Základy zabezpečenia webových aplikácií EITC/IS/WASF

Open Web Application Security Project (OWASP) ponúka zdroje, ktoré sú bezplatné aj otvorené. Na starosti to má nezisková Nadácia OWASP. Top 2017 OWASP za rok 10 je výsledkom súčasnej štúdie založenej na rozsiahlych údajoch zozbieraných od viac ako 40 partnerských organizácií. Pomocou týchto údajov sa zistilo približne 2.3 milióna zraniteľností vo viac ako 50,000 10 aplikáciách. Desať najdôležitejších problémov v oblasti bezpečnosti online aplikácií podľa OWASP Top 2017 – XNUMX je:

• Injekcia
• Problémy s autentifikáciou
• Exponované citlivé údaje Externé entity XML (XXE)
• Kontrola prístupu, ktorá nefunguje
• Nesprávna konfigurácia zabezpečenia
• Skriptovanie typu site-to-site (XSS)
• Deserializácia, ktorá nie je bezpečná
• Používanie komponentov, ktoré majú známe nedostatky
• Protokolovanie a monitorovanie sú nedostatočné.

Preto je prax ochrany webových stránok a online služieb pred rôznymi bezpečnostnými hrozbami, ktoré využívajú slabé miesta v kóde aplikácie, známa ako bezpečnosť webových aplikácií. Systémy na správu obsahu (napr. WordPress), nástroje na správu databáz (napr. phpMyAdmin) a aplikácie SaaS sú všetky bežné ciele útokov na online aplikácie.

Webové aplikácie považujú páchatelia za vysoko prioritné ciele, pretože:

• Kvôli zložitosti ich zdrojového kódu sú pravdepodobnejšie zraniteľnosti bez dozoru a modifikácie škodlivého kódu.
• Odmeny vysokej hodnoty, ako sú citlivé osobné informácie získané efektívnou manipuláciou so zdrojovým kódom.
• Jednoduchosť vykonávania, pretože väčšinu útokov možno ľahko zautomatizovať a nasadiť bez rozdielu proti tisícom, desiatkam alebo dokonca stovkám tisícov cieľov naraz.
• Organizácie, ktoré nedokážu zabezpečiť svoje webové aplikácie, sú zraniteľné voči útokom. To môže viesť okrem iného ku krádeži údajov, napätým vzťahom s klientmi, zrušeniu licencií a právnym krokom.

Chyby na webových stránkach

Chyby v sanitácii vstupu/výstupu sú bežné vo webových aplikáciách a často sa využívajú na zmenu zdrojového kódu alebo na získanie neoprávneného prístupu.

Tieto chyby umožňujú využitie rôznych vektorov útokov, vrátane:

• SQL Injection – Keď páchateľ manipuluje backendovú databázu so škodlivým kódom SQL, dôjde k odhaleniu informácií. Medzi následky patrí nelegálne prehliadanie zoznamov, mazanie tabuliek a neoprávnený prístup správcu.
• XSS (Cross-site Scripting) je injekčný útok, ktorý sa zameriava na používateľov s cieľom získať prístup k účtom, aktivovať trójske kone alebo zmeniť obsah stránky. Keď je škodlivý kód vstreknutý priamo do aplikácie, označuje sa to ako uložený XSS. Keď sa škodlivý skript zrkadlí z aplikácie do prehliadača používateľa, označuje sa to ako odrazený XSS.
• Vzdialené zahrnutie súboru – Táto forma útoku umožňuje hackerovi vložiť súbor do webového aplikačného servera zo vzdialeného miesta. To môže viesť k spusteniu nebezpečných skriptov alebo kódu v rámci aplikácie, ako aj krádeži alebo úprave údajov.
• Cross-site Request Forgery (CSRF) – Typ útoku, ktorý môže viesť k neúmyselnému prevodu hotovosti, zmene hesla alebo krádeži údajov. Vyskytuje sa, keď škodlivý webový program prikáže prehliadaču používateľa vykonať nežiaducu akciu na webovej lokalite, na ktorej je prihlásený.

Teoreticky môže efektívna vstupno/výstupná dezinfekcia odstrániť všetky zraniteľné miesta, vďaka čomu bude aplikácia odolná voči neoprávneným úpravám.

Avšak, pretože väčšina programov je v neustálom stave vývoja, komplexná sanitácia je len zriedka realizovateľnou možnosťou. Aplikácie sú navyše bežne navzájom integrované, čo vedie ku kódovanému prostrediu, ktoré je čoraz zložitejšie.

Aby sa predišlo takýmto nebezpečenstvám, mali by sa implementovať bezpečnostné riešenia a procesy webových aplikácií, ako je certifikácia PCI Data Security Standard (PCI DSS).

