Як навчитися захищати веб-додатки?

Автор

Веб-безпека — це справжня справа, і краще визнати це раніше, ніж чекати, поки станеться щось погане.

Швидкий розвиток технологій, зокрема веб-сервісів і програм, зробив революцію в сучасному бізнесі. Багато компаній перемістили більшість своїх операцій в Інтернет, дозволяючи співробітникам і діловим партнерам з будь-якої частини світу співпрацювати та легко обмінюватися даними в режимі реального часу.

Після появи сучасних веб-програм HTML5 і Web 2.0 вимоги клієнтів змінилися. Тепер кожен хоче отримати доступ до будь-якої інформації, яка може знадобитися 24/7/365. Як наслідок, онлайн-бізнеси змушені робити свої дані постійно доступними.

Незважаючи на те, що період глобального карантину, можливо, був досить сприятливим для тих, хто працює вдома, і для роздрібних торговців онлайн, він також приніс величезну користь кіберзлочинцям.

Збільшення онлайн-транзакцій і віддалена робота дозволили їм зламати багато інформації про кредитні картки та націлитися на віддалених працівників та їхні організації. Цей прогрес також залучив шахраїв і зловмисних хакерів, які час від часу розробляють нові вектори загроз.

Цього року близько 80% компаній стали свідками сплеску кібератак, тоді як коронавірус спричинив зростання загроз банкам на 238%, каже звіт.

Щоб пом’якшити всі ці атаки, було створено безпеку веб-додатків. І цій галузі потрібні талановиті професіонали, які можуть врятувати організації від втрати даних, грошей і довіри споживачів.

Це мета цієї статті, де ви дізнаєтесь про безпеку, чого очікуєте від професіоналів із веб-безпеки та джерела, з яких ви можете навчитися та оволодіти навичками.

Отже, почнемо?

Що таке безпека веб-додатків?

Веб-безпека, кібербезпека або безпека веб-додатків — це спосіб захисту онлайн-сервісів і веб-сайтів від різноманітних загроз, які використовують уразливості, пов’язані з кодами додатків.

Деякі з поширених цілей цих атак – рішення для керування базами даних, як-от phpMyAdmin, програми SaaS, системи керування вмістом (CMS), як-от WordPress, тощо.

Веб-безпека спрямована на запобігання таким атакам, забороняючи неавторизований доступ, використання, знищення/розрив або модифікацію.

Отже, чому зловмисники широко орієнтуються на веб-програми?

  • Притаманна складність вихідного коду програми, що збільшує ймовірність уразливостей, а також маніпулювання кодом.
  • Додатки прості у виконанні; отже, зловмисники можуть легко запускати або автоматизувати більшість атак, які можуть бути спрямовані на тисячі програм одночасно.
  • Цінні збитки, які включають конфіденційні та приватні дані через маніпуляції з вихідним кодом, а також фінансові збитки

Поширені типи вразливості

Міжсайтовий сценарій (XSS)

XSS дозволяє зловмисникам вставляти сценарії на стороні клієнта на веб-сторінку та отримувати прямий доступ до важливих даних, обманом змусити користувачів розкрити важливі дані або видавати себе за інших. Його наслідки включають доступ до облікових записів, активацію троянських програм, зміну вмісту сторінки тощо.

Міжсайтова підробка запитів (CSRF)

CSRF обманює жертв, коли вони роблять запит, який використовує їх авторизацію чи автентифікацію. Отже, через ці привілеї облікового запису зловмисники можуть робити запити, видаючи себе за користувача. Це може призвести до переказу коштів, зміни пароля тощо.

Відмова в обслуговуванні (DoS) і розподілена відмова в обслуговуванні (DDoS)

Зловмисники перевантажують цільовий сервер та/або його інфраструктуру різноманітним трафіком атак. Щойно сервер стає нездатним ефективно обробляти інклінг-запити, він починає працювати повільно та зрештою відмовляє в обслуговуванні більшій кількості вхідних запитів, навіть від законних відвідувачів.

SQL ін’єкція 💉

Метод, який зловмисник використовує для використання вразливостей, подібний до того, як бази даних реалізують пошукові запити. Зловмисники використовують SQI для доступу до несанкціонованих даних, створення або зміни дозволів користувача, знищення або маніпулювання конфіденційними даними тощо.

Віддалене включення файлів

Зловмисники використовують його для ін’єкції шкідливих файлів із кодами на сервер веб-додатків для виконання цих кодів, щоб завдати шкоди додатку, маніпулювати ним і здійснити крадіжку даних.

