Introduktion till webbapplikationssäkerhet
Vi lever nu i webbens värld. Varje dag finns det en zillion av transaktioner som går på webben inom varje enskilt område som banker, skolor, företag, toppinstitutioner i världen, forskningscentra. Det är oerhört viktigt att de data som transporteras är mycket säkra och kommunikationen är tillförlitlig. Därför kommer vikten av att säkra nätet.
Vad är webbapplikationssäkerhet?
Webapplikationssäkerhet är en gren av informationssäkerhet som hanterar säkerheten för webbapplikationer, webbtjänster och webbplatser. Det är en typ av applikationssäkerhet som tillämpas specifikt på webb- eller internetnivå.
Webbsäkerhet är viktigt eftersom webbapplikationer blir attackerade på grund av dålig kodning eller felaktig sanering av applikationsingångar och -utgångar. Vanliga webbsäkerhetsattacker är cross-site scripting (XSS) och SQL-injektioner.
Förutom XSS, SQL Injections, är de andra typerna av webbsäkerhetsattacker godtycklig kodkörning, sökväg, minneskorruption, inkludering av fjärrfil, buffertöverskridning, lokal filinföring etc. Webbsäkerhet är helt baserat på människor och processer. Därför är det oerhört viktigt att utvecklarna använder lämpliga kodningsstandarder och sanitetskontroll för sådana hot på webbsäkerheten innan webbplatser görs live.
Säkerhetskontroller måste faktiskt tillämpas i ett mycket tidigt utvecklingsstadium och fortsätta att gälla i varje steg i programvaruutvecklingens livscykel. Utvecklare måste vara väl utbildade i cybersäkerhet och säkra kodningspraxis. En gångstestning av applikationen är definitivt inte effektiv. Kontinuerlig regression för webbsäkerhetsattacker måste implementeras i varje steg.
Standardisering av webbsäkerhet
OWASP (Open Web Application Security Project) är standardorgan för webbapplikationssäkerhet. Den tillhandahåller fullständig dokumentation, verktyg, tekniker och metoder inom området för webbappsäkerhet. OWASP är en av de opartiska informationskällorna om bästa praxis för säkerhet på webbappar.
OWASP Toppsäkerhetsrisker
Nedan visas de bästa webbsäkerhetsriskerna som rapporteras på OWASP.
SQL-injektion:
Detta är en typ av injektionsattack som gör det möjligt att utföra skadliga och felaktiga SQL-frågor som kan kontrollera webbserverns databaser. Angripare kan använda SQL-uttalanden för att kringgå applikationssäkerhetsåtgärder. De kan autentisera eller godkänna webbsidor eller webbplatser och få innehållet i SQL-databaser genom att kringgå SQL-uttalanden. Denna attack kan inträffa på webbplatser som använder SQL, MYSQL, Oracle, etc. som databaser. Detta är den vanligaste och farligaste säkerhetsattack enligt OWASP 2017-dokumentation.
Cross Site Scripting (XSS):
Detta gör det möjligt för angripare att injicera skript från klientsidan i webbapplikationer och webbsidor som visas av andra användare. En sårbarhet på skript över flera webbplatser kan användas för att kringgå policyer som samma ursprungspolicy. Per 2007 stod XSS för 84% av alla säkerhetsattacker på webben.
Beroende på datakänslighet kan XSS vara en mindre attack eller ett stort hot mot webbplatserna.
Exploaterare viker skadlig information till innehållet som levereras till klientens webbläsare. När data levereras hos klienten ser det ut som att den kombinerade informationen kommer från själva den betrodda servern och har alla behörighetsuppsättningar vid klientens slut. Attackeren kan nu få förhöjd åtkomst och privilegier till det känsliga sidinnehållet, till sessionskakor och en mängd annan information.
Trasig autentisering och sessionhantering:
Den här attacken gör det möjligt att antingen fånga eller kringgå autentiseringen på webbsidan eller applikationen.
Detta är mer en svag standard följt av webbplatsutvecklare som orsakar problem som till exempel,
- Förutsägbara inloggningsuppgifter.
- Skyddar inte användarinloggningsuppgifter korrekt när de lagras.
- Sessions-ID: n som exponeras i URL: n.
- Lösenord, session-ID: er skickas inte över krypterade webbadresser.
- Sessionsvärden som inte avslutas efter en viss tidsperiod.
För att förhindra dessa attacker bör utvecklaren vara försiktig med att upprätthålla de korrekta standarderna som att skydda lösenord och korrekt hashning av det medan det passeras, inte avslöja session-ID: er, avbryta sessionen efter en viss tid, återskapa session-ID efter en framgångsrik inloggning försök.
För att fixa bruten autentisering
- Lösenordslängd ska bibehållas till minst 8 tecken.
- Lösenordet bör vara komplicerat för att användaren inte kan förutsäga det. Detta bör använda lämpliga lösenordsuppsättningsregler som alfanumeriska, specialtecken och antalet stora och små bokstäver.
- Autentiseringsfel ska aldrig ange vilken del av autentiseringsdata som är felaktiga. Felsvar bör till viss del vara generiska. Ex: ogiltiga referenser istället för att visa användarnamn eller lösenord som exakt är felaktigt.
Säkerhetsfelkonfigurationer:
Detta är en av de dåliga rutinerna som gör webbplatserna sårbara för attacker. För t.ex. Appserverkonfigurationer som returnerar full stack-spårning till användare som gör att angriparna vet var felet är och attackerar därför webbplatserna. För att förhindra sådana fall är det viktigt att en stark applikationsarkitektur implementeras och köra säkerhetsskanningar med jämna mellanrum.
Slutsats
Det är mycket viktigt att varje webbplats följer korrekta standarder, upprätthåller korrekt kodningsteknik har robust apparkitektur, kör skanningarna regelbundet utan att misslyckas och försöka undvika webbsäkerhetsattackerna i större utsträckning.
Rekommenderade artiklar
Detta har varit en guide för webbapplikationssäkerhet. Här har vi diskuterat Introduktion, standardisering, topprisker för webbsäkerhet. Du kan också titta på följande artiklar för att lära dig mer -
- Frågor om Cyber Security Interview
- Webbutvecklingsintervjufrågor
- Karriär inom webbutveckling
- Vad är Elasticsearch?
- Vad är scripting på flera platser?