Часть серии по |
Информационная безопасность |
---|
Связанные категории безопасности |
Угрозы |
|
Защиты |
|
Безопасность веб-приложений - это отрасль информационной безопасности, которая конкретно связана с безопасностью веб-сайтов , веб-приложений и веб-сервисов . На высоком уровне безопасность веб-приложений основывается на принципах безопасности приложений, но применяет их конкретно к Интернету и веб- системам. [1]
Угрозы безопасности [ править ]
Большинство атак на веб-приложения происходят через межсайтовые сценарии (XSS) и атаки SQL-инъекций [2], которые обычно становятся возможными из-за некорректного кодирования и неспособности дезинфицировать входные и выходные данные приложения. Эти атаки входят в список 25 самых опасных ошибок программирования CWE / SANS за 2009 год . [3]
По данным поставщика средств безопасности Cenzic, к основным уязвимостям в марте 2012 г. относятся: [4]
37% | Межсайтовый скриптинг |
16% | SQL-инъекция |
5% | Раскрытие пути |
5% | Атака отказа в обслуживании |
4% | Выполнение произвольного кода |
4% | Повреждение памяти |
4% | Подделка межсайтовых запросов |
3% | Нарушение данных (раскрытие информации) |
3% | Включение произвольного файла |
2% | Включение локального файла |
1% | Удаленное включение файлов |
1% | Переполнение буфера |
15% | Другое, включая внедрение кода (PHP / JavaScript) и т. Д. |
Open Web Application Security Project ( OWASP ) предоставляет бесплатные и открытые ресурсы. Его возглавляет некоммерческая организация The OWASP Foundation. Рейтинг OWASP Top 10 - 2017 - это опубликованный результат недавнего исследования, основанного на исчерпывающих данных, собранных более чем 40 партнерскими организациями. На основе этих данных примерно 2,3 миллиона уязвимостей было обнаружено в более чем 50 000 приложений. [5] Согласно рейтингу OWASP Top 10 - 2017, десять наиболее серьезных угроз безопасности веб-приложений включают: [6]
- Инъекция
- Сломанная аутентификация
- Раскрытие конфиденциальных данных
- Внешние сущности XML (XXE)
- Сломанный контроль доступа
- Неправильная конфигурация безопасности
- Межсайтовый скриптинг (XSS)
- Небезопасная десериализация
- Использование компонентов с известными уязвимостями
- Недостаточное ведение журнала и мониторинг
Рекомендации по передовой практике [ править ]
Безопасная разработка веб-приложений должна быть улучшена за счет применения контрольных точек и методов безопасности на ранних этапах разработки, а также на протяжении всего жизненного цикла разработки программного обеспечения . Особый упор следует сделать на этапе разработки кода. Механизмы безопасности, которые следует использовать, включают , среди прочего , моделирование угроз, анализ рисков , статический анализ , цифровую подпись . [7]
Стандарты безопасности [ править ]
OWASP - это развивающийся орган по стандартизации безопасности веб-приложений. В частности, они опубликовали OWASP Top 10, [8], в котором подробно описаны основные угрозы для веб-приложений. Консорциум безопасности веб-приложений (WASC) создал базу данных инцидентов веб-взлома (WHID), а также подготовил документы с открытым исходным кодом о передовых методах безопасности веб-приложений. WHID стал проектом OWASP в феврале 2014 года. [9]
Технология безопасности [ править ]
Хотя безопасность в основном основана на людях и процессах, существует ряд технических решений, которые следует учитывать при проектировании, создании и тестировании безопасных веб-приложений. На высоком уровне эти решения включают:
- Инструменты тестирования черного ящика, такие как сканеры безопасности веб-приложений , [10] сканеры уязвимостей и программное обеспечение для тестирования на проникновение [11]
- Инструменты тестирования белого ящика, такие как статические анализаторы исходного кода [12]
- Фаззинг , [13] инструменты, используемые для входного тестирования
- Сканер безопасности веб-приложений (сканер уязвимостей)
- Межсетевые экраны веб-приложений (WAF) [14], используемые для обеспечения защиты типа межсетевого экрана на уровне веб-приложений.
- Инструменты для взлома паролей для проверки надежности и реализации пароля
См. Также [ править ]
- Архитектура службы приложений (ASA)
- Электронная аутентификация
- w3af , бесплатный сканер безопасности веб-приложений с открытым исходным кодом
- Сканер безопасности веб-приложений
- Самозащита рабочего приложения
Ссылки [ править ]
- ^ «Обзор безопасности веб-приложений» . 2015-10-23.
- ^ «Тестирование и сравнение инструментов сканирования веб-уязвимостей для SQL-инъекций и XSS-атак» . Fonseca, J .; Vieira, M .; Мадейра, Х., Надежные вычисления, IEEE. Декабрь 2007 г. doi : 10.1109 / PRDC.2007.55 .
- ^ «CWE / SANS 25 самых опасных ошибок программирования» . CWE / SANS. Май 2009 г.
- ^ «Отчет о тенденциях 2012 г .: риски безопасности приложений» . Cenzic, Inc. 11 марта 2012 . Проверено 9 июля 2012 года .
- ^ Korolov, Мария (27 апреля 2017). «Последняя десятка лучших OWASP рассматривает API, веб-приложения: новый список 10 лучших OWASP отсутствует, и хотя большая часть его остается прежней, есть новые дополнения, ориентированные на веб-приложения и API». ОГО . ProQuest 1892694046 .
- ^ «OWASP Top 10 - 2017: Десять наиболее критических рисков безопасности веб-приложений» (PDF) . Откройте проект безопасности веб-приложений . 2017 . Проверено 30 июня 2018 года .
- ^ Шуайбу, Бала Муса; Norwawi, Norita Md; Селамат, Мохд Хасан; Аль-Альвани, Абдулкарим (17 января 2013 г.). «Систематический обзор модели разработки безопасности веб-приложений». Обзор искусственного интеллекта . 43 (2): 259–276. DOI : 10.1007 / s10462-012-9375-6 . ISSN 0269-2821 . S2CID 15221613 .
- ^ OWASP Top 10
- ^ «Проект WHID теперь является совместным проектом WASC / OWASP» . WASC. 18 февраля 2014 г.
- ^ «Сканеры уязвимостей веб-приложений» . NIST.
- ^ «Лучшие компании по тестированию на проникновение» . 2019-11-06.
- ^ «Анализаторы безопасности исходного кода» . NIST.
- ^ "Нечеткое" . OWASP.
- ^ «Межсетевые экраны веб-приложений для обеспечения безопасности и соответствия нормативным требованиям» . Блог TestingXperts. Март 2017 г.