EITC/IS/WAPT Webアプリケーション侵入テストは、Webアプリケーション侵入テスト(ホワイトハッキング)の理論的および実用的な側面に関するヨーロッパのIT認定プログラムであり、特殊な侵入テストツールやスイートなど、Webサイトのスパイダリング、スキャン、攻撃技術のさまざまな技術が含まれます。 。
EITC/IS/WAPT Webアプリケーション侵入テストのカリキュラムには、Burp Suiteの概要、WebスプライドリングとDVWA、Burp Suiteによるブルートフォーステスト、WAFW00FによるWebアプリケーションファイアウォール(WAF)の検出、ターゲットスコープとスパイダリング、 ZAP、WordPress脆弱性スキャンとユーザー名列挙、ロードバランサースキャン、クロスサイトスクリプティング、XSS –反映、保存、DOM、プロキシ攻撃、ZAPでのプロキシの構成、ファイルとディレクトリの攻撃、DirBusterを使用したファイルとディレクトリの検出、Web攻撃の実践、OWASPジュースショップ、CSRF –クロスサイトリクエストフォージェリー、Cookieの収集とリバースエンジニアリング、HTTP属性– Cookieの盗用、SQLインジェクション、DotDotPwn –ディレクトリトラバーサルファジー、iframeインジェクションとHTMLインジェクション、ハートブリードエクスプロイト–発見とエクスプロイト、PHPコードインジェクション、 bWAPP – HTMLインジェクション、リフレクトPOST、Commixを使用したOSコマンドインジェクション、サーバー側にはSSIインジェクション、Dockerでの侵入テスト、OverTheWireが含まれますNatas、LFIとコマンドインジェクション、侵入テストのためのGoogleハッキング、侵入テストのためのGoogle Dorks、Apache2 ModSecurity、およびNginx ModSecurityは、このEITC認定の参照として包括的なビデオ教訓的なコンテンツを含む次の構造内にあります。
Webアプリケーションセキュリティ(Web AppSecと呼ばれることもあります)は、攻撃された場合でも正常に機能するようにWebサイトを設計するという概念です。 この概念は、一連のセキュリティ対策をWebアプリケーションに統合して、その資産を敵対的なエージェントから保護することです。 すべてのソフトウェアと同様に、Webアプリケーションには欠陥がありがちです。 これらの欠陥のいくつかは、悪用される可能性のある実際の脆弱性であり、企業にリスクをもたらします。 このような欠陥は、Webアプリケーションのセキュリティによって保護されています。 これには、安全な開発アプローチを採用し、ソフトウェア開発ライフサイクル(SDLC)全体にわたってセキュリティ制御を導入して、設計上の欠陥と実装の問題に確実に対処することが含まれます。 いわゆるホワイトハッキングアプローチを使用してWebアプリケーションの脆弱性を発見し、悪用することを目的とした専門家によって実行されるオンライン侵入テストは、適切な防御を可能にするために不可欠なプラクティスです。
Web侵入テストは、Webペンテストとも呼ばれ、悪用可能な欠陥を見つけるためにWebアプリケーションへのサイバー攻撃をシミュレートします。 ペネトレーションテストは、Webアプリケーションセキュリティ(WAF)のコンテキストでWebアプリケーションファイアウォールを補完するために頻繁に使用されます。 一般に、侵入テストでは、コードインジェクション攻撃に対して脆弱なサニタイズされていない入力などの脆弱性を見つけるために、任意の数のアプリケーションシステム(API、フロントエンド/バックエンドサーバーなど)に侵入しようとします。
オンライン侵入テストの結果は、WAFセキュリティポリシーを構成し、発見された脆弱性に対処するために使用できます。
侵入テストにはXNUMXつのステップがあります。
侵入テストの手順はXNUMXつのステップに分かれています。
- 計画と偵察
対処するシステムや利用するテスト方法など、テストの範囲と目標を定義することが最初の段階です。
ターゲットがどのように機能し、その潜在的な弱点をよりよく理解するために、インテリジェンス(たとえば、ネットワーク名とドメイン名、メールサーバー)を収集します。 - スキャニング
次の段階は、ターゲットアプリケーションがさまざまなタイプの侵入の試みにどのように反応するかを把握することです。 これは通常、次の方法を使用して実行されます。
静的分析–アプリケーションのコードを調べて、実行時にどのように動作するかを予測します。 XNUMX回のパスで、これらのツールはコード全体をスキャンできます。
動的分析は、アプリケーションの動作中にアプリケーションのコードを検査するプロセスです。 このスキャン方法は、アプリケーションのパフォーマンスをリアルタイムで表示できるため、より実用的です。 - アクセスの取得
ターゲットの弱点を見つけるために、このステップでは、クロスサイトスクリプティング、SQLインジェクション、バックドアなどのWebアプリケーション攻撃を採用しています。 これらの脆弱性が与える可能性のある損害を理解するために、テスターは特権の昇格、データの盗用、トラフィックの傍受などによって脆弱性を悪用しようとします。 - アクセスを維持する
