EITC/IS/WASF Web Applications Security Fundamentals és el programa europeu de certificació informàtica sobre aspectes teòrics i pràctics de la seguretat dels serveis de World Wide Web que van des de la seguretat dels protocols web bàsics, passant per la privadesa, les amenaces i els atacs a diferents capes de comunicació de xarxa de trànsit web, web. seguretat dels servidors, seguretat en capes superiors, inclosos navegadors web i aplicacions web, així com autenticació, certificats i phising.
El pla d'estudis dels Fonaments de seguretat d'aplicacions web EITC/IS/WASF inclou la introducció als aspectes de seguretat web HTML i JavaScript, DNS, HTTP, galetes, sessions, atacs de galetes i sessions, política del mateix origen, falsificació de sol·licituds entre llocs, excepcions al mateix Política d'origen, Cross-Site Scripting (XSS), Cross-Site Scripting defenses, empremtes digitals web, privadesa al web, DoS, phishing i canals laterals, denegació de servei, phishing i canals secundaris, atacs per injecció, injecció de codi, transport seguretat de capa (TLS) i atacs, HTTPS al món real, autenticació, WebAuthn, gestió de la seguretat web, problemes de seguretat al projecte Node.js, seguretat del servidor, pràctiques de codificació segura, seguretat del servidor HTTP local, atacs de reenllaç DNS, atacs al navegador, navegador arquitectura, així com escriure codi de navegador segur, dins de l'estructura següent, que inclou un contingut didàctic de vídeo complet com a referència per a aquesta Certificació EITC.
La seguretat d'aplicacions web és un subconjunt de seguretat de la informació que se centra en la seguretat de llocs web, aplicacions web i serveis web. La seguretat de les aplicacions web, en el seu nivell més bàsic, es basa en els principis de seguretat de les aplicacions, però els aplica especialment a Internet i plataformes web. Les tecnologies de seguretat d'aplicacions web, com ara els tallafocs d'aplicacions web, són eines especialitzades per treballar amb trànsit HTTP.
L'Open Web Application Security Project (OWASP) ofereix recursos gratuïts i oberts. Se n'encarrega una Fundació OWASP sense ànim de lucre. El Top 2017 de l'OWASP del 10 és el resultat de l'estudi actual basat en dades extenses recopilades de més de 40 organitzacions associades. Es van detectar aproximadament 2.3 milions de vulnerabilitats en més de 50,000 aplicacions utilitzant aquestes dades. Els deu principals problemes de seguretat de les aplicacions en línia més importants, segons el Top 10 de l'OWASP - 2017, són:
- Injecció
- Problemes d'autenticació
- Entitats externes XML de dades sensibles exposades (XXE)
- Control d'accés que no funciona
- Configuració incorrecta de la seguretat
- Scripts de lloc a lloc (XSS)
- Deserialització que no és segura
- Ús de components que tinguin defectes coneguts
- El registre i el seguiment són insuficients.
Per tant, la pràctica de defensar llocs web i serveis en línia contra diverses amenaces de seguretat que exploten les debilitats del codi d'una aplicació es coneix com a seguretat d'aplicacions web. Els sistemes de gestió de continguts (p. ex., WordPress), les eines d'administració de bases de dades (p. ex., phpMyAdmin) i les aplicacions SaaS són objectius habituals per als assalts d'aplicacions en línia.
Les aplicacions web es consideren objectius d'alta prioritat pels autors perquè:
- A causa de la complexitat del seu codi font, és més probable que hi hagi vulnerabilitats desateses i modificacions de codi maliciós.
- Recompenses d'alt valor, com ara informació personal sensible obtinguda mitjançant una manipulació efectiva del codi font.
- Fàcil d'executar, perquè la majoria d'assalts es poden automatitzar i desplegar de manera indiscriminada contra milers, desenes o fins i tot centenars de milers d'objectius alhora.
- Les organitzacions que no protegeixen les seves aplicacions web són vulnerables als atacs. Això pot provocar robatori de dades, relacions tenses amb els clients, llicències cancel·lades i accions legals, entre altres coses.
Vulnerabilitats en llocs web
Els errors de desinfecció d'entrada/sortida són habituals a les aplicacions web i sovint s'aprofiten per canviar el codi font o obtenir accés no autoritzat.
Aquests defectes permeten l'explotació de diversos vectors d'atac, com ara:
- Injecció SQL: quan un autor manipula una base de dades de fons amb codi SQL maliciós, es revela informació. La navegació il·legal per llista, l'eliminació de taules i l'accés no autoritzat d'administrador es troben entre les conseqüències.
- XSS (Cross-site Scripting) és un atac d'injecció que s'adreça als usuaris per accedir als comptes, activar troians o canviar el contingut de la pàgina. Quan s'injecta codi maliciós directament a una aplicació, això es coneix com a XSS emmagatzemat. Quan un script maliciós es reflecteix des d'una aplicació al navegador d'un usuari, això es coneix com a XSS reflectit.
- Inclusió de fitxers a distància: aquesta forma d'atac permet a un pirata informàtic injectar un fitxer en un servidor d'aplicacions web des d'una ubicació remota. Això pot provocar que s'executin codis o scripts perillosos a l'aplicació, així com robatori o modificació de dades.
- Falsificació de sol·licituds entre llocs (CSRF): un tipus d'atac que pot provocar una transferència no desitjada d'efectiu, canvis de contrasenya o robatori de dades. Es produeix quan un programa web maliciós indica al navegador d'un usuari que realitzi una acció no desitjada en un lloc web al qual està iniciat la sessió.
