Nguyên tắc cơ bản về bảo mật ứng dụng web EITC/IS/WASF là chương trình Chứng nhận CNTT của Châu Âu về các khía cạnh lý thuyết và thực tiễn của bảo mật dịch vụ World Wide Web, từ bảo mật của các giao thức web cơ bản, thông qua quyền riêng tư, các mối đe dọa và tấn công trên các lớp khác nhau của giao tiếp mạng lưu lượng web, web bảo mật máy chủ, bảo mật ở các lớp cao hơn, bao gồm trình duyệt web và ứng dụng web, cũng như xác thực, chứng chỉ và lừa đảo.
Chương trình giảng dạy Nguyên tắc cơ bản về bảo mật ứng dụng web EITC/IS/WASF bao gồm giới thiệu về các khía cạnh bảo mật web HTML và JavaScript, DNS, HTTP, cookie, phiên, cookie và tấn công phiên, Chính sách nguồn gốc giống nhau, Truy vấn yêu cầu chéo trang web, các ngoại lệ đối với Giống nhau Chính sách nguồn gốc, Kịch bản trên nhiều trang (XSS), Biện pháp bảo vệ bằng mã trên nhiều trang, lấy dấu vết trên web, quyền riêng tư trên web, DoS, lừa đảo và các kênh phụ, Từ chối dịch vụ, lừa đảo và các kênh phụ, tấn công chèn ép, Chèn mã, vận chuyển bảo mật lớp (TLS) và các cuộc tấn công, HTTPS trong thế giới thực, xác thực, WebAuthn, quản lý bảo mật web, các mối quan tâm về bảo mật trong dự án Node.js, bảo mật máy chủ, thực hành mã hóa an toàn, bảo mật máy chủ HTTP cục bộ, tấn công liên kết DNS, tấn công trình duyệt, trình duyệt kiến trúc, cũng như viết mã trình duyệt an toàn, trong cấu trúc sau, bao gồm nội dung giáo huấn video toàn diện làm tài liệu tham khảo cho Chứng nhận EITC này.
Bảo mật ứng dụng web là một tập hợp con của bảo mật thông tin tập trung vào bảo mật trang web, ứng dụng web và dịch vụ web. Bảo mật ứng dụng web, ở mức cơ bản nhất, dựa trên các nguyên tắc bảo mật ứng dụng, nhưng nó áp dụng chúng đặc biệt cho nền tảng internet và web. Các công nghệ bảo mật ứng dụng web, chẳng hạn như tường lửa ứng dụng Web, là các công cụ chuyên dụng để làm việc với lưu lượng HTTP.
Dự án Bảo mật Ứng dụng Web Mở (OWASP) cung cấp các tài nguyên miễn phí và mở. Tổ chức OWASP phi lợi nhuận phụ trách việc này. Top 2017 OWASP 10 là kết quả của nghiên cứu hiện tại dựa trên dữ liệu phong phú được thu thập từ hơn 40 tổ chức đối tác. Khoảng 2.3 triệu lỗ hổng đã được phát hiện trên hơn 50,000 ứng dụng sử dụng dữ liệu này. Mười mối quan tâm hàng đầu về bảo mật ứng dụng trực tuyến quan trọng nhất, theo OWASP Top 10 - 2017, là:
- Tiêm
- Vấn đề xác thực
- Các thực thể bên ngoài XML dữ liệu nhạy cảm được tiếp xúc (XXE)
- Kiểm soát truy cập không hoạt động
- Định cấu hình sai bảo mật
- Tập lệnh site-to-site (XSS)
- Hủy đăng ký không an toàn
- Sử dụng các thành phần có lỗi đã biết
- Ghi nhật ký và giám sát là không đủ.
Do đó, thực tiễn bảo vệ các trang web và dịch vụ trực tuyến chống lại các mối đe dọa bảo mật khác nhau khai thác các điểm yếu trong mã của ứng dụng được gọi là bảo mật ứng dụng web. Hệ thống quản lý nội dung (ví dụ: WordPress), công cụ quản trị cơ sở dữ liệu (ví dụ: phpMyAdmin) và ứng dụng SaaS đều là những mục tiêu phổ biến cho các cuộc tấn công ứng dụng trực tuyến.
Các ứng dụng web được coi là mục tiêu ưu tiên cao của thủ phạm vì:
- Do mã nguồn phức tạp của chúng, nhiều khả năng xảy ra các lỗ hổng không được giám sát và sửa đổi mã độc hại.
- Phần thưởng có giá trị cao, chẳng hạn như thông tin cá nhân nhạy cảm thu được thông qua việc giả mạo mã nguồn hiệu quả.
- Dễ thực hiện, bởi vì hầu hết các cuộc tấn công có thể được tự động hóa dễ dàng và triển khai bừa bãi chống lại hàng nghìn, hàng chục hoặc thậm chí hàng trăm nghìn mục tiêu cùng một lúc.