Firewall pre webové aplikácie (WAF)

WAF (webové aplikačné firewally) sú hardvérové ​​a softvérové ​​riešenia, ktoré chránia aplikácie pred bezpečnostnými hrozbami. Tieto riešenia sú navrhnuté tak, aby kontrolovali prichádzajúcu komunikáciu s cieľom odhaliť a zablokovať pokusy o útok, čím sa kompenzujú prípadné chyby v dezinfekcii kódu.

Nasadenie WAF rieši dôležité kritérium pre certifikáciu PCI DSS tým, že chráni dáta pred krádežou a modifikáciou. Všetky údaje o držiteľoch kreditných a debetných kariet uchovávané v databáze musia byť chránené podľa požiadavky 6.6.

Pretože je umiestnený pred DMZ na okraji siete, vytvorenie WAF zvyčajne nevyžaduje žiadne zmeny v aplikácii. Potom slúži ako brána pre všetku prichádzajúcu komunikáciu a filtruje nebezpečné požiadavky skôr, ako môžu interagovať s aplikáciou.

Na posúdenie, ktorá prevádzka má povolený prístup k aplikácii a ktorá sa musí odstrániť, používajú WAF rôzne heuristiky. Vďaka pravidelne aktualizovanému súboru podpisov dokážu rýchlo identifikovať škodlivých aktérov a známe vektory útokov.

Takmer všetky WAF môžu byť prispôsobené individuálnym prípadom použitia a bezpečnostným predpisom, ako aj boju proti vznikajúcim (známym aj ako zero-day) hrozbám. Nakoniec, na získanie ďalších informácií o prichádzajúcich návštevníkoch väčšina moderných riešení využíva údaje o reputácii a správaní.

Na vybudovanie bezpečnostného perimetra sa WAF zvyčajne kombinujú s dodatočnými bezpečnostnými riešeniami. Tie by mohli zahŕňať služby prevencie distribuovaného odmietnutia služby (DDoS), ktoré poskytujú dodatočnú škálovateľnosť potrebnú na zabránenie útokom s veľkým objemom.

Kontrolný zoznam pre bezpečnosť webových aplikácií
Okrem WAF existuje množstvo prístupov na ochranu webových aplikácií. Každý kontrolný zoznam zabezpečenia webovej aplikácie by mal obsahovať nasledujúce postupy:

• Zhromažďovanie údajov — Prejdite si aplikáciu ručne a hľadajte vstupné body a kódy na strane klienta. Klasifikujte obsah, ktorý je hostený treťou stranou.
• Autorizácia — Pri testovaní aplikácie hľadajte prechody ciest, problémy s vertikálnym a horizontálnym prístupom, chýbajúcu autorizáciu a neisté, priame referencie na objekty.
• Zabezpečte všetky dátové prenosy pomocou kryptografie. Boli nejaké citlivé informácie zašifrované? Použili ste nejaké algoritmy, ktoré nie sú vhodné? Existujú nejaké chyby náhodnosti?
• Denial of service — Test na anti-automatizáciu, uzamknutie účtu, HTTP protokol DoS a SQL zástupný DoS na zlepšenie odolnosti aplikácie proti útokom odmietnutia služby. To nezahŕňa zabezpečenie proti veľkoobjemovým DoS a DDoS útokom, ktoré si vyžadujú kombináciu filtrovacích technológií a škálovateľných zdrojov, aby odolali.

Ďalšie podrobnosti nájdete v Cheat Sheet na testovanie bezpečnosti webových aplikácií OWASP (je to tiež skvelý zdroj pre ďalšie témy týkajúce sa bezpečnosti).

Ochrana DDoS

DDoS útoky alebo distribuované útoky odmietnutia služby sú typickým spôsobom prerušenia webovej aplikácie. Existuje množstvo prístupov na zmiernenie útokov DDoS, vrátane vyradenia prenosu objemových útokov v sieťach na doručovanie obsahu (CDN) a využitia externých sietí na správne smerovanie skutočných požiadaviek bez toho, aby došlo k prerušeniu služby.

Ochrana DNSSEC (Domain Name System Security Extensions).

Systém názvov domén alebo DNS je telefónny zoznam internetu a odráža spôsob, akým internetový nástroj, ako napríklad webový prehliadač, nájde príslušný server. Otrava vyrovnávacej pamäte DNS, útoky na ceste a ďalšie prostriedky zasahovania do životného cyklu vyhľadávania DNS budú zneužité zlými hráčmi na zneužitie tohto procesu požiadavky DNS. Ak je DNS telefónny zoznam internetu, DNSSEC je nespoofable ID volajúceho. Požiadavku na vyhľadávanie DNS je možné chrániť pomocou technológie DNSSEC.