Hvordan lærer man webapplikationssikkerhed?

Af
Tweet
Share
Share
Pin

Websikkerhed er en rigtig ting, og det er bedre at erkende det hurtigere end at vente på, at noget slemt sker.

Hurtige fremskridt inden for teknologi, herunder webtjenester og applikationer, har revolutioneret moderne virksomheder. Mange virksomheder har flyttet deres fleste operationer online, hvilket giver medarbejdere og forretningspartnere fra alle dele af verden mulighed for nemt at samarbejde og dele data i realtid.

Efter at de moderne HTML5-webapps og Web 2.0 blev introduceret, ændrede kundernes krav sig. Nu vil alle have adgang til enhver information, de måtte have brug for 24/7/365. Som et resultat bliver online-virksomheder også presset til at gøre deres data tilgængelige hele tiden.

Mens den globale lockdown-periode måske har været ret godt for dem, der arbejder hjemmefra og online-forhandlere, har det også gavnet cyberkriminelle enormt.

De stigende onlinetransaktioner og fjernarbejde tillod dem at hacke masser af kreditkortoplysninger og målrette fjernarbejdere og deres organisationer. Dette fremskridt inviterede også svindlere og ondsindede hackere, som nu og da udvikler nye trusselsvektorer.

I år var omkring 80 % af virksomhederne vidne til en stigning i cyberangreb, hvorimod Coronavirus gav næring til en 238 % stigning i trusler mod banker, siger en rapport.

For at afbøde alle disse angreb blev webapplikationssikkerhed født langt tilbage. Og denne industri kræver dygtige fagfolk, der kan redde organisationer fra at miste data, penge og forbrugertillid.

Dette er formålet med denne artikel, hvor du vil forstå ting om sikkerhed, hvad der forventes af websikkerhedsprofessionelle og kilder, hvorfra du kan lære og mestre færdighederne.

Så lad os begynde?

Hvad er webapplikationssikkerhed?

Websikkerhed, cybersikkerhed eller webapplikationssikkerhed er måden at beskytte onlinetjenester og websteder mod forskellige trusler, der udnytter de sårbarheder, der er forbundet med en applikations koder.

Nogle af de almindelige mål for disse angreb er databasestyringsløsninger som phpMyAdmin, SaaS-applikationer, indholdsstyringssystemer (CMS) som WordPress og mere.

Websikkerhed sigter mod at forhindre sådanne angreb ved at nægte uautoriseret adgang, brug, ødelæggelse/afbrydelse eller ændring.

Så hvad er grunden til, at angribere målretter bredt mod webapplikationer?

  • Applikationskildekodens iboende kompleksitet, hvilket øger sandsynligheden for sårbarheder samt kodemanipulation.
  • Applikationer er nemme at udføre; derfor kan angribere nemt starte eller automatisere de fleste af angrebene, som kan målrettes mod tusindvis af applikationer ad gangen.
  • Bytte af høj værdi, der inkluderer følsomme og private data gennem manipulation med kildekode samt økonomisk bytte

Almindelige typer af sårbarhed

Cross-site Scripting (XSS)

XSS giver angribere mulighed for at indsætte scripts på klientsiden på en webside og få adgang til vigtige data direkte, narre brugere til at afsløre vigtige data eller efterligne brugere. Dets konsekvenser inkluderer adgang til konti, aktivering af trojanske heste, ændring af sideindhold osv.

Cross-site Request Forgery (CSRF)

CSRF tricker ofre, hvor de fremsætter en anmodning, der udnytter deres autorisation eller autentificering. Derfor kan angribere gennem disse kontoprivilegier fremsætte anmodninger, der efterligner brugeren. Det kan resultere i pengeoverførsel, ændringer af adgangskode osv.

Denial of Service (DoS) & Distributed Denial of Service (DDoS)

Angribere overbelaster den målrettede server og/eller dens infrastruktur med forskellig angrebstrafik. Når først serveren bliver ude af stand til at behandle inkling-anmodninger effektivt, begynder den at opføre sig trægt og nægter service til sidst til flere indkommende anmodninger, selv fra legitime besøgende.

  Sådan repareres en langsom eller ikke-responsiv Mac

SQL-injektion 💉

Metoden en angriber bruger til at udnytte sårbarheder, der ligner den måde, databaser implementerer søgeforespørgsler på. Angribere bruger SQI til at få adgang til uautoriserede data, oprette eller ændre brugertilladelser, ødelægge eller manipulere følsomme data og mere.

