EITC/IS/WAPT Web Applications Penetration Testing és el programa europeu de certificació informàtica sobre aspectes teòrics i pràctics de les proves de penetració d'aplicacions web (white hacking), incloses diverses tècniques per a aranya de llocs web, tècniques d'escaneig i atac, incloses eines i suites de proves de penetració especialitzades. .
El pla d'estudis de les proves de penetració d'aplicacions web EITC/IS/WAPT cobreix la introducció a Burp Suite, web spridering i DVWA, proves de força bruta amb Burp Suite, detecció de tallafocs d'aplicacions web (WAF) amb WAFW00F, abast de destinació i spidering, descobriment de fitxers ocults amb ZAP, exploració de vulnerabilitats de WordPress i enumeració de noms d'usuari, exploració de l'equilibrador de càrrega, scripts entre llocs, XSS: reflectit, emmagatzemat i DOM, atacs de proxy, configuració del servidor intermediari a ZAP, atacs de fitxers i directoris, descobriment de fitxers i directoris amb DirBuster, pràctica d'atacs web , OWASP Juice Shop, CSRF - Cross Site Request Forgery, recollida de galetes i enginyeria inversa, Atributs HTTP - robatori de galetes, injecció SQL, DotDotPwn - fuzzing de recorregut de directoris, injecció iframe i injecció HTML, explotació Heartbleed - descobriment i explotació, injecció de codi PHP, bWAPP: injecció HTML, POST reflectit, injecció d'ordres del sistema operatiu amb Commix, injecció SSI del costat del servidor, pentesting a Docker, OverTheWire Natas, LFI i injecció de comandaments, pirateria de Google per a pentesting, Google Dorks per a proves de penetració, Apache2 ModSecurity, així com Nginx ModSecurity, dins de l'estructura següent, que inclou contingut didàctic de vídeo complet com a referència per a aquesta Certificació EITC.
La seguretat de les aplicacions web (sovint coneguda com a Web AppSec) és el concepte de dissenyar llocs web perquè funcionin amb normalitat fins i tot quan són atacats. La idea és integrar un conjunt de mesures de seguretat en una aplicació web per protegir els seus actius d'agents hostils. Les aplicacions web, com tot el programari, són propenses a errors. Alguns d'aquests defectes són vulnerabilitats reals que es poden explotar, cosa que suposa un risc per a les empreses. Aquests defectes es protegeixen mitjançant la seguretat de les aplicacions web. Implica l'ús d'enfocaments de desenvolupament segurs i la implantació de controls de seguretat al llarg del cicle de vida del desenvolupament de programari (SDLC), assegurant que s'aborden els errors de disseny i els problemes d'implementació. Les proves de penetració en línia, que són realitzades per experts que tenen com a objectiu descobrir i explotar les vulnerabilitats de les aplicacions web mitjançant l'anomenat enfocament de pirateria blanca, és una pràctica essencial per permetre una defensa adequada.
Una prova de penetració web, també coneguda com a prova de llapis web, simula un assalt cibernètic a una aplicació web per trobar defectes explotables. Les proves de penetració s'utilitzen sovint per complementar un tallafoc d'aplicacions web en el context de la seguretat d'aplicacions web (WAF). Les proves de ploma, en general, implica intentar penetrar qualsevol nombre de sistemes d'aplicacions (per exemple, API, servidors frontend/backend) per trobar vulnerabilitats, com ara entrades no desinfectades que són vulnerables als atacs d'injecció de codi.
Els resultats de la prova de penetració en línia es poden utilitzar per configurar polítiques de seguretat WAF i abordar les vulnerabilitats descobertes.
La prova de penetració té cinc passos.
El procediment de prova del bolígraf es divideix en cinc passos.
- Planificació i exploració
Definir l'abast i els objectius d'una prova, inclosos els sistemes que s'han d'abordar i les metodologies de prova que s'han d'utilitzar, és la primera etapa.
Per entendre millor com funciona un objectiu i les seves possibles debilitats, recolliu informació (per exemple, noms de xarxa i de domini, servidor de correu). - Escaneig
La següent etapa és esbrinar com reaccionarà l'aplicació objectiu davant diferents tipus d'intents d'intrusió. Normalment, això s'aconsegueix utilitzant els mètodes següents:
Anàlisi estàtica: examina el codi d'una aplicació per predir com es comportarà quan s'executi. En una sola passada, aquestes eines poden escanejar tot el codi.
L'anàlisi dinàmica és el procés d'inspecció del codi d'una aplicació mentre està en funcionament. Aquest mètode d'escaneig és més pràctic perquè ofereix una visió en temps real del rendiment d'una aplicació. - Obtenció d'accés
Per trobar les debilitats d'un objectiu, aquest pas utilitza atacs d'aplicacions web com ara scripts entre llocs, injecció SQL i portes posteriors. Per entendre el dany que poden causar aquestes vulnerabilitats, els provadors intenten explotar-les augmentant els privilegis, robant dades, interceptant trànsit, etc. - Mantenint l'accés
L'objectiu d'aquesta etapa és avaluar si la vulnerabilitat es pot explotar per establir una presència a llarg termini en el sistema compromès, permetent que un mal actor tingui accés en profunditat. L'objectiu és imitar les amenaces persistents avançades, que poden romandre en un sistema durant mesos per tal de robar la informació més sensible d'una empresa. - Anàlisi
Els resultats de les proves de penetració s'incorporen a un informe que inclou informació com ara:
Vulnerabilitats que es van explotar al detall
Les dades que es van obtenir eren sensibles
La quantitat de temps que el provador de bolígrafs va poder passar desapercebut al sistema.