  Як змінити кілька рівнів заголовків у MS Word

інші

Інші атаки включають пошкодження пам’яті, витік даних, клікджекінг, обхід каталогу, впровадження команд, переповнення масла тощо.

Я сподіваюся, що цього достатньо, щоб зрозуміти, що безпека в Інтернеті є вимогою часу, і чому всі повинні запровадити її якнайшвидше, перш ніж вона може становити будь-яку загрозу для вашої програми та завдати вам фінансової чи репутаційної шкоди.

Через зростаючі вимоги багато людей приходять вперед, щоб вчитися. І якщо ви зацікавлені у вивченні цього предмету, це може бути чудовим варіантом кар’єри та корисним на особистому рівні.

Що роблять спеціалісти з веб-безпеки?

Професіонали з веб-безпеки відповідають за захист веб-програм, відповідних мереж і даних програм. Вони допомагають пом’якшити порушення даних, відстежуючи мережу та реагуючи на загрози.

Ці фахівці мають досвід мережевих або системних адміністраторів, програмістів. Це тому, що ця сфера вимагає допитливості, критичного мислення, пристрасті до дослідження та навчання. Вони повинні бути в змозі перехитрити хакерів, які «деструктивно креативні» у розробці та впровадженні різноманітних загроз.

Оскільки загрози безпеці можуть виникнути будь-коли, професіонали безпеки повинні бути в курсі всіх останніх тактик, які використовують хакери, щоб проникнути в системи та мережі. Деякі з обов’язків спеціалістів із веб-безпеки:

  • Знайдіть уразливості у веб-додатках, базах даних і шифруванні.
  • Пом’якшуйте атаки, виправляючи проблеми безпеки
  • Періодично проводите перевірки, щоб забезпечити найкращі практики безпеки
  • Розгорніть засоби запобігання та виявлення кінцевих точок, щоб запобігти зловмисним атакам
  • Впроваджуйте системи для керування вразливими місцями в активах у хмарі та локально
  • Виконуйте очищення на випадок атак
  • Працювати з іншими ІТ-операціями для планування аварійного відновлення.
  • Працюйте з керівниками груп і відділом кадрів, щоб навчити всіх співробітників виявляти підозрілу діяльність.

Деякі найкращі методи безпеки для захисту веб-програм

Використання брандмауерів веб-додатків (WAF)

WAF допомагає захистити ваші веб-програми від зловмисних запитів HTTP. Він створює бар’єр між зловмисником і вашим сервером. Він може захистити сьомий рівень від таких загроз, як XSS, CSRF, впровадження SQL тощо.

Пом’якшення DDoS

Як випливає з назви, він використовується для пом’якшення DDoS додатків і атак на мережевому рівні, таким чином, захищаючи веб-сайти, програми та серверну інфраструктуру.

Фільтрація ботів 🤖

Він реалізований для фільтрації поганого трафіку ботів.

Захист DNS

Це робиться для захисту вашого запиту DNS від викрадення через атаки на шляху та отруєння кешу DNS.

Використання HTTPS

HTTPS шифрує всі дані, якими обмінюються сервер і ваш клієнт, щоб захистити облікові дані для входу, інформацію заголовків, файли cookie, дані запитів тощо.

Отже, якщо ви вирішили вивчати безпеку веб-додатків, ви можете звернутися до наведених нижче навчальних ресурсів і відточити свої навички 🧑‍💻.

PortSwigger

Вчіться у виробників Burp Suite – провідної платформи для різноманітних інструментів кібербезпеки PortSwigger. Це БЕЗКОШТОВНЕ онлайн-навчання, яке може підвищити вашу кар’єру в галузі кібербезпеки.

Завдяки інтерактивним лабораторіям ви можете навчатися в будь-який час і з будь-якого місця, а також відстежувати свій прогрес з часом. Він забезпечує навчання вразливостям бізнес-логіки, розкриттю інформації, отруєнню веб-кешу, незахищеній десеріалізації, ін’єкції SQL, XSS, CSRF, ін’єкції XXE тощо.

Навчальні матеріали PortSwigger створені досвідченими професіоналами, дослідницькою групою та їх засновником – Дафідом Штутардом. Він також є автором відомої книги під назвою «Довідник хакера веб-додатків».

Підручники вичерпно пояснюються в текстовому та відеовмісті, щоб допомогти легко запам’ятати ключові моменти. Їхні інтерактивні лабораторії роблять загальний курс захоплюючим, і саме тут вони задають реалістичні головоломки, щоб перевірити ваші навички хакерства.

