Сигурност на уеб приложения - Научете най-добрите рискове за уеб сигурността

• Въведение в сигурността на уеб приложенията

Въведение в сигурността на уеб приложенията

Вече живеем в света на Мрежата. Всеки ден има милион транзакции, които вървят в мрежата във всяка една област като банкиране, училища, бизнес, най-добрите институции на света, изследователски центрове. Изключително важно е данните, които се извършват, да са много безопасни и комуникацията да е надеждна. Оттук идва и значението на осигуряването на мрежата.

Какво е сигурност на уеб приложенията?

Сигурността на уеб приложенията е клон на информационната сигурност, който се занимава със сигурността на уеб приложенията, уеб услугите и уебсайтовете. Това е вид сигурност на приложението, което се прилага конкретно на уеб или интернет ниво.

Сигурността в мрежата е важна, тъй като уеб приложенията се атакуват поради лошо кодиране или неправилно саниране на входовете и изходите на приложението. Чести атаки за уеб сигурност са скриптове на различни сайтове (XSS) и SQL инжекции.

Освен XSS, SQL инжекции, другите видове атаки на уеб сигурност са произволно изпълнение на код, разкриване на пътя, повреждане на паметта, отдалечено включване на файлове, преливане на буфер, включване на локални файлове и др. Уеб сигурността е изцяло базирана на хората и процесите. Следователно е изключително важно разработчиците да използват правилни стандарти за кодиране и проверка на разумността за всякакви такива заплахи за сигурността на мрежата, преди да направят уебсайтовете да стартират.

Всъщност проверките за сигурност трябва да се прилагат на много ранен етап на развитие и да продължат да се прилагат на всеки етап от жизнения цикъл на разработката на софтуер. Разработчиците трябва да бъдат добре обучени в киберсигурността и сигурните практики на кодиране. Еднократното тестване на приложението определено не е ефективно. На всеки етап трябва да се прилага непрекъсната регресия за атаки на уеб сигурност.

Стандартизиране на уеб сигурността

OWASP (Open Web Security Security Project) е органът по стандарти за сигурност на уеб приложенията. Той предоставя пълна документация, инструменти, техники и методологии в областта на сигурността на уеб приложенията. OWASP е един от безпристрастните източници на информация за най-добрите практики в сигурността на уеб приложенията.

Основни рискове за сигурността на мрежата от OWASP

По-долу са най-важните рискове за сигурността в мрежата, отчетени на OWASP.

SQL инжектиране:

Това е вид инжекционна атака, която дава възможност за изпълнение на злонамерени и неправилни SQL заявки, които могат да контролират базите данни на уеб сървъра. Атакуващите могат да използват SQL изрази, за да заобиколят мерките за сигурност на приложението. Те могат да удостоверяват или упълномощават уеб страници или уеб сайтове и да получават съдържанието на SQL бази данни, заобикаляйки SQL изявленията. Тази атака може да се случи над сайтове, които използват SQL, MYSQL, Oracle и др. Като бази данни. Това е най-разпространената и опасна атака за сигурност според документацията на OWASP 2017.

Изписване на кръстосани сайтове (XSS):

Това дава възможност на нападателите да инжектират клиентски скриптове в уеб приложения и уеб страници, гледани от други потребители. Уязвимостта на скриптове на различни сайтове може да се използва за заобикаляне на политики като същата политика за произход. Към 2007 г. XSS представлява 84% от всички атаки за сигурност в мрежата.

В зависимост от чувствителността на данните, XSS може да бъде незначителна атака или голяма заплаха за уебсайтовете.

Експлоататорите сгъват злонамерени данни в съдържанието, което се доставя на клиентския браузър. Когато данните се доставят на клиента, изглежда, че комбинираните данни са дошли от самия доверен сървър и имат всички набори от разрешения в края на клиента. Сега нападателят може да получи повишен достъп и привилегии до съдържанието на чувствителната страница, до сесийни бисквитки и разнообразна друга информация.

Счупено удостоверяване и управление на сесиите:

Тази атака позволява или да улови или да заобиколи автентификацията на уеб страницата или приложението.

Това е по-скоро слаб стандарт, последван от разработчика на уебсайтове, които причиняват проблеми като например,

• Предсказуеми идентификационни данни за вход.
• Не защитава правилно идентификационните данни за вход на потребители, когато се съхранява.
• Сесийните идентификатори, изложени в URL адреса.
• Пароли, идентификационни номера на сесията не се изпращат чрез криптирани URL адреси.
• Стойностите на сесията не изтичат след определен период от време.

За да се предотвратят тези атаки, разработчикът трябва да внимава за поддържането на правилните стандарти като защита на паролите и правилното им хеширане при преминаване, Не излагане на идентификационни номера на сесия, таймиране на сесията след определен период от време, пресъздаване на идентификационни номера на сесия след успешно влизане опитвайте.

За да коригирате счупена автентификация

• Дължината на паролата трябва да се поддържа най-малко 8 знака.
• Паролата трябва да е сложна, за да може потребителят да не може да я предвиди. Това трябва да използва правилни правила за задаване на парола като буквено-цифрови, специални комбинации от символи и големи и малки букви.
• Провалите в удостоверяването никога не трябва да показват коя част от данните за удостоверяване не са правилни. Отговорите за грешки трябва да са общи до известна степен. Например: Невалидни идентификационни данни вместо да се показват потребителско име или парола, които точно са неправилни.

Неправилни конфигурации за сигурност:

Това е една от лошите практики, която прави уебсайтовете уязвими за атаки. За напр. Конфигурации на сървъра на приложения, връщащи пълен след на стека на потребителите, които дават информация на нападателите да знаят къде е недостатъкът и съответно атакуват сайтовете. За да се предотвратят такива случаи, важно е да се внедри силна архитектура на приложенията и да се изпълняват периодично сканирането на защитата.

заключение

Много е важно всеки уебсайт да спазва правилните стандарти, да поддържа правилни техники за кодиране, да има стабилна архитектура на приложенията, да изпълнява периодично сканирането без да се проваля и да се опита да избегне атаките в мрежата за сигурност в по-голяма степен.

Препоръчителни статии

Това е ръководство за сигурността на уеб приложенията. Тук сме обсъдили Въвеждането, Стандартизацията, Основните рискове на уеб сигурността. Можете също да разгледате следните статии, за да научите повече -

1. Въпроси за интервю за киберсигурност
2. Въпроси за интервю за уеб разработка
3. Кариера в уеб разработката
4. Какво е Elasticsearch?
5. Какво е скрипт между сайтове?