Els experts en seguretat utilitzen aquestes dades per ajudar a configurar la configuració de WAF d'una empresa i altres solucions de seguretat d'aplicacions per tal de corregir les vulnerabilitats i prevenir més atacs.
Mètodes de prova de penetració
- Les proves de penetració externes se centren en els actius d'una empresa que són visibles a Internet, com ara la pròpia aplicació web, el lloc web de l'empresa, així com els servidors de correu electrònic i de noms de domini (DNS). L'objectiu és obtenir accés i extreure informació útil.
- Les proves internes impliquen que un verificador tingui accés a una aplicació darrere del tallafoc d'una empresa que simula un atac intern hostil. Això no és necessari una simulació d'empleats canalla. Un empleat les credencials del qual es van obtenir com a resultat d'un intent de pesca és un punt de partida comú.
- Les proves a cegues són quan a un verificador simplement se li proporciona el nom de l'empresa que s'està provant. Això permet als experts en seguretat veure com es pot produir un assalt d'aplicació real en temps real.
- Proves de doble cec: en una prova de doble cec, els professionals de la seguretat desconeixen prèviament l'atac simulat. No tindran temps d'apuntar les seves fortificacions abans d'un intent de violació, igual que al món real.
- Proves dirigides: en aquest escenari, el provador i el personal de seguretat col·laboren i fan un seguiment dels moviments dels altres. Aquest és un excel·lent exercici d'entrenament que ofereix a l'equip de seguretat comentaris en temps real des de la perspectiva d'un pirata informàtic.
Tallafocs d'aplicacions web i proves de penetració
Les proves de penetració i els WAF són dues tècniques de seguretat separades però complementàries. És probable que el provador aprofiti les dades WAF, com ara els registres, per trobar i explotar les àrees febles d'una aplicació en molts tipus de proves de ploma (a excepció de les proves cegues i dobles cegues).
Al seu torn, les dades de proves de ploma poden ajudar els administradors de WAF. Després de completar una prova, les configuracions WAF es poden modificar per protegir-se dels errors detectats durant la prova.
Finalment, les proves de ploma compleixen alguns dels requisits de compliment dels mètodes d'auditoria de seguretat, com ara PCI DSS i SOC 2. Alguns requisits, com ara PCI-DSS 6.6, només es poden complir si s'utilitza un WAF certificat. Tanmateix, a causa dels avantatges esmentats anteriorment i la possibilitat de modificar la configuració de WAF, això no fa que les proves de ploma siguin menys útils.
Quina és la importància de les proves de seguretat web?
L'objectiu de les proves de seguretat web és identificar defectes de seguretat a les aplicacions web i la seva configuració. La capa d'aplicació és l'objectiu principal (és a dir, el que s'està executant al protocol HTTP). L'enviament de diferents formes d'entrada a una aplicació web per induir problemes i fer que el sistema respongui de manera inesperada és un enfocament habitual per provar la seva seguretat. Aquestes "proves negatives" busquen si el sistema està fent alguna cosa que no havia d'aconseguir.
També és vital adonar-se que les proves de seguretat web impliquen més que verificar les funcions de seguretat de l'aplicació (com ara l'autenticació i l'autorització). També és crucial assegurar-se que altres funcions es despleguen de manera segura (per exemple, la lògica empresarial i l'ús d'una validació d'entrada i una codificació de sortida correctes). L'objectiu és assegurar-se que les funcions de l'aplicació web són segures.
Quins són els diferents tipus d'avaluacions de seguretat?
- Prova de seguretat dinàmica d'aplicacions (DAST). Aquesta prova de seguretat d'aplicacions automatitzada és la més adequada per a aplicacions de baix risc i orientades a l'interior que han de complir els requisits de seguretat reglamentaris. Combinar DAST amb algunes proves manuals de seguretat en línia per detectar vulnerabilitats comunes és la millor estratègia per a aplicacions de risc mitjà i aplicacions crucials que pateixen canvis menors.
- Comprovació de seguretat per a aplicacions estàtiques (SAST). Aquesta estratègia de seguretat de l'aplicació inclou mètodes de prova automàtics i manuals. És ideal per detectar errors sense haver d'executar aplicacions en un entorn en directe. També permet als enginyers escanejar el codi font per detectar i corregir defectes de seguretat del programari de manera sistemàtica.
