EITC/IS/WASF वेब एप्लिकेसन सेक्युरिटी फन्डामेन्टल्स भनेको आधारभूत वेब प्रोटोकलको सुरक्षादेखि लिएर गोपनीयता, धम्की र वेब ट्राफिक नेटवर्क संचार, वेबका विभिन्न तहहरूमा आक्रमणहरू मार्फत वर्ल्ड वाइड वेब सेवाहरूको सुरक्षाको सैद्धान्तिक र व्यावहारिक पक्षहरूमा युरोपेली आईटी प्रमाणीकरण कार्यक्रम हो। सर्भर सुरक्षा, उच्च तहहरूमा सुरक्षा, वेब ब्राउजरहरू र वेब अनुप्रयोगहरू, साथै प्रमाणीकरण, प्रमाणपत्रहरू र फिसिङ सहित।
EITC/IS/WASF वेब अनुप्रयोग सुरक्षा आधारभूतहरूको पाठ्यक्रमले HTML र JavaScript वेब सुरक्षा पक्षहरू, DNS, HTTP, कुकीहरू, सत्रहरू, कुकीहरू र सत्र आक्रमणहरू, समान मूल नीति, क्रस-साइट अनुरोध जालसाजी, उही अपवादहरूको परिचय समावेश गर्दछ। उत्पत्ति नीति, क्रस-साइट स्क्रिप्टिङ (XSS), क्रस-साइट स्क्रिप्टिङ प्रतिरक्षा, वेब फिंगरप्रिन्टिङ, वेबमा गोपनीयता, DoS, फिसिङ र साइड च्यानलहरू, सेवा अस्वीकार, फिसिङ र साइड च्यानलहरू, इंजेक्शन आक्रमणहरू, कोड इंजेक्शन, यातायात तह सुरक्षा (TLS) र आक्रमणहरू, वास्तविक संसारमा HTTPS, प्रमाणीकरण, WebAuthn, वेब सुरक्षा व्यवस्थापन, Node.js परियोजनामा सुरक्षा चिन्ताहरू, सर्भर सुरक्षा, सुरक्षित कोडिङ अभ्यासहरू, स्थानीय HTTP सर्भर सुरक्षा, DNS रिबाइन्डिङ आक्रमणहरू, ब्राउजर आक्रमणहरू, ब्राउजर। वास्तुकला, साथै निम्न संरचना भित्र सुरक्षित ब्राउजर कोड लेख्ने, यस EITC प्रमाणीकरणको लागि सन्दर्भको रूपमा व्यापक भिडियो शिक्षात्मक सामग्री समावेश गर्दै।
वेब अनुप्रयोग सुरक्षा सूचना सुरक्षाको एक उपसमूह हो जुन वेबसाइट, वेब अनुप्रयोग, र वेब सेवा सुरक्षामा केन्द्रित हुन्छ। वेब अनुप्रयोग सुरक्षा, यसको सबैभन्दा आधारभूत स्तरमा, अनुप्रयोग सुरक्षा सिद्धान्तहरूमा आधारित छ, तर यो विशेष गरी इन्टरनेट र वेब प्लेटफार्महरूमा लागू हुन्छ। वेब अनुप्रयोग सुरक्षा प्रविधिहरू, जस्तै वेब अनुप्रयोग फायरवालहरू, HTTP ट्राफिकसँग काम गर्ने विशेष उपकरणहरू हुन्।
