EITC/IS/WASF Webアプリケーションセキュリティの基礎は、基本的なWebプロトコルのセキュリティから、プライバシー、Webトラフィックネットワーク通信のさまざまな層への攻撃、Webに至るまで、ワールドワイドウェブサービスのセキュリティの理論的および実用的な側面に関するヨーロッパのIT認定プログラムです。サーバーのセキュリティ、WebブラウザやWebアプリケーションを含む上位層のセキュリティ、認証、証明書、ファイシング。
EITC/IS/WASF Webアプリケーションセキュリティの基礎のカリキュラムは、HTMLおよびJavaScript Webセキュリティの側面、DNS、HTTP、Cookie、セッション、Cookieおよびセッション攻撃、同一生成元ポリシー、クロスサイトスクリプション偽造、Sameの例外の概要をカバーしています。オリジンポリシー、クロスサイトスクリプティング(XSS)、クロスサイトスクリプティング防御、Webフィンガープリント、Web上のプライバシー、DoS、フィッシングおよびサイドチャネル、サービス拒否、フィッシングおよびサイドチャネル、インジェクション攻撃、コードインジェクション、トランスポートレイヤーセキュリティ(TLS)と攻撃、現実世界のHTTPS、認証、WebAuthn、Webセキュリティの管理、Node.jsプロジェクトのセキュリティ問題、サーバーセキュリティ、安全なコーディング慣行、ローカルHTTPサーバーセキュリティ、DNS再バインド攻撃、ブラウザ攻撃、ブラウザこのEITC認定の参照として、包括的なビデオ教訓的なコンテンツを含む、次の構造内でのアーキテクチャ、および安全なブラウザコードの記述。
Webアプリケーションのセキュリティは、Webサイト、Webアプリケーション、およびWebサービスのセキュリティに焦点を当てた情報セキュリティのサブセットです。 Webアプリケーションのセキュリティは、最も基本的なレベルでは、アプリケーションのセキュリティ原則に基づいていますが、特にインターネットとWebプラットフォームに適用されます。 WebアプリケーションファイアウォールなどのWebアプリケーションセキュリティテクノロジは、HTTPトラフィックを処理するための専用ツールです。
Open Web Application Security Project(OWASP)は、無料でオープンなリソースを提供します。 非営利のOWASPFoundationが担当しています。 2017 OWASPトップ10は、40を超えるパートナー組織から収集された広範なデータに基づく現在の調査の結果です。 このデータを使用して、2.3を超えるアプリケーションで約50,000万の脆弱性が検出されました。 OWASPトップ10– 2017によると、オンラインアプリケーションのセキュリティに関する最も重要な懸念事項のトップXNUMXは次のとおりです。
- 注射
- 認証の問題
- 公開された機密データXML外部エンティティ(XXE)
- 動作していないアクセス制御
- セキュリティの設定ミス
- サイトツーサイトスクリプティング(XSS)
- 安全ではない逆シリアル化
- 既知の欠陥があるコンポーネントの使用
- ロギングとモニタリングが不十分です。
したがって、アプリケーションのコードの弱点を悪用するさまざまなセキュリティの脅威からWebサイトとオンラインサービスを防御する方法は、Webアプリケーションセキュリティと呼ばれます。 コンテンツ管理システム(WordPressなど)、データベース管理ツール(phpMyAdminなど)、SaaSアプリはすべて、オンラインアプリケーション攻撃の一般的な標的です。
Webアプリケーションは、次の理由から、実行者によって優先度の高いターゲットと見なされます。
- ソースコードは複雑であるため、無人の脆弱性や悪意のあるコードの変更が発生する可能性が高くなります。
- 効果的なソースコードの改ざんによって取得された機密性の高い個人情報など、価値の高い報酬。
- ほとんどの攻撃は簡単に自動化でき、一度に数千、数万、さらには数十万のターゲットに対して無差別に展開できるため、実行が容易です。
- Webアプリケーションの保護に失敗した組織は、攻撃に対して脆弱です。 これは、とりわけ、データの盗難、クライアントとの関係の緊張、ライセンスのキャンセル、法的措置につながる可能性があります。
Webサイトの脆弱性
入出力サニタイズの欠陥はWebアプリケーションで一般的であり、ソースコードを変更したり、不正アクセスを取得したりするために頻繁に悪用されます。
これらの欠陥により、次のようなさまざまな攻撃ベクトルの悪用が可能になります。
- SQLインジェクション–加害者が悪意のあるSQLコードを使用してバックエンドデータベースを操作すると、情報が明らかになります。 その結果、リストの不正な閲覧、テーブルの削除、および管理者による不正アクセスが発生します。
- XSS(クロスサイトスクリプティング)は、アカウントへのアクセス、トロイの木馬のアクティブ化、またはページコンテンツの変更を目的として、ユーザーを標的とするインジェクション攻撃です。 悪意のあるコードがアプリケーションに直接挿入される場合、これは保存されたXSSと呼ばれます。 悪意のあるスクリプトがアプリケーションからユーザーのブラウザーにミラーリングされる場合、これはリフレクトXSSと呼ばれます。
- 遠隔ファイルインクルード–この形式の攻撃により、ハッカーはリモートの場所からWebアプリケーションサーバーにファイルを挿入できます。 これにより、危険なスクリプトやコードがアプリ内で実行されたり、データの盗難や変更が発生したりする可能性があります。
- クロスサイトリクエストフォージェリ(CSRF)–意図しない現金の送金、パスワードの変更、またはデータの盗難につながる可能性のある攻撃の一種。 これは、悪意のあるWebプログラムが、ユーザーのブラウザーに、ユーザーがログインしているWebサイトで望ましくないアクションを実行するように指示した場合に発生します。