- Các tổ chức không bảo vệ các ứng dụng web của họ rất dễ bị tấn công. Điều này có thể dẫn đến đánh cắp dữ liệu, mối quan hệ khách hàng căng thẳng, giấy phép bị hủy và hành động pháp lý, trong số những thứ khác.
Các lỗ hổng trong các trang web
Các lỗi làm sạch đầu vào/đầu ra thường gặp trong các ứng dụng web và chúng thường bị khai thác để thay đổi mã nguồn hoặc truy cập trái phép.
Những lỗ hổng này cho phép khai thác nhiều loại vectơ tấn công, bao gồm:
- SQL Injection - Khi thủ phạm thao túng cơ sở dữ liệu phụ trợ bằng mã SQL độc hại, thông tin sẽ bị tiết lộ. Các hậu quả là duyệt danh sách bất hợp pháp, xóa bảng và truy cập quản trị viên trái phép.
- XSS (Cross-site Scripting) là một cuộc tấn công tiêm kích nhắm vào người dùng để có được quyền truy cập vào tài khoản, kích hoạt Trojan hoặc thay đổi nội dung trang. Khi mã độc được tiêm trực tiếp vào một ứng dụng, điều này được gọi là XSS được lưu trữ. Khi tập lệnh độc hại được sao chép từ một ứng dụng vào trình duyệt của người dùng, điều này được gọi là XSS phản ánh.
- Bao gồm tệp từ xa - Hình thức tấn công này cho phép tin tặc đưa tệp vào máy chủ ứng dụng web từ một vị trí từ xa. Điều này có thể dẫn đến các tập lệnh hoặc mã nguy hiểm được thực thi trong ứng dụng cũng như đánh cắp hoặc sửa đổi dữ liệu.
- Truy vấn yêu cầu chéo trang web (CSRF) - Một kiểu tấn công có thể dẫn đến việc chuyển tiền ngoài ý muốn, thay đổi mật khẩu hoặc đánh cắp dữ liệu. Nó xảy ra khi một chương trình web độc hại hướng dẫn trình duyệt của người dùng thực hiện một hành động không mong muốn trên trang web mà họ đã đăng nhập.
Về lý thuyết, việc khử trùng đầu vào/đầu ra hiệu quả có thể loại bỏ tất cả các lỗ hổng, khiến ứng dụng không bị sửa đổi trái phép.
Tuy nhiên, bởi vì hầu hết các chương trình đang trong tình trạng phát triển vĩnh viễn, vệ sinh toàn diện hiếm khi là một lựa chọn khả thi. Hơn nữa, các ứng dụng thường được tích hợp với nhau, dẫn đến môi trường được mã hóa ngày càng trở nên phức tạp.
Để tránh những nguy hiểm như vậy, các giải pháp và quy trình bảo mật ứng dụng web, chẳng hạn như chứng nhận Tiêu chuẩn Bảo mật Dữ liệu PCI (PCI DSS), nên được thực hiện.
Tường lửa cho các ứng dụng web (WAF)
WAFs (tường lửa ứng dụng web) là các giải pháp phần cứng và phần mềm bảo vệ ứng dụng khỏi các mối đe dọa bảo mật. Các giải pháp này được thiết kế để kiểm tra lưu lượng truy cập đến nhằm phát hiện và chặn các nỗ lực tấn công, bù đắp cho bất kỳ lỗi làm sạch mã nào.
Việc triển khai WAF giải quyết một tiêu chí quan trọng cho chứng chỉ PCI DSS bằng cách bảo vệ dữ liệu khỏi bị đánh cắp và sửa đổi. Tất cả dữ liệu chủ thẻ tín dụng và thẻ ghi nợ được duy trì trong cơ sở dữ liệu phải được bảo vệ, theo Yêu cầu 6.6.
Bởi vì nó được đặt trước DMZ của nó ở rìa mạng, việc thiết lập WAF thường không yêu cầu bất kỳ thay đổi nào đối với một ứng dụng. Sau đó, nó đóng vai trò như một cổng cho tất cả lưu lượng đến, lọc ra các yêu cầu nguy hiểm trước khi chúng có thể tương tác với một ứng dụng.
Để đánh giá lưu lượng truy cập nào được phép truy cập vào một ứng dụng và lưu lượng nào cần phải loại bỏ, WAFs sử dụng nhiều phương pháp phỏng đoán khác nhau. Họ có thể nhanh chóng xác định các tác nhân độc hại và các vectơ tấn công đã biết nhờ vào một nhóm chữ ký được cập nhật thường xuyên.
Hầu hết tất cả các WAF có thể được điều chỉnh cho phù hợp với các trường hợp sử dụng cá nhân và các quy định bảo mật, cũng như chống lại các mối đe dọa mới nổi (còn được gọi là zero-day). Cuối cùng, để có thêm thông tin chi tiết về khách truy cập, hầu hết các giải pháp hiện đại sử dụng dữ liệu hành vi và danh tiếng.