ओपन वेब एप्लिकेसन सेक्युरिटी प्रोजेक्ट (OWASP) ले नि:शुल्क र खुला दुवै स्रोतहरू प्रदान गर्दछ। एक गैर-लाभकारी OWASP फाउन्डेसन यसको जिम्मेवार छ। 2017 OWASP शीर्ष 10 हालको अध्ययनको नतिजा हो जुन 40 भन्दा बढी साझेदार संस्थाहरूबाट सङ्कलन गरिएको विस्तृत डेटामा आधारित छ। लगभग 2.3 मिलियन भेद्यताहरू यो डाटा प्रयोग गरेर 50,000 भन्दा बढी अनुप्रयोगहरूमा पत्ता लगाइयो। OWASP शीर्ष 10 - 2017 अनुसार शीर्ष दस सबैभन्दा महत्त्वपूर्ण अनलाइन आवेदन सुरक्षा चिन्ताहरू हुन्:
- इंजेक्शन
- प्रमाणीकरण समस्याहरू
- खुलासा संवेदनशील डाटा XML बाह्य संस्थाहरू (XXE)
- पहुँच नियन्त्रण जसले काम गरिरहेको छैन
- सुरक्षा को गलत कन्फिगरेसन
- साइट-देखि-साइट स्क्रिप्टिङ (XSS)
- डिसिरियलाइजेसन जुन सुरक्षित छैन
- ज्ञात त्रुटिहरू भएका घटकहरू प्रयोग गर्दै
- लगिङ र अनुगमन अपर्याप्त छ।
त्यसैले एप्लिकेसनको कोडमा भएका कमजोरीहरूको शोषण गर्ने विभिन्न सुरक्षा खतराहरू विरुद्ध वेबसाइटहरू र अनलाइन सेवाहरूलाई बचाउने अभ्यासलाई वेब अनुप्रयोग सुरक्षा भनिन्छ। सामग्री व्यवस्थापन प्रणालीहरू (जस्तै, वर्डप्रेस), डाटाबेस व्यवस्थापन उपकरणहरू (जस्तै, phpMyAdmin), र SaaS एपहरू अनलाइन अनुप्रयोग आक्रमणहरूका लागि सबै सामान्य लक्ष्यहरू हुन्।
वेब एप्लिकेसनहरूलाई अपराधीहरूद्वारा उच्च प्राथमिकताको लक्ष्य मानिन्छ किनभने:
- तिनीहरूको स्रोत कोडको जटिलताको कारण, अटेन्डिङ कमजोरीहरू र मालिसियस कोड परिमार्जन बढी सम्भावना हुन्छ।
- उच्च-मूल्य पुरस्कारहरू, जस्तै प्रभावकारी स्रोत कोड छेडछाड मार्फत प्राप्त संवेदनशील व्यक्तिगत जानकारी।
- कार्यान्वयनको सहजता, किनकि धेरैजसो आक्रमणहरू सजिलै स्वचालित र हजारौं, दशौं, वा सयौं हजारौं लक्ष्यहरू विरुद्ध एकैचोटि प्रयोग गर्न सकिन्छ।
- संगठनहरू जो तिनीहरूको वेब अनुप्रयोगहरू सुरक्षित गर्न असफल हुन्छन् आक्रमणको जोखिममा छन्। यसले डाटा चोरी, तनावग्रस्त ग्राहक सम्बन्ध, रद्द गरिएको इजाजतपत्र, र कानुनी कारबाही, अन्य चीजहरूको बीचमा निम्त्याउन सक्छ।
वेबसाइटहरूमा कमजोरीहरू
इनपुट/आउटपुट सेनिटाइजेसन त्रुटिहरू वेब अनुप्रयोगहरूमा सामान्य छन्, र तिनीहरू प्राय: स्रोत कोड परिवर्तन गर्न वा अनाधिकृत पहुँच प्राप्त गर्न शोषण हुन्छन्।
यी त्रुटिहरूले विभिन्न आक्रमण भेक्टरहरूको शोषणको लागि अनुमति दिन्छ, जसमा:
- SQL इंजेक्शन - जब एक अपराधीले दुर्भावनापूर्ण SQL कोडको साथ ब्याकएन्ड डाटाबेस हेरफेर गर्छ, जानकारी प्रकट हुन्छ। अवैध सूची ब्राउजिङ, तालिका मेटाउने, र अनाधिकृत प्रशासक पहुँच परिणामहरू बीचमा छन्।