この段階の目的は、脆弱性を悪用して、侵害されたシステムに長期的なプレゼンスを確立し、悪意のある攻撃者が詳細にアクセスできるかどうかを評価することです。 目標は、企業の最も機密性の高い情報を盗むために数か月間システムにとどまる可能性のある高度な持続的脅威を模倣することです。 - 分析
次に、侵入テストの結果は、次のような情報を含むレポートに入れられます。
詳細に悪用された脆弱性
機密性の高い取得データ
ペンテスターがシステム内で気付かれずにいることができた時間。
セキュリティの専門家は、このデータを使用して、脆弱性にパッチを適用し、さらなる攻撃を防ぐために、企業のWAF設定およびその他のアプリケーションセキュリティソリューションの構成を支援します。
ペネトレーションテストの方法
- 外部侵入テストは、Webアプリケーション自体、会社のWebサイト、電子メールおよびドメインネームサーバー(DNS)など、インターネット上に表示される企業の資産に焦点を当てています。 目的は、有用な情報へのアクセスを取得して抽出することです。
- 内部テストでは、テスターが企業のファイアウォールの背後にあるアプリケーションにアクセスして、敵対的なインサイダー攻撃をシミュレートする必要があります。 これは、不正な従業員のシミュレーションである必要はありません。 フィッシング詐欺の結果として資格を取得した従業員は、一般的な出発点です。
- ブラインドテストとは、テスト対象の会社の名前をテスターに提供することです。 これにより、セキュリティの専門家は、実際のアプリケーションの攻撃がリアルタイムでどのように実行されるかを確認できます。
- 二重盲検テスト:二重盲検テストでは、セキュリティの専門家はシミュレートされた攻撃に事前に気づいていません。 現実の世界と同じように、侵入が試みられる前に要塞を強化する時間はありません。
- ターゲットを絞ったテスト–このシナリオでは、テスターとセキュリティスタッフが協力して、互いの動きを追跡します。 これは、ハッカーの観点からセキュリティチームにリアルタイムのフィードバックを提供する優れたトレーニング演習です。
Webアプリケーションファイアウォールと侵入テスト
ペネトレーションテストとWAFは、XNUMXつの別個の、しかし補完的なセキュリティ技術です。 テスターは、ログなどのWAFデータを利用して、多くの種類の侵入テスト(ブラインドテストと二重盲検テストを除く)でアプリケーションの弱点を見つけて活用する可能性があります。
次に、ペンテストデータはWAF管理者に役立ちます。 テストの完了後、WAF構成を変更して、テスト中に検出された欠陥から保護することができます。
最後に、侵入テストは、PCIDSSやSOC2などの特定のセキュリティ監査方法のコンプライアンス要件を満たします。PCI-DSS6.6などの特定の要件は、認定されたWAFが使用されている場合にのみ満たすことができます。 ただし、前述の利点とWAF設定を変更する可能性があるため、これによって侵入テストの有用性が低下することはありません。
Webセキュリティテストの重要性は何ですか?
Webセキュリティテストの目的は、Webアプリケーションとそのセットアップのセキュリティ上の欠陥を特定することです。 アプリケーション層がプライマリターゲット(つまり、HTTPプロトコルで実行されているもの)です。 さまざまな形式の入力をWebアプリケーションに送信して問題を引き起こし、システムを予期しない方法で応答させることは、セキュリティをテストするための一般的なアプローチです。 これらの「ネガティブテスト」は、システムが意図しないことを実行しているかどうかを確認します。
また、Webセキュリティテストには、アプリケーションのセキュリティ機能(認証や承認など)を検証するだけでは不十分であることを理解することも重要です。 また、他の機能が安全に展開されていることを確認することも重要です(たとえば、ビジネスロジック、適切な入力検証と出力エンコーディングの使用)。 目的は、Webアプリケーションの機能が安全であることを確認することです。
多くの種類のセキュリティ評価とは何ですか?
- 動的アプリケーションセキュリティ(DAST)のテスト。 この自動化されたアプリケーションセキュリティテストは、規制上のセキュリティ要件を満たす必要がある、リスクの低い内部向けアプリに最適です。 DASTを、一般的な脆弱性に対するいくつかの手動オンラインセキュリティテストと組み合わせることは、中リスクのアプリやマイナーな変更が行われている重要なアプリケーションにとって最良の戦略です。
- 静的アプリケーションのセキュリティチェック(SAST)。 このアプリケーションセキュリティ戦略には、自動テスト方法と手動テスト方法の両方が含まれます。 ライブ環境でアプリを実行しなくてもバグを検出するのに理想的です。 また、エンジニアはソースコードをスキャンして、ソフトウェアのセキュリティ上の欠陥を体系的に検出して修正することもできます。
- 浸透検査。 この手動のアプリケーションセキュリティテストは、重要なアプリケーション、特に大幅な変更が行われているアプリケーションに最適です。 高度な攻撃シナリオを見つけるために、評価ではビジネスロジックと敵対者ベースのテストを使用します。
- ランタイムでのアプリケーションの自己保護(RASP)。 この成長するアプリケーションセキュリティ手法には、脅威を監視し、できればリアルタイムで防止できるように、アプリケーションを計測するためのさまざまなテクノロジ技術が組み込まれています。
企業のリスクを下げるために、アプリケーションのセキュリティテストはどのような役割を果たしますか?