Để xây dựng một vành đai bảo mật, WAFs thường được kết hợp với các giải pháp bảo mật bổ sung. Chúng có thể bao gồm các dịch vụ ngăn chặn từ chối dịch vụ (DDoS) phân tán, cung cấp thêm khả năng mở rộng cần thiết để ngăn chặn các cuộc tấn công khối lượng lớn.
Danh sách kiểm tra bảo mật ứng dụng web
Có nhiều cách tiếp cận để bảo vệ các ứng dụng web ngoài WAFs. Bất kỳ danh sách kiểm tra bảo mật ứng dụng web nào cũng phải bao gồm các quy trình sau:
- Thu thập dữ liệu - Xem qua ứng dụng bằng tay, tìm kiếm các điểm nhập và mã phía máy khách. Phân loại nội dung được lưu trữ bởi bên thứ ba.
- Ủy quyền - Tìm kiếm các đường dẫn truyền, các vấn đề kiểm soát truy cập theo chiều dọc và ngang, cấp quyền bị thiếu và các tham chiếu đối tượng trực tiếp, không an toàn khi kiểm tra ứng dụng.
- Bảo mật tất cả các quá trình truyền dữ liệu bằng mật mã. Có bất kỳ thông tin nhạy cảm nào được mã hóa không? Bạn đã sử dụng bất kỳ thuật toán nào không phù hợp chưa? Có bất kỳ lỗi ngẫu nhiên nào không?
- Từ chối dịch vụ - Kiểm tra tính năng chống tự động hóa, khóa tài khoản, DoS giao thức HTTP và DoS ký tự đại diện SQL để cải thiện khả năng phục hồi của ứng dụng trước các cuộc tấn công từ chối dịch vụ. Điều này không bao gồm bảo mật chống lại các cuộc tấn công DoS và DDoS khối lượng lớn, đòi hỏi sự kết hợp của công nghệ lọc và tài nguyên có thể mở rộng để chống lại.
Để biết thêm chi tiết, người ta có thể kiểm tra Bảng lừa kiểm tra bảo mật ứng dụng web OWASP (nó cũng là một nguồn tài nguyên tuyệt vời cho các chủ đề khác liên quan đến bảo mật).
Bảo vệ DDoS
Các cuộc tấn công DDoS, hoặc các cuộc tấn công từ chối dịch vụ phân tán, là một cách điển hình để làm gián đoạn ứng dụng web. Có một số cách tiếp cận để giảm thiểu các cuộc tấn công DDoS, bao gồm loại bỏ lưu lượng tấn công số lượng lớn tại Mạng phân phối nội dung (CDN) và sử dụng các mạng bên ngoài để định tuyến các yêu cầu chính hãng một cách thích hợp mà không gây ra gián đoạn dịch vụ.
Bảo vệ DNSSEC (Tiện ích mở rộng bảo mật hệ thống tên miền)
Hệ thống tên miền, hoặc DNS, là danh bạ của Internet và nó phản ánh cách một công cụ Internet, chẳng hạn như trình duyệt web, tìm thấy máy chủ có liên quan. Nhiễm độc bộ nhớ cache DNS, các cuộc tấn công trên đường dẫn và các phương tiện can thiệp vào vòng đời tra cứu DNS khác sẽ được các tác nhân xấu sử dụng để chiếm đoạt quy trình yêu cầu DNS này. Nếu DNS là danh bạ Internet, thì DNSSEC là ID người gọi không thể sửa đổi. Yêu cầu tra cứu DNS có thể được bảo vệ bằng công nghệ DNSSEC.
Để tìm hiểu chi tiết về chương trình giảng dạy chứng nhận, bạn có thể mở rộng và phân tích bảng bên dưới.
Chương trình Chứng nhận Nguyên tắc Cơ bản về Bảo mật Ứng dụng Web của EITC/IS/WASF tham khảo các tài liệu giáo khoa truy cập mở dưới dạng video. Quá trình học tập được chia thành cấu trúc từng bước (chương trình -> bài học -> chủ đề) bao gồm các phần chương trình học có liên quan. Tư vấn không giới hạn với các chuyên gia tên miền cũng được cung cấp.
Để biết chi tiết về kiểm tra thủ tục Chứng nhận Làm thế nào nó hoạt động.
Tải xuống tài liệu chuẩn bị tự học ngoại tuyến hoàn chỉnh cho chương trình Nguyên tắc cơ bản về bảo mật ứng dụng web EITC/IS/WASF dưới dạng tệp PDF
Tài liệu chuẩn bị EITC/IS/WASF – phiên bản tiêu chuẩn
Tài liệu chuẩn bị EITC/IS/WASF – phiên bản mở rộng với các câu hỏi ôn tập