Sissejuhatus veebirakenduste turvalisusesse

Elame nüüd veebimaailmas. Iga päev toimub veebis miljard tehingut, mis toimuvad igas valdkonnas, näiteks pangandus, koolid, ettevõtted, maailma parimad asutused, teaduskeskused. On äärmiselt oluline, et edastatavad andmed oleksid väga turvalised ja suhtlus oleks usaldusväärne. Seega on oluline veebi turvalisus.

Mis on veebirakenduste turvalisus?

Veebirakenduste turvalisus on infoturbe haru, mis tegeleb veebirakenduste, veebiteenuste ja veebisaitide turvalisusega. See on omamoodi rakenduste turvalisus, mida rakendatakse spetsiaalselt veebi või Interneti tasemel.

Veebiturve on oluline, kuna veebirakendusi rünnatakse halva kodeerimise või rakenduste sisendite ja väljundite ebaõige puhastamise tõttu. Levinumad veebiturbe rünnakud on saidiülene skriptimine (XSS) ja SQL-süstimised.

Lisaks XSS-i, SQL-i süstimistele on muud tüüpi veebiturbe rünnakuteks meelevaldne koodi täitmine, tee avalikustamine, mälu rikkumine, failide kaugloomine, puhvri ületäitumine, kohalike failide kaasamine jne. Veebiturve põhineb täielikult inimestel ja protsessidel. Seetõttu on äärmiselt oluline, et arendajad kasutaksid enne veebisaitide kasutuselevõtmist selliste veebiturbeohtude korral korrektseid kodeerimisstandardeid ja mõistlikkuse kontrolli.

Turvakontrolle tuleb tegelikult rakendada juba väga varases arenguetapis ja neid tuleb kohaldada tarkvara arendamise elutsükli igas etapis. Arendajad peavad olema hästi koolitatud küberturvalisuse ja turvalise kodeerimise tavade jaoks. Rakenduse ühekordne testimine pole kindlasti efektiivne. Igas etapis tuleb rakendada veebiturbe rünnakute pidevat regressiooni.

Veebiturbe standardiseerimine

OWASP (avatud veebirakenduste turvaprojekt) on veebirakenduste turvalisuse standardkogu. See pakub täielikku dokumentatsiooni, tööriistu, tehnikaid ja metoodikaid veebirakenduste turvalisuse valdkonnas. OWASP on üks erapooletut teabeallikat veebirakenduste turvalisuse parimate tavade kohta.

OWASP-i parimad veebiturvariskid

Allpool on toodud OWASP-i peamised veebiturvariskid.

SQL-i süst:

See on teatud tüüpi süstimisrünnak, mis võimaldab pahatahtlikke ja sobimatuid SQL-päringuid täita veebiserveri andmebaase haldavate SQL-päringute korral. Ründajad saavad kasutada SQL-i avaldusi, et rakenduste turvameetmetest mööda minna. Nad saavad veebisaite või veebisaite autentida või autoriseerida ning saada SQL-andmebaaside sisu SQL-lausetest mööda. See rünnak võib juhtuda saitidel, mis kasutavad andmebaasidena SQL, MYSQL, Oracle jne. See on OWASP 2017 dokumentatsiooni järgi kõige levinum ja ohtlikum turvarünnak.

Saidideülene skriptimine (XSS):

See võimaldab ründajatel sisestada kliendipoolset skripti veebirakendustesse ja teiste kasutajate vaadatud veebilehtedele. Saidideülest skriptimise haavatavust saab kasutada selliste eeskirjade nagu näiteks sama päritolupoliitika vältimiseks. 2007. aasta seisuga moodustas XSS 84% kõigist veebi turvarünnakutest.

Sõltuvalt andmete tundlikkusest võib XSS olla väike rünnak või suur oht veebisaitidele.

Ekspluateerijad voldivad pahatahtlikke andmeid kliendi brauserisse edastatava sisu hulka. Kui andmed kliendile edastatakse, näib, et kombineeritud andmed on pärit usaldusväärsest serverist ja sellel on kõik kliendi otsas olevad õigused. Ründaja võib nüüd saada tundliku lehe sisule, küpsiste sessioonile ja mitmesugusele muule teabele juurdepääsu ja privileege.

Katkine autentimine ja seansihaldus:

See rünnak võimaldab veebisaidil või rakenduses autentimist hõivata või sellest mööda minna.

See on rohkem nõrk standard, millele järgneb veebisaitide arendaja ja mis põhjustab selliseid probleeme nagu näiteks

  • Prognoositavad sisselogimismandaadid.
  • Kasutajate sisselogimise mandaatide kaitsmine ladustamise ajal pole õige.
  • Seansi ID-d kuvatakse URL-is.
  • Paroole, seansi ID-sid ei saadeta krüptitud URL-ide kaudu.
  • Seansi väärtused ei möödu teatud aja möödudes.

Selle rünnaku ärahoidmiseks peaks arendaja olema ettevaatlik nõuetekohaste standardite (nt paroolide kaitsmine ja selle nõuetekohane räsimine) säilitamisel, jättes samal ajal kehtima seansi ID-d, seansi aegumise kindla aja möödumisel, seansi ID-de taasloomise pärast edukat sisselogimist katse.

Katkise autentimise parandamine

  • Parooli pikkus peaks olema vähemalt 8 tähemärki.
  • Parool peaks olema keeruline, et kasutaja ei saaks seda ennustada. Selleks tuleks kasutada õigeid paroolikomplekti reegleid, näiteks tähtnumbrilisi, erisümbolite ja numbrite suurtähtede ja väiketähtede kombinatsioone.
  • Autentimisvead ei tohiks kunagi näidata, milline autentimisandmete osa on vale. Veavastused peaksid olema teatud määral üldised. Nt. Vale kasutajanime või parooli kuvamise asemel kehtetud mandaadid.

Turbe väärad konfiguratsioonid:

See on üks halbadest tavadest, mis muudab veebisaidid rünnakute suhtes haavatavaks. Näiteks. Rakendusserveri konfiguratsioonid, mis tagastavad kasutajatele kogu virna jälje, andes ründajatele teada, kus viga on, ja ründavad vastavalt saite. Selliste juhtumite vältimiseks on oluline rakendada tugev rakendusearhitektuur ja perioodiliselt läbi viia turbekontrolle.

Järeldus

On väga oluline, et iga veebisait järgiks nõuetekohaseid standardeid, hoolitseks korrektsete kodeerimistehnikate üle, millel oleks kindel rakendusearhitektuur, käivitaks skaneerimise perioodiliselt tõrgeteta ja üritaks veebiturbe rünnakuid laiemalt vältida.

Soovitatavad artiklid

See on olnud veebirakenduste turvalisuse juhend. Siin oleme arutanud veebiturbe sissejuhatust, standardimist ja peamisi riske. Lisateabe saamiseks võite vaadata ka järgmisi artikleid -

  1. Küberturvalisuse intervjuu küsimused
  2. Veebiarenduse intervjuu küsimused
  3. Karjäär veebiarenduses
  4. Mis on Elasticsearch?
  5. Mis on saitideülene skriptimine?

Kategooria:

Tarkvaraarendus