Fjernfilinkludering

Angribere bruger det til at injicere ondsindede filer med koder i en web-app-server for at udføre disse koder for at skade applikationen, manipulere den og udføre datatyveri.

Andre

Andre angreb omfatter hukommelseskorruption, databrud, clickjacking, mappegennemgang, kommandoindsprøjtning, smøroverløb og mere.

Jeg håber, at disse er nok til at forstå, at websikkerhed er tidens behov, og hvorfor alle skal implementere det så hurtigt som muligt, før det kan udgøre nogen trussel mod din applikation og skade dig økonomisk eller omdømmemæssigt for den sags skyld.

På grund af dets voksende krav kommer mange mennesker frem for at lære. Og hvis du er ivrig efter at lære dette emne, kan det være en god karrieremulighed og gavnlig på det personlige plan.

Hvad laver websikkerhedsprofessionelle?

Websikkerhedsprofessionelle er dem, der er ansvarlige for at beskytte webapplikationer, relevante netværk og applikationsdata. De hjælper med at afbøde databrud ved at overvåge netværket og reagere på trusler.

Disse fagfolk har baggrunde som netværks- eller systemadministratorer, programmører. Det er fordi dette område kræver nysgerrighed, kritisk tænkning, passion for forskning og læring. De skal være i stand til at overliste hackere, der er “destruktivt kreative” til at udvikle og injicere forskellige trusler.

Da sikkerhedstrusler kan dukke op når som helst, skal sikkerhedsprofessionelle holde sig opdateret med alle de nyeste taktikker, hackere anvender for at snige sig ind i systemer og netværk. Nogle af websikkerhedsprofessionelles ansvar er:

  • Find sårbarheder i webapplikationer, databaser og kryptering.
  • Afbød angreb ved at rette sikkerhedsproblemer
  • Udfør regelmæssige revisioner for at sikre bedste sikkerhedspraksis
  • Implementer værktøjer til forebyggelse og registrering af slutpunkter for at forhindre ondsindede angreb
  • Implementer systemer til sårbarhedsstyring på tværs af aktiver i skyen og på stedet
  • Håndter oprydning i tilfælde af angreb
  • Arbejd sammen med andre it-operationer for at planlægge gendannelse efter katastrofe.
  • Arbejd med teamledere og HR for at uddanne alle medarbejdere til at opdage mistænkelige aktiviteter.

Nogle bedste sikkerhedspraksis til at sikre webapplikationer

Brug af webapplikations firewalls (WAF)

WAF hjælper med at beskytte dine webapplikationer mod ondsindede HTTP-anmodninger. Det placerer en barriere mellem angriberen og din server. Det kan beskytte lag syv mod trusler som XSS, CSRF, SQL-injektion osv.

DDoS-reduktion

Som navnet antyder, bruges det til at afbøde applikations DDoS og netværkslagsangreb og dermed sikre websteder, applikationer og serverinfrastruktur.

Bot 🤖 filtrering

Det er implementeret for at bortfiltrere dårlig bottrafik.

DNS beskyttelse

Det gøres for at beskytte din DNS-anmodning mod at blive kapret gennem on-path-angreb og DNS-cacheforgiftning.

Brug af HTTPS

HTTPS krypterer alle data, der udveksles mellem serveren og din klient for at beskytte loginoplysninger, headeroplysninger, cookies, anmodningsdata osv.

Så hvis du har besluttet dig for at lære webapplikationssikkerhed, kan du henvise til følgende læringsressourcer og skærpe dine færdigheder 🧑‍💻.

PortSwigger

Lær af skaberne af Burp Suite – en førende platform for en række cybersikkerhedsværktøjer ved PortSwigger. Det er en online og GRATIS uddannelse, der kan booste din karriere inden for cybersikkerhed.

Med interaktive laboratorier kan du lære når som helst og hvor som helst samt spore dine fremskridt over tid. Det giver træning i forretningslogiske sårbarheder, afsløring af oplysninger, webcache-forgiftning, usikker deserialisering, SQL-injektion, XSS, CSRF, XXE-injektion og mere.

  Jeg betalte $42 for Apple for at installere en skærmbeskytter, og jeg er ikke engang gal

PortSwiggers læringsmateriale er lavet af erfarne fagfolk, forskningsteam og deres grundlægger – Dafydd Stuttard. Han er også forfatter til en berømt bog kaldet Web Application Hacker’s Handbook.

Selvstudierne forklares udførligt i tekst- og videoindholdet for at hjælpe med at huske nøglepunkter nemt. Deres interaktive laboratorier gør det overordnede kursus spændende, og det er her, de stiller realistiske puslespil for at teste dine hackingfærdigheder.

