EITC/IS/WASF Web Applications Security Fundamentals

Open Web Application Security Project (OWASP) tilbyr ressurser som er både gratis og åpne. En non-profit OWASP Foundation er ansvarlig for det. 2017 OWASP Topp 10 er resultatet av nåværende studie basert på omfattende data samlet inn fra over 40 partnerorganisasjoner. Omtrent 2.3 millioner sårbarheter ble oppdaget på tvers av over 50,000 10 applikasjoner som bruker disse dataene. De ti mest kritiske sikkerhetsproblemene for nettapplikasjoner, ifølge OWASP Topp 2017 – XNUMX, er:

• Injeksjon
• Autentiseringsproblemer
• Eksponerte sensitive data XML eksterne enheter (XXE)
• Tilgangskontroll som ikke fungerer
• Feilkonfigurering av sikkerhet
• Site-to-site-skripting (XSS)
• Deserialisering som ikke er sikker
• Bruke komponenter som har kjente feil
• Logging og overvåking er utilstrekkelig.

Derfor er praksisen med å forsvare nettsteder og nettjenester mot ulike sikkerhetstrusler som utnytter svakheter i en applikasjons kode kjent som nettapplikasjonssikkerhet. Innholdsstyringssystemer (f.eks. WordPress), databaseadministrasjonsverktøy (f.eks. phpMyAdmin) og SaaS-apper er alle vanlige mål for angrep på nettapplikasjoner.

Nettapplikasjoner anses som høyprioriterte mål av gjerningsmennene fordi:

• På grunn av den intrikate kildekoden deres, er uovervåkede sårbarheter og ondsinnet kodemodifikasjon mer sannsynlig.
• Belønninger av høy verdi, for eksempel sensitiv personlig informasjon innhentet gjennom effektiv manipulering av kildekoden.
• Enkel utførelse, fordi de fleste overgrep lett kan automatiseres og utplasseres vilkårlig mot tusener, titalls eller til og med hundretusener av mål samtidig.
• Organisasjoner som ikke klarer å beskytte nettapplikasjonene sine, er sårbare for angrep. Dette kan blant annet føre til datatyveri, anstrengte klientforhold, kansellerte lisenser og rettslige skritt.

Sårbarheter på nettsider

Input/output sanitization feil er vanlige i webapplikasjoner, og de blir ofte utnyttet til enten å endre kildekode eller få uautorisert tilgang.

Disse feilene tillater utnyttelse av en rekke angrepsvektorer, inkludert:

• SQL-injeksjon – Når en gjerningsmann manipulerer en backend-database med ondsinnet SQL-kode, avsløres informasjon. Ulovlig listesurfing, tabellsletting og uautorisert administratortilgang er blant konsekvensene.
• XSS (Cross-site Scripting) er et injeksjonsangrep som retter seg mot brukere for å få tilgang til kontoer, aktivere trojanere eller endre sideinnhold. Når ondsinnet kode injiseres direkte i en applikasjon, kalles dette lagret XSS. Når ondsinnet skript speiles fra en applikasjon til en brukers nettleser, kalles dette reflektert XSS.
• Fjern filinkludering – Denne formen for angrep lar en hacker injisere en fil i en nettapplikasjonsserver fra et eksternt sted. Dette kan føre til at farlige skript eller kode kjøres i appen, samt datatyveri eller modifikasjon.
• Cross-site Request Forgery (CSRF) – En type angrep som kan resultere i en utilsiktet overføring av kontanter, passordendringer eller datatyveri. Det oppstår når et ondsinnet nettprogram instruerer en brukers nettleser til å utføre en uønsket handling på et nettsted de er logget på.

I teorien kan effektiv sanering av input/output utrydde alle sårbarheter, noe som gjør en applikasjon ugjennomtrengelig for uautoriserte endringer.

Men fordi de fleste programmer er i en evigvarende utvikling, er omfattende desinfisering sjelden et levedyktig alternativ. Videre er apper ofte integrert med hverandre, noe som resulterer i et kodet miljø som blir stadig mer komplekst.

For å unngå slike farer bør sikkerhetsløsninger og prosesser for nettapplikasjoner, som PCI Data Security Standard (PCI DSS)-sertifisering, implementeres.

