أساسيات أمان تطبيقات الويب EITC/IS/WASF هي برنامج شهادة تكنولوجيا المعلومات الأوروبية بشأن الجوانب النظرية والعملية لأمن خدمات شبكة الويب العالمية بدءًا من أمان بروتوكولات الويب الأساسية ، من خلال الخصوصية والتهديدات والهجمات على طبقات مختلفة من اتصالات شبكة مرور الويب والويب أمان الخوادم ، والأمان في طبقات أعلى ، بما في ذلك متصفحات الويب وتطبيقات الويب ، بالإضافة إلى المصادقة والشهادات والتصديق.
يغطي منهج أساسيات أمان تطبيقات الويب EITC/IS/WASF مقدمة إلى جوانب أمان الويب HTML و JavaScript ، و DNS ، و HTTP ، وملفات تعريف الارتباط ، والجلسات ، وهجمات ملفات تعريف الارتباط والجلسات ، وسياسة المنشأ نفسها ، وتزوير الطلبات عبر المواقع ، والاستثناءات لنفس الشيء سياسة المنشأ ، البرمجة النصية عبر المواقع (XSS) ، دفاعات البرمجة عبر المواقع ، بصمات الويب ، الخصوصية على الويب ، DoS ، التصيد الاحتيالي والقنوات الجانبية ، رفض الخدمة ، التصيد والقنوات الجانبية ، هجمات الحقن ، حقن الكود ، النقل أمان الطبقة (TLS) والهجمات ، HTTPS في العالم الحقيقي ، المصادقة ، WebAuthn ، إدارة أمان الويب ، مخاوف الأمان في مشروع Node.js ، أمان الخادم ، ممارسات التشفير الآمنة ، أمان خادم HTTP المحلي ، هجمات إعادة ربط DNS ، هجمات المتصفح ، المتصفح الهندسة المعمارية ، بالإضافة إلى كتابة رمز متصفح آمن ، ضمن الهيكل التالي ، يشمل محتوى تعليميًا شاملاً بالفيديو كمرجع لشهادة EITC هذه.
أمان تطبيقات الويب هو مجموعة فرعية من أمان المعلومات التي تركز على أمان موقع الويب وتطبيق الويب وخدمة الويب. يعتمد أمان تطبيقات الويب ، في أبسط مستوياته ، على مبادئ أمان التطبيقات ، ولكنه يطبقها بشكل خاص على الإنترنت ومنصات الويب. تعد تقنيات أمان تطبيقات الويب ، مثل جدران حماية تطبيقات الويب ، أدوات متخصصة للعمل مع حركة مرور HTTP.
يوفر مشروع أمان تطبيق الويب المفتوح (OWASP) موارد مجانية ومفتوحة. مؤسسة OWASP غير الهادفة للربح هي المسؤولة عن ذلك. يعد OWASP Top 2017 لعام 10 نتيجة الدراسة الحالية بناءً على بيانات شاملة تم جمعها من أكثر من 40 منظمة شريكة. تم اكتشاف ما يقرب من 2.3 مليون نقطة ضعف عبر أكثر من 50,000 تطبيق باستخدام هذه البيانات. أهم عشرة مخاوف تتعلق بأمان التطبيقات عبر الإنترنت ، وفقًا لـ OWASP Top 10 - 2017 ، هي:
- عن طريق الحقن
- قضايا المصادقة
- الكيانات الخارجية للبيانات الحساسة المكشوفة (XXE)
- التحكم في الوصول الذي لا يعمل
- التهيئة الخاطئة للأمن
- البرمجة النصية من موقع إلى موقع (XSS)
- إلغاء التسلسل غير الآمن
- استخدام مكونات لها عيوب معروفة
- التسجيل والرصد غير كافيين.
ومن ثم تُعرف ممارسة الدفاع عن مواقع الويب والخدمات عبر الإنترنت ضد التهديدات الأمنية المختلفة التي تستغل نقاط الضعف في كود التطبيق باسم أمان تطبيق الويب. تعد أنظمة إدارة المحتوى (مثل WordPress) وأدوات إدارة قواعد البيانات (على سبيل المثال ، phpMyAdmin) وتطبيقات SaaS أهدافًا شائعة لهجمات التطبيقات عبر الإنترنت.
يعتبر الجناة تطبيقات الويب أهدافًا ذات أولوية عالية للأسباب التالية:
- بسبب تعقيد التعليمات البرمجية المصدر الخاصة بهم ، من المرجح أن تكون الثغرات الأمنية غير المراقبة وتعديل التعليمات البرمجية الضارة.
- مكافآت عالية القيمة ، مثل المعلومات الشخصية الحساسة التي يتم الحصول عليها من خلال التلاعب الفعال في شفرة المصدر.