EdX

Web Security Fundamentals af EdX er fantastisk til at forstå de grundlæggende principper. Det giver dig et overblik over almindelige angreb og modforanstaltninger, der kun er teatralsk og praktisk egnet til hver af dem.

De lærer dig også den bedste sikkerhedspraksis, der er gældende i øjeblikket for at sikre webapplikationer. Hvis du ønsker at deltage på kurset, behøver du nødvendigvis ingen forudgående sikkerhedsviden. Men hvis du gør det, vil det hjælpe dig meget med at forstå ting bedre som HTTP, JavaScript, HTML osv.

Kursuslængden er 5 uger, hvilket omfatter 4-6 timer om ugen. Det er helt GRATIS at lære; Hvis du vil, kan du dog betale 48,97 USD for at få et verificeret og instruktør-signeret certifikat med et logo fra institutionen på. Dette certifikat kan bruges til at øge jobmulighederne og kan deles på LinkedIn eller kan indarbejdes på dit CV eller CV.

Stanford

CS 253 Web Security-kurset af Stanford tilbyder det komplette websikkerhedsresumé og har til formål at få eleverne til at forstå de almindelige webangreb og hvordan man kan forhindre dem. Kurset dækker ikke kun det grundlæggende, men også de avancerede holdninger til websikkerhed.

Nogle af emnerne omfatter:

  • Websikkerhedsprincipper
  • Angreb og modforanstaltninger
  • Webapplikationssårbarheder
  • Browser sikkerhedsmodel
  • Injection-, DoS- og TLS-angreb
  • Fingeraftryk, privatliv, politik for samme oprindelse, godkendelse, cross-site scripting, JavaScript-sikkerhed
  • Forsvar i dybden
  • Nye trusler
  • Teknikker til at skrive sikre koder, sikkerhedsudnyttelser
  • Implementering af udviklende webstandarder og forsvar af svage webapps

For at tage dette kursus skal du have gennemgået CS 142 eller anden tilsvarende erfaring med webudvikling. Her er fremmødepligt, og karaktergivning sker ud fra:

  • 75% på opgaver
  • 25% på den afsluttende eksamen

For at forberede dig bedre kan du læse løsningen til Afsluttende eksamen 2019 og andre prøvespørgsmål til CS 253.

Begynder venlig

Utvivlsomt, Udemy er et af de bedste steder at studere online til forskellige kurser; webapplikationssikkerhed er en af ​​dem. Hvis du er nybegynder, er dette kursus fantastisk for dig, da det ikke kræver nogen forudgående kodningsviden.

På dette kursus vil du lære:

  • Identifikation af de 10 bedste trusler opdaget af OWASP eller Open Web Application Security Project
  • Forstå, hvordan disse trusler kan afbødes
  • Virkningen af ​​hver trussel på din virksomhed
  • Hvordan angribere udfører disse trusler

Kurset er forklaret på det nemmeste sprog, så alle med lidt information på internettet og computeren kan forstå det. Det dækker også dybdegående forsvar, en forklaring på spoofing, afsløring af oplysninger, manipulation, afvisning, forhøjelse af privilegier og DoS.

Erfarne undervisere er der for at lære dig alt, hvad du behøver for at mestre det grundlæggende i websikkerhed.

Coursera

En anden meget god mulighed på listen er Coursera, som lærer, hvordan du kan bruge OWASP ZAP eller Zed Attack Proxy. Dette værktøj hjælper sikkerhedsprofessionelle såvel som penetrationstestere med at finde sårbarheder.

  • De lærer, hvordan du kan scanne for sårbarheder, analysere scanningsresultater, generere rapporter ud af dem osv.
  • Du vil også lære browser proxy-konfiguration til at scanne svar og anmodninger passivt ved at udforske websteder.
  • En kort forklaring på, hvordan man kan se, opsnappe, videresende og ændre webanmodninger, der forekommer mellem webapplikationen og browseren.
  • Desuden lærer du at bruge ordbogslister til at finde mapper og filer på din webserver.
  • Desuden kan du forstå, hvordan du kan spider crawle websteder for at finde URL’er og links.
  Opret arbejdsopdelingsstruktur med disse 10 værktøjer

Kursusinstruktørerne guider dig trin-for-trin hvert emne i videoen med opdelt skærm, og da det er på skyen, behøver du ikke spilde tid på at downloade. Coursera giver certifikater inkluderet for hvert program uden ekstra omkostninger.