理論的には、効果的な入出力サニタイズはすべての脆弱性を根絶し、アプリケーションを不正な変更の影響を受けないようにする可能性があります。
ただし、ほとんどのプログラムは永続的な開発状態にあるため、包括的なサニタイズが実行可能なオプションになることはめったにありません。 さらに、アプリは一般的に相互に統合されているため、コード化された環境はますます複雑になっています。
このような危険を回避するには、PCIデータセキュリティ標準(PCI DSS)認証などのWebアプリケーションセキュリティソリューションとプロセスを実装する必要があります。
Webアプリケーション用ファイアウォール(WAF)
WAF(Webアプリケーションファイアウォール)は、セキュリティの脅威からアプリケーションを保護するハードウェアおよびソフトウェアソリューションです。これらのソリューションは、攻撃の試みを検出してブロックし、コードのサニタイズの欠陥を補うために、着信トラフィックを検査するように設計されています。
WAFの導入は、データを盗難や改ざんから保護することにより、PCIDSS認定の重要な基準に対応します。 要件6.6に従って、データベースに保持されているすべてのクレジットカードおよびデビットカードの所有者データを保護する必要があります。
ネットワークのエッジでDMZの前に配置されるため、WAFを確立するために、通常、アプリケーションに変更を加える必要はありません。 次に、すべての着信トラフィックのゲートウェイとして機能し、アプリケーションと対話する前に危険な要求を除外します。
どのトラフィックがアプリケーションへのアクセスを許可され、どのトラフィックを排除する必要があるかを評価するために、WAFはさまざまなヒューリスティックを採用しています。 定期的に更新されるシグネチャプールのおかげで、悪意のある攻撃者や既知の攻撃ベクトルをすばやく特定できます。
ほとんどすべてのWAFは、個々のユースケースとセキュリティ規制に合わせて調整され、新たな(ゼロデイとも呼ばれる)脅威と戦うことができます。 最後に、入ってくる訪問者への追加の洞察を得るために、ほとんどの最新のソリューションは評判と行動のデータを使用します。
セキュリティ境界を構築するために、WAFは通常追加のセキュリティソリューションと組み合わされます。 これらには、分散型サービス拒否(DDoS)防止サービスが含まれる可能性があります。これにより、大量の攻撃を防止するために必要な追加のスケーラビリティが提供されます。
Webアプリケーションのセキュリティのチェックリスト
WAFに加えて、Webアプリを保護するためのさまざまなアプローチがあります。 Webアプリケーションのセキュリティチェックリストには、次の手順を含める必要があります。
- データの収集—アプリケーションを手作業で調べ、エントリポイントとクライアント側のコードを探します。サードパーティによってホストされているコンテンツを分類します。
- 承認—アプリケーションをテストするときに、パストラバーサル、垂直および水平アクセス制御の問題、承認の欠落、および安全でない直接オブジェクト参照を探します。
- 暗号化を使用してすべてのデータ送信を保護します。 機密情報は暗号化されていますか? 嗅ぎタバコに対応していないアルゴリズムを採用しましたか? ランダム性エラーはありますか?
- サービス拒否—自動化防止、アカウントロックアウト、HTTPプロトコルDoS、およびSQLワイルドカードDoSをテストして、サービス拒否攻撃に対するアプリケーションの回復力を向上させます。 これには、大量のDoSおよびDDoS攻撃に対するセキュリティは含まれていません。これらの攻撃には、フィルタリングテクノロジーとスケーラブルなリソースの組み合わせが必要です。
詳細については、OWASP Webアプリケーションのセキュリティテストに関するチートシートを確認してください(他のセキュリティ関連のトピックに関する優れたリソースでもあります)。
DDoS保護
DDoS攻撃、または分散型サービス拒否攻撃は、Webアプリケーションを中断する一般的な方法です。 DDoS攻撃を軽減するためのアプローチは多数あります。たとえば、コンテンツ配信ネットワーク(CDN)でのボリューム攻撃トラフィックの破棄や、サービスを中断することなく本物の要求を適切にルーティングするための外部ネットワークの採用などです。
DNSSEC(ドメインネームシステムセキュリティ拡張機能)保護
ドメインネームシステム(DNS)はインターネットの電話帳であり、Webブラウザなどのインターネットツールが関連するサーバーを見つける方法を反映しています。 DNSキャッシュポイズニング、オンパス攻撃、およびDNSルックアップライフサイクルを妨害するその他の手段は、このDNS要求プロセスを乗っ取るために悪意のある攻撃者によって使用されます。 DNSがインターネットの電話帳である場合、DNSSECはスプーフィングできない発信者IDです。 DNSルックアップ要求は、DNSSECテクノロジーを使用して保護できます。
認定カリキュラムについて詳しく知るために、以下の表を展開して分析することができます。
EITC/IS/WASF Web Applications Security Fundamentals Certification Curriculum は、ビデオ形式でオープンアクセスの教材を参照しています。 学習プロセスは、関連するカリキュラム部分をカバーする段階的な構造 (プログラム -> レッスン -> トピック) に分かれています。 ドメインの専門家による無制限のコンサルティングも提供されます。
認定手続きの確認について詳しくは 仕組み.
EITC/IS/WASF Web アプリケーション セキュリティの基礎プログラムの完全なオフライン自己学習準備資料を PDF ファイルでダウンロードします。