Webアプリケーションに対する攻撃の大部分は次のとおりです。
- SQLインジェクション
- XSS(クロスサイトスクリプティング)
- リモートコマンド実行
- パストラバーサル攻撃
- 制限されたコンテンツアクセス
- 侵害されたユーザーアカウント
- 悪意のあるコードのインストール
- 失われた売上高
- 顧客の信頼の低下
- ブランドの評判を傷つける
- そして他の多くの攻撃
今日のインターネット環境では、Webアプリケーションはさまざまな課題によって被害を受ける可能性があります。 上の図は、攻撃者による最も一般的な攻撃のいくつかを示しています。各攻撃は、個々のアプリケーションまたはビジネス全体に重大な損害を与える可能性があります。 アプリケーションを脆弱にする多くの攻撃と、攻撃の結果の可能性を知ることで、企業は脆弱性を事前に解決し、効果的にテストすることができます。
脆弱性の根本原因を特定することで問題を防ぐために、SDLCの初期段階全体で緩和制御を確立できます。 Webアプリケーションのセキュリティテストでは、これらの脅威がどのように機能するかについての知識を使用して、既知の関心のある場所を標的にすることもできます。
攻撃が成功した場合の影響は、脆弱性全体の重大度を判断するために使用される可能性があるため、攻撃の影響を認識することは、企業のリスクを管理するためにも重要です。 セキュリティテスト中に脆弱性が発見された場合、その重大度を判断することで、企業はより効果的に修復作業に優先順位を付けることができます。 会社へのリスクを減らすために、重大な重大度の問題から始めて、影響の少ない問題に向かって進んでいきます。
問題を特定する前に、会社のアプリケーションライブラリ内の各プログラムの考えられる影響を評価することで、アプリケーションのセキュリティテストに優先順位を付けることができます。 Wenbのセキュリティテストは、最初に企業の重要なアプリケーションを対象とするようにスケジュールでき、ビジネスに対するリスクを下げるために、より対象を絞ったテストを行うことができます。 注目を集めるアプリケーションの確立されたリストを使用して、wenbセキュリティテストを最初に企業の重要なアプリケーションを対象とするようにスケジュールできます。さらに対象を絞ったテストを行うことで、ビジネスに対するリスクを軽減できます。
Webアプリケーションのセキュリティテスト中に、どの機能を調べる必要がありますか?
Webアプリケーションのセキュリティテストでは、次の機能の非網羅的なリストを検討してください。 それぞれの効果のない実装は弱点をもたらし、会社を危険にさらす可能性があります。
- アプリケーションとサーバーの構成。 暗号化/暗号化のセットアップ、Webサーバーの構成などは、すべて潜在的な欠陥の例です。
- 入力およびエラー処理の検証不十分な入力および出力処理は、SQLインジェクション、クロスサイトスクリプティング(XSS)、およびその他の一般的なインジェクションの問題につながります。
- セッションの認証と保守。 ユーザーのなりすましにつながる可能性のある脆弱性。 資格情報の強度と保護も考慮に入れる必要があります。
- 承認。 垂直方向および水平方向の特権昇格から保護するアプリケーションの能力がテストされています。
- ビジネスにおける論理。 ビジネス機能を提供するほとんどのプログラムは、これらに依存しています。
- クライアント側のロジック。 このタイプの機能は、JavaScriptを多用する最新のWebページや、他のタイプのクライアント側テクノロジ(Silverlight、Flash、Javaアプレットなど)を使用するWebページで一般的になりつつあります。
認定カリキュラムについて詳しく知るために、以下の表を展開して分析することができます。
EITC/IS/WAPT ウェブ アプリケーション ペネトレーション テスト認定カリキュラムは、ビデオ形式のオープンアクセスの教材を参照しています。 学習プロセスは、関連するカリキュラム部分をカバーする段階的な構造 (プログラム -> レッスン -> トピック) に分かれています。 ドメインの専門家による無制限のコンサルティングも提供されます。
認定手続きの確認について詳しくは 仕組み.
EITC/IS/WAPT Web アプリケーション侵入テスト プログラムの完全なオフライン自己学習準備資料を PDF ファイルでダウンロードします。