Introducere în securitatea aplicațiilor web

Acum trăim în lumea web. În fiecare zi, există o mulțime de tranzacții care se desfășoară pe web în fiecare domeniu, cum ar fi bancare, școli, afaceri, instituții de top din lume, centre de cercetare. Este extrem de important ca datele care sunt tranzacționate să fie foarte sigure și comunicarea să fie fiabilă. Prin urmare, vine importanța securizării web-ului.

Ce este securitatea aplicațiilor web?

Securitatea aplicațiilor web este o ramură a securității informațiilor care se ocupă de securitatea aplicațiilor web, a serviciilor web și a site-urilor web. Este un fel de securitate a aplicațiilor care este aplicată în mod special la nivel web sau internet.

Securitatea web este importantă, deoarece aplicațiile web sunt atacate din cauza codificării proaste sau a igienizării incorecte a intrărilor și ieșirilor aplicației. Atacurile comune de securitate web sunt scripturile cross-site (XSS) și SQL Injections.

În afară de XSS, injecții SQL, celelalte tipuri de atacuri de securitate web sunt executarea codului arbitrar, divulgarea căilor, corupția memoriei, includerea fișierului de la distanță, revărsarea bufferului, includerea fișierelor locale etc. Securitatea web se bazează complet pe oameni și pe procese. Prin urmare, este extrem de important ca dezvoltatorii să utilizeze standarde de codificare adecvate și verificări de sănătate pentru astfel de amenințări de securitate web înainte de a face site-uri web live.

Verificările de securitate, de fapt, trebuie aplicate într-un stadiu foarte timpuriu de dezvoltare și continuă să se aplice în fiecare etapă a ciclului de viață al dezvoltării software. Dezvoltatorii trebuie să fie bine pregătiți în domeniul cibersecurității și practicilor sigure de codare. Testarea o singură dată a aplicației nu este cu siguranță eficientă. Regresiunea continuă pentru atacurile de securitate web trebuie să fie pusă în aplicare în fiecare etapă.

Standardizarea securității web

OWASP (Open Web Application Security Project) este organismul de standarde pentru securitatea aplicațiilor web. Oferă documentație completă, instrumente, tehnici și metodologii în domeniul securității aplicațiilor web. OWASP este una dintre sursele de informații imparțiale despre cele mai bune practici în securitatea aplicațiilor web.

Riscuri OWASP de securitate web

Mai jos sunt prezentate principalele riscuri de securitate web raportate la OWASP.

Injecție SQL:

Acesta este un tip de atac de injecție care face posibilă executarea de interogări SQL malițioase și improprii care ar putea controla bazele de date ale serverului web. Atacatorii pot folosi instrucțiuni SQL pentru a ocoli măsurile de securitate ale aplicației. Acestea pot autentifica sau autoriza pagini web sau site-uri web și pot obține conținutul bazelor de date SQL ocolind instrucțiunile SQL. Acest atac se poate întâmpla peste site-uri care folosesc SQL, MYSQL, Oracle, etc., ca baze de date. Acesta este cel mai răspândit și periculos atac de securitate conform documentației OWASP 2017.

Scripturi cross site (XSS):

Aceasta permite atacatorilor să injecteze scripturi din partea clientului în aplicații web și pagini web vizualizate de alți utilizatori. O vulnerabilitate de scripturi cross-site poate fi utilizată pentru a ocoli politicile precum aceeași politică de origine. În 2007, XSS a reprezentat 84% din toate atacurile de securitate de pe web.

În funcție de sensibilitatea datelor, XSS ar putea fi un atac minor sau o amenințare majoră pentru site-urile web.

Exploratorii pliază date dăunătoare în conținutul care este livrat browserului client. Când datele sunt livrate la client, se pare că datele combinate au provenit de la serverul de încredere în sine și are toate seturile de permisiuni la capătul clientului. Atacatorul poate acum obține acces ridicat și privilegii la conținutul paginii sensibile, la cookie-urile de sesiune și o varietate de alte informații.

Autentificare spartă și gestionarea sesiunii:

Acest atac permite capturarea sau ocolirea autentificării pe pagina web sau în aplicație.

Acesta este mai mult un standard slab, urmat de un dezvoltator de site-uri web care cauzează probleme precum, de exemplu,

  • Credențe de autentificare previzibile.
  • Nu protejați corect datele de autentificare ale utilizatorului atunci când sunt stocate.
  • ID-urile de sesiune sunt expuse în adresa URL.
  • Parole, ID-uri de sesiune care nu sunt trimise pe adrese URL criptate.
  • Valorile sesiunii care nu cad din timp după o anumită perioadă de timp.

Pentru a preveni aceste atacuri, dezvoltatorul ar trebui să fie atent la menținerea standardelor corespunzătoare, cum ar fi protejarea parolelor și păstrarea corectă a acesteia în timpul trecerii, Nu expune ID-urile de sesiune, închiderea sesiunii după o perioadă specifică de timp, recreând ID-urile de sesiune după o conectare reușită atentat, încercare.

Pentru a remedia autentificarea spartă

  • Lungimea parolei trebuie menținută la cel puțin 8 caractere.
  • Parola trebuie să fie complexă pentru ca utilizatorul să nu poată să o prezică. Acest lucru ar trebui să utilizeze reguli de setare de parole adecvate, cum ar fi alfanumerice, caractere speciale și combinații de numere mari / minuscule.
  • Eșecurile de autentificare nu ar trebui să indice niciodată ce parte a datelor de autentificare este incorectă. Răspunsurile la eroare ar trebui să fie generice într-o oarecare măsură. De exemplu: acreditări nevalide în loc să afișeze nume de utilizator sau parolă care este exact incorectă.

Configurații greșite de securitate:

Aceasta este una dintre practicile proaste care face ca site-urile să fie vulnerabile la atacuri. De ex. Configurațiile serverului de aplicații întorc urmărirea completă a stivei către utilizatorii care fac ca atacatorii să știe unde este defectul și, în consecință, atacă site-urile. Pentru a preveni astfel de cazuri, este important să fie implementată o arhitectură puternică a aplicațiilor și să executați periodic scanările de securitate.

Concluzie

Este foarte important ca fiecare site web să urmeze standardele corespunzătoare, să mențină tehnicile de codare adecvate, să aibă o arhitectură robustă a aplicațiilor, să ruleze periodic scanările fără a eșua și să încercați să evitați atacurile de securitate web într-o măsură mai mare.

Articole recomandate

Acesta a fost un ghid privind securitatea aplicațiilor web. Aici am discutat Introducerea, Standardizarea, Riscurile de securitate web. De asemenea, puteți consulta următoarele articole pentru a afla mai multe -

  1. Întrebări la interviu pentru Cyber ​​Security
  2. Întrebări de interviu de dezvoltare web
  3. Cariera în dezvoltarea web
  4. Ce este Elasticsearch?
  5. Ce este Scripturile între site-uri?

Categorie:

Dezvoltare de software