PentesterLab

PentesterLab dækker fra grundlæggende til avancerede niveauer. De lærer dig, hvordan du finder og derefter udnytter sårbarheder manuelt. Alle deres øvelser dækker almindelige svagheder eller problemer, der findes i forskellige systemer.

For bedre læring giver de rigtige systemer og reelle sårbarheder, så du kan lære i realtid uden emulering. Deres online øvelser giver dig mulighed for at få certifikater efter kursets afslutning. Alle øvelserne er opdelt i badges, som du kan afslutte for at få certifikatet.

Youtube

Youtube er omdrejningspunktet for viden; du skal bare bruge det på den rigtige måde!

Så der er en kanal – Google Chrome Developers med 505.000 abonnenter på YouTube, som du kan slå op for at lære.

I denne tutorial kan du forstå nogle typiske angrebsvektorer, og hvordan du kan beskytte dine data, brugere og omdømme. Dernæst vil du blive introduceret til et nyt kursus, som har til formål at give kortfattede forelæsninger og praktiske øvelser om emner, herunder både forsvar og angreb.

Mozilla

Slå op til MDN web docs af Mozilla og få adgang til nyttige artikler om websikkerhed. Artiklerne anført her dækker en række emner som indholdssikkerhed, forbindelsessikkerhed, datasikkerhed, informationslækage, dataintegritet, clickjacking-beskyttelse, brugerdatasikkerhed osv.

Oplysningerne fra disse artikler vil hjælpe dig med at beskytte dit websted og alle dets koder mod datatyveri og angreb. Du kan lære nogle interessante ting, såsom hvordan du kan rette dit websted, at have blokeret blandet indhold, om signaturalgoritmer og mere.

Invicti

En omfattende artikel af Invicti er egnet til at forklare det smarte ved webapplikationssikkerhed. Det er fremragende skrevet for at hjælpe selv begyndere med at forstå de termer og teknologier, der bruges i websikkerhed.

I artiklen forklares myterne og det grundlæggende om webapp-sikkerhed, og hvordan nutidens virksomheder kan forbedre deres websteds- og applikationssikkerhed for at holde cyberangribere på afstand.

Her lærer du:

  • Sådan sikrer du dine webapplikationer
  • Valg af den rigtige sårbarhedsscanner
  • Forskellen mellem gratis vs. kommerciel web sårbarhedsscanner
  • Hvordan du kan teste din sårbarhedsscanner, og hvornår du skal bruge den
  • Nogle bedste fremgangsmåder til at sikre din webserver såvel som andre komponenter

SANS

Tag dette kursus op – SEC22 fra SANS hvis du sigter mod at forsvare webapplikationer. Det vil hjælpe dig med at forstå alle sikkerhedssårbarheder forbundet med din webapplikation, så du kan beskytte dine webaktiver.

Kurset introducerer dig til afbødningsteknikker for arkitektur, infrastruktur og kodning sammen med virkelige metoder. Du vil blive fortrolig med karakteren af ​​disse sårbarheder for at forstå, hvorfor de opstår, og hvordan du kan afbøde dem.

Det er velegnet til personer, der er ansvarlige for at administrere, implementere eller forsvare webapplikationer. Det kan omfatte appsikkerhedsanalytikere, arkitekter, udviklere, revisioner, pennetestere osv.

Kurset vil dække emner som:

  • OWASP bedste 10 trusler
  • Specifikke problemer fra CWE top 25 softwarefejl
  • Integrering af cloud i en webapp
  • Appens sprogkonfiguration
  • Infrastrukturkonfiguration og sikkerhedsstyring
  • Autentificeringsmekanismer
  • HTTP-headere
  • Fejl i forretningslogik
  • Kodningsfejl som XSS, CSRF, SQL-injektion osv.

Hvis du forstår det grundlæggende i webapp-koncepter og -teknologier som JavaScript og HTML, er du god til at gå på kurset.

Cloudflare

Dette er en anden artikel på listen af Cloudflare som dækker ting om webapplikationssikkerhed.

Helt præcist forklarer den:

  • Hvad meningen med denne terminologi er,
  • Nogle typiske sårbarheder, og så
  • Bedste fremgangsmåder til at forhindre sårbarheder i websikkerhed

Læs denne artikel for at afklare nogle grundlæggende begreber, som vil hjælpe dig meget, når du tilmelder dig et webapplikationssikkerhedsprogram.

Konklusion

At lære webapplikationssikkerhed er blevet afgørende, da cyberangrebene er hastigt stigende.

Alt det bedste!