- XSS (क्रस-साइट स्क्रिप्टिङ) एक इंजेक्शन आक्रमण हो जसले खाताहरूमा पहुँच प्राप्त गर्न, ट्रोजन सक्रिय गर्न, वा पृष्ठ सामग्री परिवर्तन गर्न प्रयोगकर्ताहरूलाई लक्षित गर्दछ। जब दुर्भावनापूर्ण कोड सिधै एप्लिकेसनमा इन्जेक्ट गरिन्छ, यसलाई भण्डारण गरिएको XSS भनिन्छ। जब दुर्भावनापूर्ण स्क्रिप्टलाई प्रयोगकर्ताको ब्राउजरमा एप्लिकेसनबाट प्रतिबिम्बित गरिन्छ, यसलाई प्रतिबिम्बित XSS भनिन्छ।
- टाढाको फाइल समावेश - आक्रमणको यो रूपले ह्याकरलाई टाढाको स्थानबाट वेब अनुप्रयोग सर्भरमा फाइल इन्जेक्ट गर्न अनुमति दिन्छ। यसले खतरनाक स्क्रिप्ट वा कोडलाई एप भित्र कार्यान्वयन गर्न, साथै डेटा चोरी वा परिमार्जन गर्न सक्छ।
- क्रस-साइट रिक्वेस्ट फोर्जरी (CSRF) - एक प्रकारको आक्रमण जसले नगद, पासवर्ड परिवर्तन, वा डाटा चोरीको अनपेक्षित स्थानान्तरण गर्न सक्छ। यो तब हुन्छ जब कुनै मालिसियस वेब प्रोग्रामले प्रयोगकर्ताको ब्राउजरलाई वेवसाइटमा लगइन भएकोमा अनावश्यक कार्य सञ्चालन गर्न निर्देशन दिन्छ।
सिद्धान्तमा, प्रभावकारी इनपुट/आउटपुट सेनिटाइजेसनले सबै कमजोरीहरूलाई मेटाउन सक्छ, अनाधिकृत परिमार्जनको लागि अभेद्य अनुप्रयोग रेन्डर गर्दै।
यद्यपि, धेरैजसो कार्यक्रमहरू विकासको स्थायी अवस्थामा भएकाले, व्यापक सरसफाइ विरलै व्यवहार्य विकल्प हो। यसबाहेक, एपहरू सामान्यतया एकअर्कासँग एकीकृत हुन्छन्, परिणामस्वरूप कोडेड वातावरण बढ्दो जटिल हुँदै गइरहेको छ।
त्यस्ता खतराहरूबाट बच्न, वेब अनुप्रयोग सुरक्षा समाधानहरू र प्रक्रियाहरू, जस्तै PCI डाटा सुरक्षा मानक (PCI DSS) प्रमाणीकरण, लागू गरिनुपर्छ।
वेब अनुप्रयोगहरूको लागि फायरवाल (WAF)
WAFs (वेब एप्लिकेसन फायरवालहरू) हार्डवेयर र सफ्टवेयर समाधानहरू हुन् जसले अनुप्रयोगहरूलाई सुरक्षा खतराहरूबाट जोगाउँछन्। यी समाधानहरू कुनै पनि कोड सेनिटाइजेसन त्रुटिहरूको लागि क्षतिपूर्ति, आक्रमण प्रयासहरू पत्ता लगाउन र रोक्नको लागि आगमन ट्राफिक निरीक्षण गर्न डिजाइन गरिएको हो।
WAF डिप्लोइमेन्टले PCI DSS प्रमाणीकरणको लागि डेटा चोरी र परिमार्जन विरुद्ध सुरक्षा गरेर एक महत्वपूर्ण मापदण्डलाई सम्बोधन गर्दछ। आवश्यकता 6.6 अनुसार, डाटाबेसमा राखिएका सबै क्रेडिट र डेबिट कार्डधारक डाटा सुरक्षित हुनुपर्छ।