  Знайдіть випадковий фільм або телешоу для перегляду на Netflix, Hulu, HBO Go або Amazon Prime

EdX

Основи веб-безпеки від EdX чудово підходить для розуміння основних принципів. Він надає вам огляд типових атак і заходів протидії, придатних для кожної з них лише театрально та практично.

Вони також навчать вас найкращим практикам безпеки, які зараз переважають для захисту веб-програм. Якщо ви хочете приєднатися до курсу, вам не обов’язково потрібні попередні знання з безпеки. Але якщо ви це зробите, це допоможе вам краще зрозуміти такі речі, як HTTP, JavaScript, HTML тощо.

Тривалість курсу 5 тижнів, що включає 4-6 годин на тиждень. Навчатися можна абсолютно БЕЗКОШТОВНО; однак, якщо ви хочете, ви можете заплатити 48,97 доларів США, щоб отримати підтверджений і підписаний інструктором сертифікат із логотипом закладу. Цей сертифікат можна використовувати, щоб збільшити перспективи працевлаштування, ним можна поділитися в LinkedIn або включити його у своє резюме чи CV.

Стенфорд

Курс CS 253 Web Security від Стенфорд пропонує повний огляд веб-безпеки та має на меті дати студентам зрозуміти типові веб-атаки та способи їх запобігання. Курс охоплює не лише основи, але й передові навички веб-безпеки.

Деякі з тем включають:

  • Принципи веб-безпеки
  • Атаки та контрзаходи
  • Уразливості веб-додатків
  • Модель безпеки браузера
  • Ін’єкції, DoS і TLS атаки
  • Відбитки пальців, конфіденційність, політика того самого джерела, автентифікація, міжсайтовий сценарій, безпека JavaScript
  • Поглиблена оборона
  • Виникаючі загрози
  • Методи написання безпечних кодів, експлойти безпеки
  • Впровадження веб-стандартів, що розвиваються, і захист слабких веб-програм

Щоб пройти цей курс, ви повинні пройти CS 142 або будь-який інший еквівалентний досвід у веб-розробці. Тут відвідування є обов’язковим, а оцінювання базується на:

  • 75% виконання завдань
  • 25% на підсумковий іспит

Щоб краще підготуватися, ви можете ознайомитися з рішенням для Підсумковий іспит 2019 і інші зразкові питання для CS 253.

Дружній для початківців

Безсумнівно, Udemy є одним із найкращих місць для онлайн-навчання на різних курсах; Безпека веб-додатків є одним із них. Якщо ви новачок, цей курс чудово підійде вам, оскільки він не вимагає попередніх знань кодування.

У цьому курсі ви дізнаєтеся:

  • Визначення 10 найкращих загроз, виявлених OWASP або Open Web Application Security Project
  • Розуміння того, як ці загрози можна пом’якшити
  • Вплив кожної загрози на ваш бізнес
  • Як зловмисники виконують ці загрози

Курс пояснюється найпростішою мовою, щоб його міг зрозуміти кожен, у кого мало інформації в Інтернеті та комп’ютері. Він також охоплює поглиблений захист, пояснення спуфінгу, розкриття інформації, підробки, відмови, підвищення привілеїв і DoS.

Досвідчені викладачі навчать вас усьому, що вам потрібно, щоб освоїти основи веб-безпеки.

Coursera

Ще один дуже хороший варіант у списку Coursera, який навчає, як можна використовувати OWASP ZAP або Zed Attack Proxy. Цей інструмент допомагає фахівцям із безпеки, а також тестувальникам проникнення знаходити вразливості.

  • Вони навчають, як можна шукати вразливості, аналізувати результати сканування, створювати звіти з них тощо.
  • Ви також навчитесь налаштовувати проксі-сервер браузера для пасивного сканування відповідей і запитів під час перегляду веб-сайтів.
  • Коротке пояснення того, як переглядати, перехоплювати, пересилати та змінювати веб-запити, що надходять між веб-програмою та браузером.
  • Крім того, ви навчитеся використовувати списки словників для пошуку папок і файлів на веб-сервері.
  • Крім того, ви можете зрозуміти, як можна сканувати сайти, щоб знайти URL-адреси та посилання.

Інструктори курсів крок за кроком ведуть вас у кожній темі у відео на розділеному екрані, а оскільки воно розміщено в хмарі, вам не доведеться витрачати час на завантаження. Coursera надає сертифікати для кожної програми без додаткової плати.