Brannmur for nettapplikasjoner (WAF)

WAF-er (nettapplikasjonsbrannmurer) er maskinvare- og programvareløsninger som beskytter applikasjoner mot sikkerhetstrusler. Disse løsningene er utviklet for å inspisere innkommende trafikk for å oppdage og blokkere angrepsforsøk, og kompensere for eventuelle feil ved kodesanering.

WAF-distribusjon adresserer et viktig kriterium for PCI DSS-sertifisering ved å beskytte data mot tyveri og modifikasjoner. Alle kreditt- og debetkortholderdata som vedlikeholdes i en database, må beskyttes i henhold til krav 6.6.

Fordi den er satt foran DMZ-en sin på kanten av nettverket, krever det vanligvis ingen endringer i en applikasjon å etablere en WAF. Den fungerer deretter som en gateway for all innkommende trafikk, og filtrerer ut farlige forespørsler før de kan samhandle med en applikasjon.

For å vurdere hvilken trafikk som har tilgang til en applikasjon og hvilken som må lukes ut, bruker WAF en rekke heuristikker. De kan raskt identifisere ondsinnede aktører og kjente angrepsvektorer takket være en regelmessig oppdatert signaturpool.

Nesten alle WAF-er kan skreddersys til individuelle brukstilfeller og sikkerhetsforskrifter, i tillegg til å bekjempe nye (også kjent som zero-day) trusler. Til slutt, for å få ytterligere innsikt i innkommende besøkende, bruker de fleste moderne løsninger omdømme- og atferdsdata.

For å bygge en sikkerhetsperimeter, kombineres WAF-er vanligvis med ekstra sikkerhetsløsninger. Disse kan inkludere distribuert denial-of-service (DDoS) forebyggingstjenester, som gir den ekstra skalerbarheten som trengs for å forhindre angrep med høyt volum.

Sjekkliste for nettapplikasjonssikkerhet
Det finnes en rekke tilnærminger for å beskytte nettapper i tillegg til WAF-er. Enhver sikkerhetssjekkliste for nettapplikasjoner bør inneholde følgende prosedyrer:

• Samle inn data — Gå gjennom applikasjonen for hånd, se etter inngangspunkter og koder på klientsiden. Klassifiser innhold som er vert for en tredjepart.
• Autorisasjon – Se etter stigjennomganger, vertikale og horisontale adgangskontrollproblemer, manglende autorisasjon og usikre, direkte objektreferanser når du tester applikasjonen.
• Sikre alle dataoverføringer med kryptografi. Har noen sensitiv informasjon blitt kryptert? Har du brukt noen algoritmer som ikke tåler snus? Er det noen tilfeldighetsfeil?
• Denial of service — Test for anti-automatisering, kontosperring, HTTP-protokoll DoS og SQL wildcard DoS for å forbedre en applikasjons motstandskraft mot tjenestenektangrep. Dette inkluderer ikke sikkerhet mot høyvolums DoS- og DDoS-angrep, som krever en blanding av filtreringsteknologier og skalerbare ressurser for å motstå.

For ytterligere detaljer kan man sjekke juksearket for OWASP Web Application Security Testing (det er også en flott ressurs for andre sikkerhetsrelaterte emner).

DDoS beskyttelse

DDoS-angrep, eller distribuerte denial-of-service-angrep, er en typisk måte å avbryte en nettapplikasjon på. Det finnes en rekke tilnærminger for å redusere DDoS-angrep, inkludert å forkaste volumetrisk angrepstrafikk på Content Delivery Networks (CDN) og bruke eksterne nettverk for å rute ekte forespørsler på riktig måte uten å forårsake tjenesteavbrudd.

DNSSEC-beskyttelse (Domain Name System Security Extensions).

Domenenavnsystemet, eller DNS, er Internetts telefonbok, og det gjenspeiler hvordan et Internett-verktøy, for eksempel en nettleser, finner den aktuelle serveren. DNS-bufferforgiftning, angrep på banen og andre måter å forstyrre DNS-oppslagslivssyklusen på vil bli brukt av dårlige aktører for å kapre denne DNS-forespørselsprosessen. Hvis DNS er Internetts telefonbok, er DNSSEC en anrops-ID som ikke kan forfalskes. En DNS-oppslagsforespørsel kan beskyttes ved hjelp av DNSSEC-teknologien.