किनभने यसलाई नेटवर्कको किनारमा यसको DMZ भन्दा अगाडि राखिएको छ, WAF स्थापना गर्दा सामान्यतया एप्लिकेसनमा कुनै परिवर्तन आवश्यक पर्दैन। यसले त्यसपछि सबै आगमन ट्राफिकको लागि गेटवेको रूपमा काम गर्दछ, खतरनाक अनुरोधहरूलाई फिल्टर गरेर तिनीहरूले एप्लिकेसनसँग अन्तर्क्रिया गर्न सक्नु अघि।
कुन ट्राफिकलाई एप्लिकेसनमा पहुँच गर्न अनुमति दिइन्छ र कुनलाई हटाउनु पर्छ भनेर मूल्याङ्कन गर्न, WAF ले विभिन्न प्रकारका हेरिस्टिकहरू प्रयोग गर्छन्। नियमित रूपमा अद्यावधिक गरिएको हस्ताक्षर पूलको लागि तिनीहरूले द्रुत रूपमा खराब अभिनेताहरू र ज्ञात आक्रमण भेक्टरहरू पहिचान गर्न सक्छन्।
लगभग सबै WAF हरू व्यक्तिगत प्रयोगका केसहरू र सुरक्षा नियमहरू, साथै उभरिरहेको (शून्य-दिनको रूपमा पनि चिनिन्छ) खतराहरूसँग लड्न मिलाउन सकिन्छ। अन्तमा, आगमन आगन्तुकहरूमा थप अन्तरदृष्टि प्राप्त गर्न, धेरै आधुनिक समाधानहरूले प्रतिष्ठा र व्यवहार डेटा प्रयोग गर्दछ।
सुरक्षा परिधि निर्माण गर्न, WAF हरू सामान्यतया अतिरिक्त सुरक्षा समाधानहरूसँग जोडिन्छन्। यसमा डिस्ट्रिब्युटेड डिनायल-अफ-सर्भिस (DDoS) रोकथाम सेवाहरू समावेश हुन सक्छन्, जसले उच्च-भोल्युम आक्रमणहरू रोक्न आवश्यक अतिरिक्त स्केलेबिलिटी दिन्छ।
वेब अनुप्रयोग सुरक्षाको लागि चेकलिस्ट
WAFs बाहेक वेब एपहरू सुरक्षित गर्नका लागि विभिन्न तरिकाहरू छन्। कुनै पनि वेब अनुप्रयोग सुरक्षा चेकलिस्टले निम्न प्रक्रियाहरू समावेश गर्नुपर्छ:
- डाटा सङ्कलन — हातले अनुप्रयोगमा जानुहोस्, प्रविष्टि बिन्दुहरू र ग्राहक-साइड कोडहरू खोज्दै। तेस्रो पक्षद्वारा होस्ट गरिएको सामग्रीलाई वर्गीकृत गर्नुहोस्।
- प्राधिकरण - एप्लिकेसन परीक्षण गर्दा पथ ट्र्याभर्सल, ठाडो र तेर्सो पहुँच नियन्त्रण मुद्दाहरू, हराइरहेको प्राधिकरण, र असुरक्षित, प्रत्यक्ष वस्तु सन्दर्भहरू खोज्नुहोस्।
- क्रिप्टोग्राफीको साथ सबै डाटा प्रसारणहरू सुरक्षित गर्नुहोस्। के कुनै संवेदनशील जानकारी इन्क्रिप्ट गरिएको छ? के तपाईंले कुनै पनि एल्गोरिदमहरू प्रयोग गर्नुभएको छ जुन स्नफमा छैन? के त्यहाँ कुनै अनियमितता त्रुटिहरू छन्?