- Examen de penetració. Aquesta prova manual de seguretat d'aplicacions és ideal per a aplicacions essencials, especialment aquelles que estan experimentant canvis significatius. Per trobar escenaris d'atac avançats, l'avaluació utilitza la lògica empresarial i les proves basades en adversaris.
- Autoprotecció de l'aplicació en temps d'execució (RASP). Aquest mètode de seguretat d'aplicacions en creixement incorpora una varietat de tècniques tecnològiques per instrumentar una aplicació de manera que les amenaces es puguin observar i, amb sort, prevenir-les en temps real a mesura que es produeixen.
Quin paper tenen les proves de seguretat de les aplicacions per reduir el risc de l'empresa?
La gran majoria dels atacs a aplicacions web inclouen:
- Injecció SQL
- XSS (Cross Site Scripting)
- Execució de comandaments remots
- Atac de travessia del camí
- Accés al contingut restringit
- Comptes d'usuari compromesos
- Instal·lació de codi maliciós
- Ingressos per vendes perduts
- Confiança dels clients erosionada
- Perjudicar la reputació de la marca
- I molts altres atacs
En l'entorn d'Internet actual, una aplicació web es pot veure perjudicada per diversos reptes. El gràfic anterior mostra alguns dels atacs més comuns perpetrats pels atacants, cadascun dels quals pot causar danys importants a una aplicació individual o a una empresa sencera. Conèixer els nombrosos agressions que fan vulnerable una aplicació, així com els possibles resultats d'un atac, permet a l'empresa resoldre les vulnerabilitats amb antelació i provar-les de manera eficaç.
Es poden establir controls mitigants durant les primeres fases de l'SDLC per evitar qualsevol problema mitjançant la identificació de la causa arrel de la vulnerabilitat. Durant una prova de seguretat d'aplicacions web, el coneixement de com funcionen aquestes amenaces també es pot utilitzar per orientar llocs d'interès coneguts.
Reconèixer l'impacte d'un atac també és important per gestionar el risc de l'empresa, ja que els impactes d'un atac amb èxit es poden utilitzar per determinar la gravetat de la vulnerabilitat en general. Si es descobreixen vulnerabilitats durant una prova de seguretat, determinar-ne la gravetat permet a l'empresa prioritzar els esforços correctius de manera més eficaç. Per reduir el risc per a l'empresa, comenceu amb problemes de gravetat crítics i treballeu per reduir-ne els d'impacte.
Abans d'identificar un problema, avaluar el possible impacte de cada programa a la biblioteca d'aplicacions de l'empresa us ajudarà a prioritzar les proves de seguretat de les aplicacions. Les proves de seguretat de Wenb es poden programar per orientar primer les aplicacions crítiques de l'empresa, amb proves més específiques per reduir el risc contra el negoci. Amb una llista establerta d'aplicacions d'alt perfil, les proves de seguretat de wenb es poden programar per orientar primer les aplicacions crítiques de l'empresa, amb proves més específiques per reduir el risc contra el negoci.
Durant una prova de seguretat d'aplicacions web, quines característiques s'han d'examinar?
Durant les proves de seguretat de l'aplicació web, tingueu en compte la següent llista no exhaustiva de funcions. Una implementació ineficaç de cadascun podria provocar debilitats, posant en perill l'empresa.
- Configuració de l'aplicació i del servidor. Les configuracions de xifratge/criptografia, les configuracions del servidor web, etc. són exemples de possibles defectes.
- Validació de la gestió d'entrades i errors Un mal processament d'entrada i sortida condueix a la injecció SQL, scripting entre llocs (XSS) i altres problemes típics d'injecció.
- Autenticació i manteniment de sessions. Vulnerabilitats que poden provocar la suplantació d'identitat dels usuaris. També s'ha de tenir en compte la força i la protecció de les credencials.
- Autorització. S'està provant la capacitat de l'aplicació per protegir contra escalades de privilegis verticals i horitzontals.
- La lògica en els negocis. La majoria dels programes que proporcionen funcionalitats empresarials es basen en aquests.
- Lògica al final del client. Aquest tipus de funció és cada cop més comú a les pàgines web modernes, pesades en JavaScript, així com a pàgines web que utilitzen altres tipus de tecnologies del costat del client (p. ex., Silverlight, Flash, applets Java).
Per familiaritzar-vos en detall amb el pla d'estudis de certificació podeu ampliar i analitzar la taula següent.
El currículum de certificació de proves de penetració d'aplicacions web EITC/IS/WAPT fa referència a materials didàctics d'accés obert en forma de vídeo. El procés d'aprenentatge es divideix en una estructura pas a pas (programes -> lliçons -> temes) que cobreix les parts rellevants del currículum. També s'ofereix assessorament il·limitat amb experts del domini.
Per obtenir més informació sobre el procediment de certificació, consulteu Com funciona?.
Baixeu els materials preparatoris d'autoaprenentatge fora de línia complets per al programa de proves de penetració d'aplicacions web EITC/IS/WAPT en un fitxer PDF
Materials preparatoris EITC/IS/WAPT – versió estàndard
Materials preparatoris EITC/IS/WAPT: versió ampliada amb preguntes de revisió