En teoria, la desinfecció efectiva d'entrada/sortida podria eradicar totes les vulnerabilitats, fent que una aplicació sigui impermeable a modificacions no autoritzades.
Tanmateix, com que la majoria dels programes es troben en un estat de desenvolupament perpetu, la desinfecció integral rarament és una opció viable. A més, les aplicacions s'integren habitualment entre si, donant lloc a un entorn codificat que és cada cop més complex.
Per evitar aquests perills, s'han d'implementar solucions i processos de seguretat d'aplicacions web, com ara la certificació PCI Data Security Standard (PCI DSS).
Tallafoc per a aplicacions web (WAF)
Els WAF (tallafocs d'aplicacions web) són solucions de maquinari i programari que protegeixen les aplicacions de les amenaces de seguretat. Aquestes solucions estan dissenyades per inspeccionar el trànsit entrant per detectar i bloquejar els intents d'atac, compensant qualsevol fallada de desinfecció del codi.
El desplegament de WAF aborda un criteri crucial per a la certificació PCI DSS protegint les dades contra robatoris i modificacions. Totes les dades del titular de la targeta de crèdit i dèbit que es mantenen en una base de dades s'han de protegir, d'acord amb el Requisit 6.6.
Com que es posa per davant de la seva DMZ a la vora de la xarxa, l'establiment d'un WAF normalment no requereix cap canvi a una aplicació. A continuació, serveix com a porta d'entrada per a tot el trànsit entrant, filtrant les sol·licituds perilloses abans que puguin interactuar amb una aplicació.
Per avaluar quin trànsit té accés a una aplicació i quin s'ha d'eliminar, els WAF utilitzen una varietat d'heurístiques. Poden identificar ràpidament actors maliciosos i vectors d'atac coneguts gràcies a un grup de signatures actualitzat periòdicament.
Gairebé tots els WAF es poden adaptar a casos d'ús individuals i regulacions de seguretat, així com a combatre les amenaces emergents (també conegudes com a dia zero). Finalment, per obtenir informació addicional sobre els visitants entrants, la majoria de les solucions modernes utilitzen dades de reputació i comportament.
Per tal de construir un perímetre de seguretat, els WAF solen combinar-se amb solucions de seguretat addicionals. Aquests podrien incloure serveis de prevenció de denegació de servei distribuïts (DDoS), que proporcionen l'escalabilitat addicional necessària per prevenir atacs de gran volum.
Llista de verificació per a la seguretat de les aplicacions web
Hi ha diversos enfocaments per protegir les aplicacions web a més dels WAF. Qualsevol llista de verificació de seguretat d'aplicacions web ha d'incloure els procediments següents:
- Recollida de dades: reviseu l'aplicació a mà, cercant punts d'entrada i codis del costat del client. Classifica el contingut allotjat per un tercer.
- Autorització: cerqueu travesses de camins, problemes de control d'accés verticals i horitzontals, autorització que falten i referències d'objectes directes i insegures en provar l'aplicació.
- Assegureu totes les transmissions de dades amb criptografia. S'ha xifrat alguna informació sensible? Heu utilitzat algun algoritme que no estigui a l'alçada? Hi ha errors d'atzar?
- Denegació de servei: prova d'antiautomatització, bloqueig de comptes, DoS del protocol HTTP i DoS de comodí SQL per millorar la resistència d'una aplicació davant els atacs de denegació de servei. Això no inclou la seguretat contra atacs DoS i DDoS de gran volum, que requereixen una combinació de tecnologies de filtratge i recursos escalables per resistir-se.
Per obtenir més detalls, podeu consultar el full de trames de proves de seguretat d'aplicacions web OWASP (també és un gran recurs per a altres temes relacionats amb la seguretat).
Protecció DDoS
Els atacs DDoS, o els atacs distribuïts de denegació de servei, són una forma típica d'interrompre una aplicació web. Hi ha diversos enfocaments per mitigar els assalts DDoS, com ara descartar el trànsit d'atac volumètric a les xarxes de lliurament de contingut (CDN) i emprar xarxes externes per encaminar adequadament les sol·licituds genuïnes sense causar una interrupció del servei.
Protecció DNSSEC (Extensions de seguretat del sistema de noms de domini).
El sistema de noms de domini, o DNS, és l'agenda telefònica d'Internet i reflecteix com una eina d'Internet, com ara un navegador web, troba el servidor rellevant. Els mals actors utilitzaran l'enverinament de la memòria cau de DNS, els atacs al camí i altres mitjans per interferir amb el cicle de vida de la cerca de DNS per segrestar aquest procés de sol·licitud de DNS. Si el DNS és l'agenda telefònica d'Internet, DNSSEC és un identificador de trucada que no es pot sufocar. Una sol·licitud de cerca DNS es pot protegir mitjançant la tecnologia DNSSEC.
Per familiaritzar-vos en detall amb el pla d'estudis de certificació podeu ampliar i analitzar la taula següent.
El currículum de certificació de fonaments de seguretat d'aplicacions web EITC/IS/WASF fa referència a materials didàctics d'accés obert en forma de vídeo. El procés d'aprenentatge es divideix en una estructura pas a pas (programes -> lliçons -> temes) que cobreix les parts rellevants del currículum. També s'ofereix assessorament il·limitat amb experts del domini.
Per obtenir més informació sobre el procediment de certificació, consulteu Com funciona?.
Baixeu els materials preparatoris d'autoaprenentatge fora de línia complets per al programa EITC/IS/WASF Web Applications Security Fundamentals en un fitxer PDF
Materials preparatoris EITC/IS/WASF - versió estàndard
Materials preparatoris EITC/IS/WASF: versió ampliada amb preguntes de revisió