EITC/IS/WASF Web Applications Security Fundamentals minangka program Sertifikasi IT Eropa babagan aspek teoritis lan praktis keamanan layanan World Wide Web wiwit saka keamanan protokol web dhasar, liwat privasi, ancaman lan serangan ing macem-macem lapisan komunikasi jaringan lalu lintas web, web keamanan server, keamanan ing lapisan sing luwih dhuwur, kalebu browser web lan aplikasi web, uga otentikasi, sertifikat lan phising.
Kurikulum EITC/IS/WASF Web Applications Security Fundamentals nyakup introduksi aspek keamanan web HTML lan JavaScript, DNS, HTTP, cookie, sesi, cookie lan serangan sesi, Same Origin Policy, Cross-Site Request Forgery, pengecualian kanggo Same Kebijakan Origin, Cross-Site Scripting (XSS), Cross-Site Scripting defenses, sidik jari web, privasi ing web, DoS, phishing lan saluran sisih, Denial-of-Service, phishing lan saluran samping, serangan injeksi, Injeksi kode, transportasi keamanan lapisan (TLS) lan serangan, HTTPS ing donya nyata, otentikasi, WebAuthn, ngatur keamanan web, masalah keamanan ing proyek Node.js, keamanan server, praktik coding aman, keamanan server HTTP lokal, serangan rebinding DNS, serangan browser, browser arsitektur, uga nulis kode browser sing aman, ing struktur ing ngisor iki, nyakup konten didaktik video sing komprehensif minangka referensi kanggo Sertifikasi EITC iki.
Keamanan aplikasi web minangka subset saka keamanan informasi sing fokus ing situs web, aplikasi web, lan keamanan layanan web. Keamanan aplikasi web, ing tingkat paling dhasar, adhedhasar prinsip keamanan aplikasi, nanging ditrapake utamane kanggo platform internet lan web. Teknologi keamanan aplikasi web, kayata firewall aplikasi Web, minangka alat khusus kanggo nggarap lalu lintas HTTP.
Proyek Keamanan Aplikasi Web Terbuka (OWASP) nawakake sumber daya sing gratis lan mbukak. Yayasan OWASP nirlaba sing tanggung jawab. Top 2017 OWASP 10 minangka asil panaliten saiki adhedhasar data ekstensif sing diklumpukake saka luwih saka 40 organisasi mitra. Kira-kira 2.3 yuta kerentanan dideteksi ing luwih saka 50,000 aplikasi nggunakake data iki. Sepuluh masalah keamanan aplikasi online paling kritis, miturut OWASP Top 10 - 2017, yaiku:
- Injeksi
- Masalah otentikasi
- Entitas eksternal XML data sensitif sing kapapar (XXE)
- Kontrol akses sing ora bisa digunakake
- Salah konfigurasi keamanan
- Skrip situs-ke-situs (XSS)
- Deserialisasi sing ora aman
- Nggunakake komponen sing wis dikenal cacat
- Logging lan ngawasi ora cukup.
Mula Praktek mbela situs web lan layanan online saka macem-macem ancaman keamanan sing ngeksploitasi kelemahan kode aplikasi dikenal minangka keamanan aplikasi web. Sistem manajemen konten (contone, WordPress), alat administrasi database (contone, phpMyAdmin), lan aplikasi SaaS kabeh dadi target umum kanggo serangan aplikasi online.
Aplikasi web dianggep minangka target prioritas dhuwur dening para pelaku amarga:
- Amarga kerumitan kode sumber kasebut, kerentanan sing ora dijaga lan modifikasi kode angkoro luwih mungkin.
- Ganjaran kanthi nilai dhuwur, kayata informasi pribadhi sensitif sing dipikolehi liwat kode sumber sing efektif.
- Gampang dieksekusi, amarga umume serangan bisa diotomatisasi lan disebarake tanpa pandang bulu marang ewonan, puluhan, utawa malah atusan ewu target sekaligus.
- Organisasi sing gagal njaga aplikasi web kasebut rentan diserang. Iki bisa nyebabake nyolong data, hubungan klien sing tegang, lisensi sing dibatalake, lan tindakan hukum, lan liya-liyane.
Kerentanan ing situs web
Cacat sanitasi input/output umume ana ing aplikasi web, lan asring dieksploitasi kanggo ngganti kode sumber utawa entuk akses sing ora sah.
Cacat kasebut ngidini eksploitasi macem-macem vektor serangan, kalebu:
- SQL Injection - Nalika pelaku ngapusi database backend karo kode SQL angkoro, informasi dicethakaké. Njelajah dhaptar sing ora sah, pambusakan tabel, lan akses administrator sing ora sah kalebu akibat.
- XSS (Cross-site Scripting) minangka serangan injeksi sing ngarahake pangguna supaya bisa ngakses akun, ngaktifake Trojan, utawa ngganti isi kaca. Nalika kode angkoro disuntikake langsung menyang aplikasi, iki dikenal minangka XSS sing disimpen. Nalika skrip jahat dicerminake saka aplikasi menyang browser pangguna, iki dikenal minangka XSS sing dibayangke.
- Inklusi File Jauh - Bentuk serangan iki ngidini peretas nyuntikake file menyang server aplikasi web saka lokasi sing adoh. Iki bisa nyebabake skrip utawa kode mbebayani dieksekusi ing app, uga nyolong utawa modifikasi data.