  Як налаштувати розумний гараж

PentesterLab

PentesterLab охоплює від базових до просунутих рівнів. Вони навчать вас, як знаходити та використовувати вразливості вручну. Усі їхні вправи охоплюють загальні недоліки або проблеми, виявлені в різних системах.

Для кращого навчання вони надають реальні системи та реальні вразливості, щоб ви могли навчатися в режимі реального часу, без емуляції. Їх онлайн-вправи дозволяють отримати сертифікати після завершення курсу. Усі вправи розбиті на значки, які ви можете виконати, щоб отримати сертифікат.

YouTube

YouTube є осередком знань; Ви просто повинні використовувати це правильно!

Отже, є канал Google Chrome Developers із 505 тисячами підписників на YouTube, який ви можете переглянути, щоб дізнатися.

У цьому підручнику ви зможете зрозуміти деякі типові вектори атак і як захистити свої дані, користувачів і репутацію. Далі ви познайомитеся з новим курсом, який спрямований на надання стислих лекцій і практичних вправ на теми, включаючи захист і напад.

Mozilla

Зверніться до Веб-документи MDN від Mozilla та отримати доступ до корисних статей про веб-безпеку. Перелічені тут статті охоплюють різноманітні теми, як-от безпека вмісту, безпека з’єднання, безпека даних, витік інформації, цілісність даних, захист від клікджекінгів, безпека даних користувача тощо.

Інформація з цих статей допоможе вам захистити свій веб-сайт і всі його коди від крадіжки даних і атак. Ви можете дізнатися деякі цікаві речі, наприклад, як ви можете виправити свій сайт, заблокувавши змішаний вміст, про алгоритми підписів тощо.

Invicti

Вичерпна стаття автора Invicti здатний пояснити дрібниці безпеки веб-додатків. Він чудово написаний, щоб допомогти навіть новачкам зрозуміти терміни та технології, що використовуються в веб-безпеці.

У статті пояснюються міфи та основи безпеки веб-програм, а також пояснюється, як сучасні компанії можуть покращити безпеку своїх веб-сайтів і програм, щоб утримувати кібер-зловмисників.

Тут ви дізнаєтеся:

  • Як захистити ваші веб-програми
  • Вибір правильного сканера вразливостей
  • Різниця між безкоштовним і комерційним веб-сканером вразливостей
  • Як перевірити свій сканер вразливостей і коли його використовувати
  • Деякі найкращі методи захисту вашого веб-сервера та інших компонентів

SANS

Пройдіть цей курс – SEC22 від SANS якщо ви прагнете захистити веб-додатки. Це допоможе вам зрозуміти всі вразливості безпеки, пов’язані з вашою веб-програмою, щоб ви могли захистити свої веб-активи.

Курс познайомить вас із методами пом’якшення наслідків для архітектури, інфраструктури та кодування разом із методами реального світу. Ви ознайомитеся з природою цих вразливостей, щоб зрозуміти, чому вони виникають і як їх пом’якшити.

Він підходить для людей, які відповідають за керування, впровадження або захист веб-додатків. Це може включати аналітиків безпеки програм, архітекторів, розробників, аудиторів, тестувальників пера тощо.

Курс охоплюватиме такі теми, як:

  • 10 найкращих загроз OWASP
  • Специфічні проблеми з топ-25 програмних помилок CWE
  • Інтеграція хмари у веб-програму
  • Конфігурація мови програми
  • Конфігурація інфраструктури та управління безпекою
  • Механізми автентифікації
  • HTTP заголовки
  • Помилки в бізнес-логіці
  • Помилки кодування, такі як XSS, CSRF, впровадження SQL тощо.

Якщо ви розумієте основи концепцій і технологій веб-додатків, таких як JavaScript і HTML, ви можете продовжувати курс.

Cloudflare

Це ще одна стаття в списку автора Cloudflare який охоплює питання безпеки веб-додатків.

Точніше, це пояснює:

  • Яке значення цієї термінології,
  • Деякі типові вразливості, а потім
  • Найкращі методи запобігання вразливостям веб-безпеки

Прочитайте цю статтю, щоб роз’яснити деякі основні поняття, які дуже допоможуть вам під час реєстрації в програмі безпеки веб-додатків.

Висновок

Вивчення безпеки веб-додатків стало надзвичайно важливим, оскільки кількість кібератак стрімко зростає.

Все найкраще!