- سهولة التنفيذ ، لأن معظم الهجمات يمكن أن تتم آليًا بسهولة ويتم نشرها بشكل عشوائي ضد الآلاف أو عشرات أو حتى مئات الآلاف من الأهداف في وقت واحد.
- المنظمات التي تفشل في حماية تطبيقات الويب الخاصة بها عرضة للهجمات. يمكن أن يؤدي ذلك إلى سرقة البيانات ، وتوتر العلاقات مع العملاء ، والتراخيص الملغاة ، والإجراءات القانونية ، من بين أمور أخرى.
نقاط الضعف في المواقع
تعد عيوب تعقيم الإدخال/الإخراج شائعة في تطبيقات الويب ، وغالبًا ما يتم استغلالها إما لتغيير كود المصدر أو الوصول غير المصرح به.
تسمح هذه العيوب باستغلال مجموعة متنوعة من نواقل الهجوم ، بما في ذلك:
- حقن SQL - عندما يتلاعب الجاني بقاعدة بيانات خلفية برمز SQL ضار ، يتم الكشف عن المعلومات. يعد تصفح القائمة غير القانوني وحذف الجدول والوصول غير المصرح به للمسؤول من بين العواقب.
- XSS (Cross-site Scripting) هو هجوم حقن يستهدف المستخدمين من أجل الوصول إلى الحسابات أو تنشيط أحصنة طروادة أو تغيير محتوى الصفحة. عندما يتم حقن التعليمات البرمجية الضارة مباشرة في أحد التطبيقات ، يُعرف هذا باسم XSS المخزن. عندما يتم نسخ البرنامج النصي الضار من تطبيق إلى متصفح المستخدم ، يُعرف هذا باسم XSS المنعكس.
- تضمين ملف بعيد - يسمح هذا النوع من الهجوم للمتسلل بحقن ملف في خادم تطبيق ويب من موقع بعيد. يمكن أن يؤدي ذلك إلى تنفيذ نصوص أو تعليمات برمجية خطيرة داخل التطبيق ، بالإضافة إلى سرقة البيانات أو تعديلها.
- تزوير الطلبات عبر المواقع (CSRF) - نوع من الهجوم يمكن أن يؤدي إلى تحويل نقدي غير مقصود أو تغيير كلمة المرور أو سرقة البيانات. يحدث ذلك عندما يوجه برنامج ويب ضار متصفح المستخدم إلى اتخاذ إجراء غير مرغوب فيه على موقع ويب تم تسجيل دخوله إليه.
من الناحية النظرية ، قد يقضي التعقيم الفعال للمدخلات/المخرجات على جميع نقاط الضعف ، مما يجعل التطبيق منيعًا للتعديل غير المصرح به.
ومع ذلك ، نظرًا لأن معظم البرامج في حالة تنمية دائمة ، نادرًا ما يكون التطهير الشامل خيارًا قابلاً للتطبيق. علاوة على ذلك ، عادةً ما يتم دمج التطبيقات مع بعضها البعض ، مما ينتج عنه بيئة مشفرة تزداد تعقيدًا.
لتجنب مثل هذه المخاطر ، يجب تنفيذ حلول وعمليات أمان تطبيقات الويب ، مثل شهادة معيار أمان بيانات PCI (PCI DSS).
جدار الحماية لتطبيقات الويب (WAF)
WAFs (جدران حماية تطبيقات الويب) هي حلول للأجهزة والبرامج تحمي التطبيقات من تهديدات الأمان. تم تصميم هذه الحلول لفحص حركة المرور الواردة من أجل اكتشاف ومنع محاولات الهجوم ، والتعويض عن أي عيوب في تعقيم الكود.
يعالج نشر WAF معيارًا مهمًا للحصول على شهادة PCI DSS من خلال حماية البيانات من السرقة والتعديل. يجب حماية جميع بيانات حامل بطاقة الائتمان والخصم المحفوظة في قاعدة البيانات ، وفقًا للمتطلبات 6.6.
نظرًا لأنه يتم وضعه قبل DMZ الخاص به على حافة الشبكة ، فإن إنشاء WAF عادة لا يتطلب أي تغييرات على التطبيق. ثم يعمل كبوابة لجميع حركة المرور الواردة ، حيث يقوم بتصفية الطلبات الخطيرة قبل أن يتمكنوا من التفاعل مع أحد التطبيقات.
لتقييم حركة المرور المسموح لها بالوصول إلى التطبيق والتي يجب إزالتها ، تستخدم WAFs مجموعة متنوعة من الأساليب التجريبية. يمكنهم التعرف بسرعة على الجهات الخبيثة ونواقل الهجوم المعروفة بفضل مجموعة التوقيع المحدثة بانتظام.
