اختبار اختراق تطبيقات الويب EITC/IS/WAPT هو برنامج شهادة تكنولوجيا المعلومات الأوروبية بشأن الجوانب النظرية والعملية لاختبار اختراق تطبيقات الويب (القرصنة البيضاء) ، بما في ذلك التقنيات المختلفة لمواقع الويب ، تقنيات التجسس والمسح والهجوم ، بما في ذلك أدوات وأجنحة اختبار الاختراق المتخصصة .
يغطي منهج اختبار اختراق تطبيقات الويب EITC/IS/WAPT مقدمة إلى Burp Suite و Web spridering و DVWA واختبار القوة الغاشمة باستخدام Burp Suite واكتشاف جدار حماية تطبيقات الويب (WAF) باستخدام WAFW00F والنطاق المستهدف والتجسس واكتشاف الملفات المخفية باستخدام فحص ثغرات ZAP و WordPress وتعداد اسم المستخدم وفحص موازن التحميل والبرمجة عبر المواقع و XSS - المنعكسة والمخزنة و DOM وهجمات الوكيل وتكوين الوكيل في ZAP وهجمات الملفات والدلائل واكتشاف الملفات والدليل باستخدام DirBuster وممارسة هجمات الويب ، OWASP Juice Shop ، CSRF - تزوير طلب عبر الموقع ، جمع ملفات تعريف الارتباط والهندسة العكسية ، سمات HTTP - سرقة ملفات تعريف الارتباط ، حقن SQL ، DotDotPwn - غموض اجتياز الدليل ، حقن iframe وحقن HTML ، استغلال Heartbleed - الاكتشاف والاستغلال ، حقن كود PHP ، bWAPP - حقن HTML ، POST المنعكس ، حقن أوامر نظام التشغيل مع Commix ، جانب الخادم يتضمن حقن SSI ، pentesting في Docker ، OverTheWire Natas و LFI و command injection و google hacking for pentesting و Google Dorks for penetration test و Apache2 ModSecurity بالإضافة إلى Nginx ModSecurity ، ضمن الهيكل التالي ، بما في ذلك محتوى تعليمي شامل بالفيديو كمرجع لشهادة EITC هذه.
أمان تطبيقات الويب (يشار إليه غالبًا باسم Web AppSec) هو مفهوم تصميم مواقع الويب لتعمل بشكل طبيعي حتى عندما تتعرض للهجوم. الفكرة هي دمج مجموعة من الإجراءات الأمنية في تطبيق ويب لحماية أصوله من العوامل المعادية. تطبيقات الويب ، مثل جميع البرامج ، عرضة للعيوب. بعض هذه العيوب هي نقاط ضعف فعلية يمكن استغلالها ، مما يشكل خطرًا على الشركات. يتم حماية مثل هذه العيوب من خلال أمان تطبيقات الويب. يستلزم استخدام نهج التطوير الآمن ووضع ضوابط أمنية طوال دورة حياة تطوير البرامج (SDLC) ، مما يضمن معالجة عيوب التصميم وقضايا التنفيذ. يعد اختبار الاختراق عبر الإنترنت ، الذي يتم إجراؤه بواسطة خبراء يهدفون إلى الكشف عن الثغرات الأمنية في تطبيقات الويب واستغلالها باستخدام ما يسمى بنهج القرصنة البيضاء ، ممارسة أساسية لتمكين الدفاع المناسب.
اختبار اختراق الويب ، المعروف أيضًا باسم اختبار قلم الويب ، يحاكي هجومًا إلكترونيًا على تطبيق ويب من أجل العثور على عيوب يمكن استغلالها. يتم استخدام اختبار الاختراق بشكل متكرر لاستكمال جدار حماية تطبيق الويب في سياق أمان تطبيق الويب (WAF). يستلزم اختبار القلم ، بشكل عام ، محاولة اختراق أي عدد من أنظمة التطبيقات (على سبيل المثال ، واجهات برمجة التطبيقات وخوادم الواجهة الأمامية/الخلفية) من أجل العثور على نقاط الضعف ، مثل المدخلات غير المصححة والمعرضة لهجمات حقن التعليمات البرمجية.
يمكن استخدام نتائج اختبار الاختراق عبر الإنترنت لتكوين سياسات أمان WAF ومعالجة نقاط الضعف المكتشفة.
يتكون اختبار الاختراق من خمس خطوات.
إجراء اختبار القلم ينقسم إلى خمس خطوات.
- التخطيط والاستكشاف
إن تحديد نطاق وأهداف الاختبار ، بما في ذلك الأنظمة التي سيتم تناولها ومنهجيات الاختبار التي سيتم استخدامها ، هي المرحلة الأولى.
