Безопасность веб-приложений - Web application security
Безопасность веб-приложений это филиал информационная безопасность что конкретно касается безопасности веб-сайты, веб-приложения и веб-сервисы. На высоком уровне безопасность веб-приложений основана на принципах безопасность приложений но применяет их специально к Интернет и сеть системы.[1]
Угрозы безопасности
Большинство атак на веб-приложения происходят через межсайтовый скриптинг (XSS) и SQL-инъекция нападения[2] которые обычно становятся возможными из-за некорректного кодирования и невозможности дезинфицировать входные и выходные данные приложения. Эти атаки занесены в рейтинг 2009 г. CWE /SANS 25 самых опасных ошибок программирования.[3]
По данным поставщика средств безопасности Cenzic, к основным уязвимостям в марте 2012 г. относятся:[4]
37% | Межсайтовый скриптинг |
16% | SQL-инъекция |
5% | Раскрытие пути |
5% | Атака отказа в обслуживании |
4% | Выполнение произвольного кода |
4% | Повреждение памяти |
4% | Подделка межсайтовых запросов |
3% | Данные нарушения (раскрытие информации) |
3% | Произвольный включение файла |
2% | Включение локального файла |
1% | Удаленное включение файлов |
1% | Переполнение буфера |
15% | Другое, в том числе внедрение кода (PHP / JavaScript) и т. Д. |
Проект безопасности открытых веб-приложений (OWASP ) предоставляет бесплатные и открытые ресурсы. Его возглавляет некоммерческая организация The OWASP Foundation. Рейтинг OWASP Top 10 - 2017 - это опубликованный результат недавнего исследования, основанного на исчерпывающих данных, собранных более чем 40 партнерскими организациями. На основе этих данных примерно 2,3 миллиона уязвимостей было обнаружено в более чем 50 000 приложений.[5] Согласно рейтингу OWASP Top 10 - 2017, десять наиболее серьезных угроз безопасности веб-приложений включают:[6]
- Инъекция
- Сломанная аутентификация
- Раскрытие конфиденциальных данных
- Внешние объекты XML (XXE)
- Сломанный контроль доступа
- Неправильная конфигурация безопасности
- Межсайтовый скриптинг (XSS)
- Небезопасная десериализация
- Использование компонентов с известными уязвимостями
- Недостаточное ведение журнала и мониторинг
Рекомендации по передовой практике
Разработка безопасных веб-приложений должна быть усилена путем применения контрольных точек и методов безопасности на ранних этапах разработки, а также на протяжении всего процесса разработки. жизненный цикл разработки программного обеспечения. Особый упор следует сделать на этапе разработки кода. Механизмы безопасности, которые следует использовать, включают моделирование угроз, анализ риска, статический анализ, цифровой подписи, среди прочего.[7]
Стандарты безопасности
OWASP - это развивающийся орган по стандартизации безопасности веб-приложений. В частности, они опубликовали OWASP Top 10,[8] в котором подробно описаны основные угрозы для веб-приложений. Консорциум безопасности веб-приложений (WASC) создал базу данных инцидентов веб-взлома (WHID), а также подготовил документы с открытым исходным кодом передовой практики по безопасности веб-приложений. WHID стал проектом OWASP в феврале 2014 года.[9]
Технология безопасности
Хотя безопасность в основном основана на людях и процессах, существует ряд технических решений, которые следует учитывать при проектировании, создании и тестировании безопасных веб-приложений. На высоком уровне эти решения включают:
- Черный ящик инструменты тестирования, такие как Сканеры безопасности веб-приложений,[10] сканеры уязвимостей и тестирование на проникновение[11] программного обеспечения
- белая коробка инструменты тестирования, такие как статические анализаторы исходного кода[12]
- Расплывание,[13] инструменты, используемые для тестирования ввода
- Сканер безопасности веб-приложений (сканер уязвимостей)
- Брандмауэры веб-приложений (WAF),[14] используется для предоставления брандмауэр -типовая защита на уровне веб-приложения
- Взлом пароля инструменты для тестирования Надежность Пароля и реализация
Смотрите также
- Архитектура службы приложений (КАК)
- Электронная аутентификация
- w3af, бесплатный сканер безопасности веб-приложений с открытым исходным кодом
- Сканер безопасности веб-приложений
- Самозащита рабочего приложения
Рекомендации
- ^ «Обзор безопасности веб-приложений». 2015-10-23.
- ^ «Тестирование и сравнение инструментов сканирования веб-уязвимостей для внедрения SQL-кода и XSS-атак». Fonseca, J .; Vieira, M .; Мадейра, Х., Надежные вычисления, IEEE. Декабрь 2007 г. Дои:10.1109 / PRDC.2007.55.
- ^ «25 самых опасных ошибок программирования в CWE / SANS». CWE / SANS. Май 2009 г.
- ^ «Отчет о тенденциях 2012 года: риски безопасности приложений». Cenzic, Inc., 11 марта 2012 г.. Получено 9 июля 2012.
- ^ Королов, Мария (27 апр, 2017). «Последняя десятка лучших OWASP рассматривает API и веб-приложения: новый список 10 лучших OWASP отсутствует, и хотя большая часть его остается прежней, есть новые дополнения, ориентированные на веб-приложения и API». ОГО. ProQuest 1892694046.
- ^ «Топ-10 OWASP - 2017: десять наиболее серьезных рисков безопасности веб-приложений» (PDF). Открыть проект безопасности веб-приложений. 2017. Получено 30 июня, 2018.
- ^ Шуайбу, Бала Муса; Norwawi, Norita Md; Селамат, Мохд Хасан; Аль-Альвани, Абдулкарим (17 января 2013 г.). «Систематический обзор модели разработки безопасности веб-приложений». Обзор искусственного интеллекта. 43 (2): 259–276. Дои:10.1007 / s10462-012-9375-6. ISSN 0269-2821. S2CID 15221613.
- ^ OWASP Top 10
- ^ «Проект WHID теперь является совместным проектом WASC / OWASP». WASC. 18 февраля 2014 г.
- ^ «Сканеры уязвимостей веб-приложений». NIST.
- ^ «Лучшие компании по тестированию на проникновение». 2019-11-06.
- ^ «Анализаторы безопасности исходного кода». NIST.
- ^ "Нечеткость". OWASP.
- ^ «Межсетевые экраны веб-приложений для обеспечения безопасности и соответствия нормативным требованиям». Блог TestingXperts. Март 2017 г.