- सेवाको अस्वीकार — सेवा आक्रमणहरूको अस्वीकार विरुद्ध एप्लिकेसनको लचिलोपन सुधार गर्न एन्टि-स्वचालित, खाता लकआउट, HTTP प्रोटोकल DoS, र SQL वाइल्डकार्ड DoS को लागि परीक्षण। यसले उच्च-भोल्युम DoS र DDoS आक्रमणहरू विरुद्ध सुरक्षा समावेश गर्दैन, जसको प्रतिरोध गर्न फिल्टरिङ प्रविधिहरू र स्केलेबल स्रोतहरूको मिश्रण चाहिन्छ।
थप विवरणहरूको लागि, कसैले OWASP वेब अनुप्रयोग सुरक्षा परीक्षण धोखा पाना जाँच गर्न सक्छ (यो अन्य सुरक्षा-सम्बन्धित विषयहरूको लागि पनि उत्कृष्ट स्रोत हो)।
DDoS सुरक्षा
DDoS आक्रमणहरू, वा वितरित अस्वीकार-अफ-सेवा आक्रमणहरू, वेब अनुप्रयोगलाई अवरोध गर्ने एक सामान्य तरिका हो। सामग्री डेलिभरी नेटवर्क (CDNs) मा भोल्युमेट्रिक आक्रमण ट्राफिक खारेज गर्ने र सेवामा अवरोध नआउने वास्तविक अनुरोधहरूलाई उचित रूपमा मार्ग गर्न बाह्य नेटवर्कहरू प्रयोग गर्ने सहित DDoS आक्रमणहरू कम गर्नका लागि थुप्रै तरिकाहरू छन्।
DNSSEC (डोमेन नाम प्रणाली सुरक्षा विस्तार) सुरक्षा
डोमेन नाम प्रणाली, वा DNS, इन्टरनेटको फोनबुक हो, र यसले कसरी इन्टरनेट उपकरण, जस्तै वेब ब्राउजरले सान्दर्भिक सर्भर फेला पार्छ भनेर देखाउँछ। DNS क्यास विषाक्तता, अन-पथ आक्रमणहरू, र DNS लुकअप जीवनचक्रमा हस्तक्षेप गर्ने अन्य माध्यमहरू खराब अभिनेताहरूले यो DNS अनुरोध प्रक्रियालाई हाइज्याक गर्न प्रयोग गर्नेछन्। यदि DNS इन्टरनेटको फोन बुक हो भने, DNSSEC unspoofable कलर ID हो। DNS लुकअप अनुरोध DNSSEC प्रविधि प्रयोग गरेर सुरक्षित गर्न सकिन्छ।
प्रमाणीकरण पाठ्यक्रमको साथमा आफूलाई विस्तृत रूपमा परिचित गर्न तपाईंले तलको तालिका विस्तार र विश्लेषण गर्न सक्नुहुन्छ।
EITC/IS/WASF Web Applications Security Fundamentals Certification Curriculum ले भिडियो फारममा खुला-पहुँच डिड्याक्टिक सामग्रीहरू सन्दर्भ गर्दछ। सिकाइ प्रक्रियालाई चरण-दर-चरण संरचना (कार्यक्रमहरू -> पाठहरू -> विषयहरू) सान्दर्भिक पाठ्यक्रम भागहरू समावेश गरी विभाजन गरिएको छ। डोमेन विशेषज्ञहरूसँग असीमित परामर्श पनि प्रदान गरिन्छ।
प्रमाणीकरण प्रक्रियामा विवरणहरूको लागि जाँच गर्नुहोस् कसरी यो काम गर्दछ.
EITC/IS/WASF वेब अनुप्रयोग सुरक्षा आधारभूत कार्यक्रमको लागि पूर्ण अफलाइन आत्म-शिक्षा तयारी सामग्रीहरू PDF फाइलमा डाउनलोड गर्नुहोस्।
EITC/IS/WASF तयारी सामग्री - मानक संस्करण
EITC/IS/WASF तयारी सामग्री - समीक्षा प्रश्नहरूको साथ विस्तारित संस्करण