قد يتم تصميم جميع WAF تقريبًا لحالات الاستخدام الفردية ولوائح الأمان ، بالإضافة إلى مكافحة التهديدات الناشئة (المعروفة أيضًا باسم Zero-Day). أخيرًا ، للحصول على رؤى إضافية للزوار القادمين ، تستخدم معظم الحلول الحديثة بيانات السمعة والسلوك.
من أجل بناء محيط أمني ، عادةً ما يتم دمج WAFs مع حلول أمان إضافية. يمكن أن يشمل ذلك خدمات منع رفض الخدمة الموزعة (DDoS) ، والتي توفر قابلية التوسع الإضافية اللازمة لمنع الهجمات كبيرة الحجم.
قائمة تحقق لأمان تطبيقات الويب
هناك مجموعة متنوعة من الأساليب لحماية تطبيقات الويب بالإضافة إلى WAFs. يجب أن تتضمن أي قائمة تدقيق لأمان تطبيق الويب الإجراءات التالية:
- جمع البيانات - انتقل إلى التطبيق يدويًا ، وابحث عن نقاط الدخول والرموز من جانب العميل. تصنيف المحتوى الذي يستضيفه طرف ثالث.
- التفويض - ابحث عن مسارات اجتياز المسار ، ومشكلات التحكم في الوصول الرأسي والأفقي ، والتفويض المفقود ، والمراجع المباشرة وغير الآمنة للكائنات عند اختبار التطبيق.
- تأمين جميع عمليات نقل البيانات مع التشفير. هل تم تشفير أي معلومات حساسة؟ هل استخدمت أي خوارزميات لا ترقى إلى المستوى المطلوب؟ هل توجد أخطاء في العشوائية؟
- رفض الخدمة - اختبار الحماية من الأتمتة وإغلاق الحساب وبروتوكول HTTP DoS و SQL wildcard DoS لتحسين مرونة التطبيق ضد هجمات رفض الخدمة. لا يشمل ذلك الحماية ضد هجمات DoS و DDoS كبيرة الحجم ، والتي تتطلب مزيجًا من تقنيات التصفية والموارد القابلة للتطوير للمقاومة.
لمزيد من التفاصيل ، يمكن للمرء التحقق من ورقة الغش الخاصة باختبار أمان تطبيق الويب OWASP (وهي أيضًا مورد رائع للموضوعات الأخرى المتعلقة بالأمان).
حماية DDoS
تعد هجمات DDoS ، أو هجمات رفض الخدمة الموزعة ، طريقة نموذجية لمقاطعة تطبيق الويب. هناك عدد من الأساليب لتخفيف هجمات DDoS ، بما في ذلك تجاهل حركة الهجوم الحجمي في شبكات توصيل المحتوى (CDNs) واستخدام الشبكات الخارجية لتوجيه الطلبات الحقيقية بشكل مناسب دون التسبب في انقطاع الخدمة.
حماية DNSSEC (امتدادات أمان نظام اسم المجال)
نظام اسم المجال ، أو DNS ، هو دليل هاتف الإنترنت ، وهو يعكس كيفية عثور أداة الإنترنت ، مثل مستعرض الويب ، على الخادم ذي الصلة. سيتم استخدام تسمم ذاكرة التخزين المؤقت لنظام أسماء النطاقات والهجمات على المسار والوسائل الأخرى للتدخل في دورة حياة بحث DNS من قبل الجهات السيئة لاختطاف عملية طلب DNS هذه. إذا كان DNS هو دفتر هاتف الإنترنت ، فإن DNSSEC هو معرف المتصل غير المخادع. يمكن حماية طلب بحث DNS باستخدام تقنية DNSSEC.
للتعرف بالتفصيل على منهج الشهادات ، يمكنك توسيع الجدول أدناه وتحليله.
يشير منهج شهادة أساسيات أمان تطبيقات الويب EITC/IS/WASF إلى مواد تعليمية مفتوحة الوصول في شكل فيديو. تنقسم عملية التعلم إلى هيكل خطوة بخطوة (برامج -> دروس -> موضوعات) تغطي أجزاء المنهج ذات الصلة. كما يتم توفير استشارات غير محدودة مع خبراء المجال.
للحصول على تفاصيل حول التحقق من إجراءات الشهادة كيف تعمل.
قم بتنزيل المواد التحضيرية الكاملة للتعلم الذاتي دون الاتصال بالإنترنت لبرنامج أساسيات أمان تطبيقات الويب EITC/IS/WASF في ملف PDF
المواد التحضيرية لـ EITC/IS/WASF - الإصدار القياسي
المواد التحضيرية لـ EITC/IS/WASF - نسخة موسعة مع أسئلة المراجعة