للحصول على فهم أفضل لكيفية عمل الهدف ونقاط ضعفه المحتملة ، قم بجمع المعلومات الاستخبارية (على سبيل المثال ، أسماء الشبكة والمجالات وخادم البريد). - مسح
تتمثل المرحلة التالية في معرفة كيفية تفاعل التطبيق المستهدف مع أنواع مختلفة من محاولات التسلل. يتم تحقيق ذلك عادةً عن طريق استخدام الطرق التالية:
التحليل الثابت - فحص كود التطبيق للتنبؤ بكيفية تصرفه عند تشغيله. في مسار واحد ، يمكن لهذه الأدوات مسح الرمز بالكامل.
التحليل الديناميكي هو عملية فحص رمز التطبيق أثناء تشغيله. تعد طريقة المسح هذه أكثر عملية لأنها توفر عرضًا في الوقت الفعلي لأداء التطبيق. - الحصول على الوصول
للعثور على نقاط ضعف الهدف ، تستخدم هذه الخطوة هجمات تطبيقات الويب مثل البرمجة النصية عبر المواقع وحقن SQL والأبواب الخلفية. لفهم الضرر الذي قد تلحقه هذه الثغرات الأمنية ، يحاول المختبرين استغلالها من خلال تصعيد الامتيازات ، وسرقة البيانات ، واعتراض حركة المرور ، وما إلى ذلك. - الحفاظ على الوصول
الغرض من هذه المرحلة هو تقييم ما إذا كان من الممكن استغلال الثغرة الأمنية لتأسيس وجود طويل الأمد في النظام المخترق ، مما يسمح لممثل سيء بالوصول بشكل متعمق. الهدف هو تقليد التهديدات المستمرة المتقدمة ، والتي يمكن أن تبقى في نظام لأشهر من أجل سرقة معلومات الشركة الأكثر حساسية. - تحليل الأداء
يتم بعد ذلك وضع نتائج اختبار الاختراق في تقرير يتضمن معلومات مثل:
نقاط الضعف التي تم استغلالها بالتفصيل
البيانات التي تم الحصول عليها كانت حساسة
مقدار الوقت الذي تمكن فيه جهاز اختبار القلم من البقاء دون أن يلاحظه أحد في النظام.
يستخدم خبراء الأمان هذه البيانات للمساعدة في تكوين إعدادات WAF الخاصة بالمؤسسة وحلول أمان التطبيقات الأخرى من أجل تصحيح الثغرات الأمنية ومنع المزيد من الهجمات.
طرق اختبار الاختراق
- يركز اختبار الاختراق الخارجي على أصول الشركة المرئية على الإنترنت ، مثل تطبيق الويب نفسه ، وموقع الشركة على الويب ، بالإضافة إلى خوادم البريد الإلكتروني واسم المجال (DNS). الهدف هو الوصول إلى المعلومات المفيدة واستخراجها.
- يستلزم الاختبار الداخلي أن يكون لدى المختبِر إمكانية الوصول إلى تطبيق خلف جدار حماية شركة ما يحاكي هجومًا معادًا من الداخل. هذا ليس ضروريا محاكاة الموظف المارقة. الموظف الذي تم الحصول على بيانات اعتماده نتيجة لمحاولة تصيد هو نقطة انطلاق مشتركة.
- الاختبار الأعمى هو عندما يتم تقديم اسم الشركة التي يتم اختبارها للمختبر. يتيح ذلك لخبراء الأمن معرفة كيفية حدوث هجوم فعلي على التطبيق في الوقت الفعلي.
- اختبار مزدوج التعمية: في اختبار مزدوج التعمية ، لا يكون متخصصو الأمن على دراية بالهجوم المحاكى مسبقًا. لن يكون لديهم الوقت لتدعيم تحصيناتهم قبل محاولة الاختراق ، تمامًا كما هو الحال في العالم الحقيقي.
- الاختبار المستهدف - في هذا السيناريو ، يتعاون المختبر وموظفو الأمن ويتعقبون تحركات بعضهم البعض. هذا تمرين تدريبي ممتاز يمنح فريق الأمان ملاحظات في الوقت الفعلي من منظور المتسلل.
جدران حماية تطبيقات الويب واختبار الاختراق
اختبار الاختراق و WAFs هما طريقتان منفصلتان لكن مكملتان للأمن. من المرجح أن يستفيد المختبر من بيانات WAF ، مثل السجلات ، لإيجاد واستغلال المناطق الضعيفة للتطبيق في العديد من أنواع اختبار القلم (باستثناء الاختبارات العمياء والمزدوجة التعمية).
