). שיטת אבטחת יישומים ההולכת וגדלה זו משלבת מגוון טכניקות טכנולוגיות למכשיר יישום כך שניתן לצפות באיומים, ובתקווה למנוע אותם בזמן אמת בזמן שהם מתרחשים.
איזה תפקיד ממלאות בדיקות אבטחת יישומים בהורדת הסיכון של החברה?
הרוב המכריע של ההתקפות על יישומי אינטרנט כוללות:
- SQL Injection
- XSS (Cross Site Scripting)
- ביצוע פקודה מרחוק
- מתקפת חציית נתיב
- גישה מוגבלת לתוכן
- חשבונות משתמש שנפגעו
- התקנת קוד זדוני
- איבוד הכנסות ממכירות
- אמון הלקוחות הולך ונשחק
- פגיעה במוניטין המותג
- ועוד הרבה התקפות
בסביבת האינטרנט של היום, יישום אינטרנט עלול להיפגע ממגוון אתגרים. הגרפיקה למעלה מתארת כמה מההתקפות הנפוצות ביותר שמבצעות תוקפים, שכל אחת מהן יכולה לגרום נזק משמעותי לאפליקציה בודדת או לעסק שלם. הכרת התקיפות הרבות שהופכות אפליקציה לפגיעה, כמו גם התוצאות האפשריות של התקפה, מאפשרת לחברה לפתור פרצות מבעוד מועד ולבדוק אותן ביעילות.
ניתן להקים בקרות מקלות במהלך השלבים המוקדמים של ה-SDLC כדי למנוע בעיות כלשהן על ידי זיהוי הגורם השורשי לפגיעות. במהלך מבחן אבטחה של יישומי אינטרנט, ניתן להשתמש בידע כיצד פועלים איומים אלה כדי למקד למקומות מעניינים ידועים.
הכרת ההשפעה של התקפה חשובה גם לניהול הסיכון של החברה, מכיוון שההשפעות של התקפה מוצלחת עשויות לשמש כדי לקבוע את חומרת הפגיעות הכוללת. אם מתגלות פרצות במהלך בדיקת אבטחה, קביעת חומרתן מאפשרת לחברה לתעדף מאמצי תיקון בצורה יעילה יותר. כדי להפחית את הסיכון לחברה, התחל עם בעיות חומרה קריטיות ופעל למטה כדי להפחית את ההשפעה.
לפני זיהוי בעיה, הערכת ההשפעה האפשרית של כל תוכנית בספריית היישומים של החברה תעזור לך לתעדף בדיקות אבטחה של יישומים. ניתן לתזמן בדיקות אבטחה של Wenb למקד את היישומים הקריטיים של החברה תחילה, עם בדיקות ממוקדות יותר להורדת הסיכון מול העסק. עם רשימה מבוססת של יישומים בעלי פרופיל גבוה, ניתן לתזמן בדיקות אבטחה של wenb למקד את היישומים הקריטיים של החברה תחילה, עם בדיקות ממוקדות יותר להורדת הסיכון מול העסק.
במהלך בדיקת אבטחת אפליקציות אינטרנט, אילו תכונות יש לבחון?
במהלך בדיקות אבטחה של יישומי אינטרנט, שקול את הרשימה הלא ממצה הבאה של תכונות. יישום לא יעיל של כל אחד מהם עלול לגרום לחולשות, ולהעמיד את החברה בסכנה.
- תצורה של האפליקציה והשרת. הגדרות הצפנה/הצפנה, תצורות שרת אינטרנט וכן הלאה הם כולם דוגמאות לפגמים פוטנציאליים.
- אימות של טיפול בקלט ושגיאות עיבוד קלט ופלט לקוי מוביל להזרקת SQL, סקריפטים בין-אתרים (XSS) ובעיות הזרקה אופייניות אחרות.
- אימות ותחזוקה של הפעלות. פגיעויות שעלולות להוביל להתחזות למשתמש. יש לקחת בחשבון גם חוזק אישור והגנה.
- הרשאה. נבדקת יכולת האפליקציה להגן מפני הסלמות הרשאות אנכיות ואופקיות.
- היגיון בעסקים. רוב התוכניות המספקות פונקציונליות עסקית מסתמכות על אלה.
- היגיון בקצה הלקוח. סוג זה של תכונה הופך נפוץ יותר בדפי אינטרנט מודרניים ועתירי JavaScript, כמו גם בדפי אינטרנט המשתמשים בסוגים אחרים של טכנולוגיות בצד הלקוח (למשל, Silverlight, Flash, יישומוני Java).
כדי להכיר את עצמכם באופן מפורט עם תכנית הלימודים להסמכה תוכלו להרחיב ולנתח את הטבלה שלהלן.
תוכנית הלימודים להסמכת בדיקות חדירה של EITC/IS/WAPT אינטרנט מתייחסת לחומרים דידקטיים בגישה פתוחה בטופס וידאו. תהליך הלמידה מחולק למבנה שלב אחר שלב (תוכניות -> שיעורים -> נושאים) המכסה חלקים רלוונטיים בתכנית הלימודים. ניתן גם ייעוץ ללא הגבלה עם מומחי תחום.
לפרטים על הליך ההסמכה בדוק איך זה עובד?.
הורד את חומרי ההכנה המלאים ללמידה עצמית לא מקוונת לתוכנית EITC/IS/WAPT Web Applications Penetration Testing בקובץ PDF