في المقابل ، يمكن أن تساعد بيانات اختبار القلم مسؤولي WAF. بعد الانتهاء من الاختبار ، يمكن تعديل تكوينات WAF للحماية من العيوب المكتشفة أثناء الاختبار.
أخيرًا ، يفي اختبار القلم ببعض متطلبات الامتثال لأساليب تدقيق الأمان ، مثل PCI DSS و SOC 2. لا يمكن تلبية متطلبات معينة ، مثل PCI-DSS 6.6 ، إلا إذا تم استخدام WAF معتمد. ومع ذلك ، نظرًا للفوائد المذكورة أعلاه وإمكانية تعديل إعدادات WAF ، فإن هذا لا يجعل اختبار القلم أقل فائدة.
ما هي أهمية اختبار أمان الويب؟
الهدف من اختبار أمان الويب هو تحديد الثغرات الأمنية في تطبيقات الويب وإعدادها. طبقة التطبيق هي الهدف الأساسي (أي ما يتم تشغيله على بروتوكول HTTP). يعد إرسال أشكال مختلفة من المدخلات إلى تطبيق ويب للحث على المشاكل وجعل النظام يستجيب بطرق غير متوقعة نهجًا شائعًا لاختبار أمانه. تبحث هذه "الاختبارات السلبية" لمعرفة ما إذا كان النظام يفعل أي شيء لم يكن من المفترض تحقيقه.
من الضروري أيضًا إدراك أن اختبار أمان الويب يستلزم أكثر من مجرد التحقق من ميزات أمان التطبيق (مثل المصادقة والترخيص). من الضروري أيضًا ضمان نشر الميزات الأخرى بأمان (على سبيل المثال ، منطق الأعمال واستخدام التحقق المناسب من صحة الإدخال وتشفير الإخراج). والغرض من ذلك هو التأكد من أن وظائف تطبيق الويب آمنة.
ما هي أنواع التقييمات الأمنية العديدة؟
- اختبار أمان التطبيق الديناميكي (DAST). يعد اختبار أمان التطبيق الآلي هذا هو الأنسب للتطبيقات منخفضة المخاطر والتي تواجه التطبيقات الداخلية والتي يجب أن تفي بمتطلبات الأمان التنظيمية. يُعد الجمع بين DAST وبعض اختبارات الأمان اليدوية عبر الإنترنت للكشف عن نقاط الضعف الشائعة أفضل استراتيجية للتطبيقات متوسطة الخطورة والتطبيقات الحاسمة التي تخضع لتغييرات طفيفة.
- فحص الأمان للتطبيقات الثابتة (SAST). تتضمن إستراتيجية أمان التطبيق هذه طرق اختبار آلية ويدوية. إنه مثالي لاكتشاف الأخطاء دون الحاجة إلى تشغيل التطبيقات في بيئة حية. كما يسمح للمهندسين بمسح كود المصدر لاكتشاف وإصلاح عيوب أمان البرامج بطريقة منهجية.
- فحص الاختراق. يعد اختبار أمان التطبيق اليدوي هذا مثاليًا للتطبيقات الأساسية ، لا سيما تلك التي تخضع لتغييرات كبيرة. للعثور على سيناريوهات هجوم متقدمة ، يستخدم التقييم منطق الأعمال والاختبار القائم على الخصم.
- تطبيق الحماية الذاتية في وقت التشغيل (RASP). تتضمن طريقة أمان التطبيق المتنامية هذه مجموعة متنوعة من التقنيات التكنولوجية لأداة تطبيق ما بحيث يمكن مراقبة التهديدات ، ونأمل أن يتم منعها في الوقت الفعلي عند حدوثها.
ما الدور الذي يلعبه اختبار أمان التطبيقات في تقليل مخاطر الشركة؟
تشمل الغالبية العظمى من الهجمات على تطبيقات الويب ما يلي:
- حقن SQL
- XSS (البرمجة النصية عبر المواقع)
- تنفيذ الأمر عن بعد
- هجوم اجتياز المسار
- الوصول إلى المحتوى المقيد
- حسابات المستخدمين المعرضة للخطر
- تثبيت التعليمات البرمجية الخبيثة
- إيرادات المبيعات المفقودة
- تآكل ثقة العملاء
- الإضرار بسمعة العلامة التجارية
- والكثير من الهجمات الأخرى
في بيئة الإنترنت الحالية ، قد يتضرر تطبيق الويب من خلال مجموعة متنوعة من التحديات. يوضح الرسم أعلاه عددًا قليلاً من الهجمات الأكثر شيوعًا التي يرتكبها المهاجمون ، والتي يمكن أن يتسبب كل منها في إلحاق ضرر كبير بتطبيق فردي أو نشاط تجاري بأكمله. إن معرفة الهجمات العديدة التي تجعل التطبيق عرضة للخطر ، وكذلك النتائج المحتملة للهجوم ، يسمح للشركة بحل نقاط الضعف في وقت مبكر واختبارها بفعالية.
يمكن وضع ضوابط التخفيف خلال المراحل الأولى من SDLC لمنع أي مشاكل من خلال تحديد السبب الجذري للثغرة الأمنية. أثناء اختبار أمان تطبيق الويب ، يمكن أيضًا استخدام المعرفة بكيفية عمل هذه التهديدات لاستهداف الأماكن المعروفة ذات الأهمية.
يعد التعرف على تأثير الهجوم أمرًا مهمًا أيضًا لإدارة مخاطر الشركة ، حيث يمكن استخدام تأثيرات هجوم ناجح لتحديد مدى خطورة الثغرة بشكل عام. إذا تم اكتشاف الثغرات الأمنية أثناء اختبار الأمان ، فإن تحديد مدى خطورتها يسمح للشركة بإعطاء الأولوية لجهود الإصلاح بشكل أكثر فعالية. لتقليل المخاطر التي تتعرض لها الشركة ، ابدأ بقضايا الخطورة الحرجة واعمل على تقليل تأثيرها.
قبل تحديد المشكلة ، سيساعدك تقييم التأثير المحتمل لكل برنامج في مكتبة تطبيقات الشركة على تحديد أولويات اختبار أمان التطبيق. يمكن جدولة اختبار أمان Wenb لاستهداف تطبيقات الشركة المهمة أولاً ، مع المزيد من الاختبارات المستهدفة لتقليل المخاطر ضد الأعمال. من خلال قائمة ثابتة من التطبيقات عالية المستوى ، يمكن جدولة اختبار أمان wenb لاستهداف التطبيقات الهامة للشركة أولاً ، مع المزيد من الاختبارات المستهدفة لتقليل المخاطر ضد الأعمال.
أثناء اختبار أمان تطبيق الويب ، ما الميزات التي يجب فحصها؟
أثناء اختبار أمان تطبيق الويب ، ضع في اعتبارك قائمة الميزات غير الشاملة التالية. قد يؤدي التنفيذ غير الفعال لكل منها إلى نقاط ضعف ، مما يعرض الشركة للخطر.
- تكوين التطبيق والخادم. تعد إعدادات التشفير/التشفير وتكوينات خادم الويب وما إلى ذلك أمثلة على العيوب المحتملة.
- التحقق من صحة الإدخال ومعالجة الخطأ يؤدي ضعف معالجة المدخلات والمخرجات إلى حقن SQL والبرمجة النصية عبر المواقع (XSS) ومشكلات الحقن النموذجية الأخرى.
- توثيق وصيانة الجلسات. الثغرات الأمنية التي قد تؤدي إلى انتحال هوية المستخدم. يجب أن تؤخذ قوة الاعتماد والحماية في الاعتبار أيضًا.
- تفويض. يتم الآن اختبار قدرة التطبيق على الحماية من تصعيد الامتيازات الرأسي والأفقي.
- المنطق في العمل. تعتمد معظم البرامج التي توفر وظائف الأعمال على هذه.
- المنطق في نهاية العميل. أصبح هذا النوع من الميزات أكثر شيوعًا مع صفحات الويب الحديثة التي تحتوي على JavaScript ، بالإضافة إلى صفحات الويب التي تستخدم أنواعًا أخرى من تقنيات جانب العميل (على سبيل المثال ، Silverlight ، Flash ، تطبيقات Java الصغيرة).
للتعرف بالتفصيل على منهج الشهادات ، يمكنك توسيع الجدول أدناه وتحليله.
يشير منهج شهادة اختبار الاختراق لتطبيقات الويب EITC/IS/WAPT إلى مواد تعليمية مفتوحة الوصول في شكل فيديو. تنقسم عملية التعلم إلى هيكل خطوة بخطوة (برامج -> دروس -> موضوعات) تغطي أجزاء المنهج ذات الصلة. كما يتم توفير استشارات غير محدودة مع خبراء المجال.
للحصول على تفاصيل حول التحقق من إجراءات الشهادة كيف تعمل.
قم بتنزيل المواد التحضيرية الكاملة للتعلم الذاتي دون الاتصال بالإنترنت لبرنامج اختبار اختراق تطبيقات الويب EITC/IS/WAPT في ملف PDF
المواد التحضيرية لـ EITC/IS/WAPT - الإصدار القياسي
المواد التحضيرية لـ EITC/IS/WAPT - نسخة موسعة مع أسئلة المراجعة