- Cross-site Request Forgery (CSRF) - Jinis serangan sing bisa nyebabake transfer awis sing ora disengaja, owah-owahan tembung sandhi, utawa nyolong data. Iku dumadi nalika program web angkoro nuntun browser pangguna kanggo nindakake tumindak sing ora dikarepake ing situs web sing lagi mlebu.
Ing teori, sanitasi input/output sing efektif bisa ngilangi kabeh kerentanan, nggawe aplikasi ora kena modifikasi sing ora sah.
Nanging, amarga umume program ana ing pangembangan terus-terusan, sanitasi komprehensif arang dadi pilihan sing bisa ditindakake. Salajengipun, app umume digabungake karo siji liyane, nyebabake lingkungan kode sing saya tambah rumit.
Kanggo ngindhari bebaya kasebut, solusi lan proses keamanan aplikasi web, kayata sertifikasi PCI Data Security Standard (PCI DSS), kudu ditindakake.
Firewall kanggo aplikasi web (WAF)
WAFs (firewall aplikasi web) minangka solusi hardware lan piranti lunak sing nglindhungi aplikasi saka ancaman keamanan. Solusi kasebut dirancang kanggo mriksa lalu lintas mlebu supaya bisa ndeteksi lan mblokir upaya serangan, ngimbangi cacat sanitasi kode.
Penyebaran WAF ngrampungake kritéria penting kanggo sertifikasi PCI DSS kanthi nglindhungi data saka nyolong lan modifikasi. Kabeh data pemegang kertu kredit lan debit sing disimpen ing basis data kudu dijaga, miturut Requirement 6.6.
Amarga luwih dhisik tinimbang DMZ ing pinggiran jaringan, nggawe WAF biasane ora mbutuhake owah-owahan ing aplikasi. Banjur dadi gateway kanggo kabeh lalu lintas mlebu, nyaring panjaluk sing mbebayani sadurunge bisa sesambungan karo aplikasi.
Kanggo netepake lalu lintas sing diidini ngakses aplikasi lan sing kudu diilangi, WAF nggunakake macem-macem heuristik. Dheweke bisa kanthi cepet ngenali aktor ala lan vektor serangan sing dikenal amarga kolam teken sing dianyari kanthi rutin.
Meh kabeh WAF bisa dicocogake kanggo kasus panggunaan individu lan peraturan keamanan, uga nglawan ancaman sing muncul (uga dikenal minangka zero-day). Pungkasan, kanggo entuk wawasan tambahan babagan pengunjung sing mlebu, umume solusi modern nggunakake data reputasi lan prilaku.
Kanggo mbangun perimeter keamanan, WAF biasane digabungake karo solusi keamanan tambahan. Iki bisa uga kalebu layanan pencegahan denial-of-service (DDoS) sing disebarake, sing menehi skalabilitas ekstra sing dibutuhake kanggo nyegah serangan volume dhuwur.
Priksa dhaptar kanggo keamanan aplikasi web
Ana macem-macem pendekatan kanggo njaga aplikasi web saliyane WAF. Sembarang dhaptar priksa keamanan aplikasi web kudu kalebu prosedur ing ngisor iki:
- Nglumpukake data - Bukak aplikasi kanthi tangan, goleki titik entri lan kode sisih klien. Klasifikasi konten sing di-host dening pihak katelu.
- Wewenang - Goleki traversal dalan, masalah kontrol akses vertikal lan horisontal, wewenang sing ilang, lan referensi obyek langsung sing ora aman nalika nyoba aplikasi kasebut.
- Ngamanake kabeh transmisi data kanthi kriptografi. Apa ana informasi sensitif sing dienkripsi? Apa sampeyan wis nggunakake algoritma sing ora cocog? Apa ana kesalahan acak?
- Penolakan layanan - Tes kanggo anti-otomatis, kunci akun, protokol HTTP DoS, lan SQL wildcard DoS kanggo nambah daya tahan aplikasi marang serangan penolakan layanan. Iki ora kalebu keamanan marang serangan DoS lan DDoS volume dhuwur, sing mbutuhake campuran teknologi nyaring lan sumber daya sing bisa diukur kanggo nolak.
Kanggo rincian liyane, sampeyan bisa mriksa Lembar Cheat Testing Keamanan Aplikasi Web OWASP (uga minangka sumber daya sing apik kanggo topik sing gegandhengan karo keamanan).
Proteksi DDoS
Serangan DDoS, utawa serangan penolakan layanan sing disebarake, minangka cara khas kanggo ngganggu aplikasi web. Ana sawetara pendekatan kanggo nyuda serangan DDoS, kalebu mbuwang lalu lintas serangan volumetrik ing Content Delivery Networks (CDNs) lan nggunakake jaringan eksternal kanggo nuntun panjaluk asli kanthi bener tanpa nyebabake gangguan layanan.
Proteksi DNSSEC (Domain Name System Security Extensions).
Sistem jeneng domain, utawa DNS, minangka buku telpon Internet, lan nuduhake carane piranti Internet, kayata browser web, nemokake server sing cocog. Keracunan cache DNS, serangan on-path, lan cara liya kanggo ngganggu siklus urip golek DNS bakal digunakake dening aktor ala kanggo mbajak proses panjalukan DNS iki. Yen DNS minangka buku telpon Internet, DNSSEC minangka ID panelpon sing ora bisa dicopot. Panyuwunan golek DNS bisa direksa nggunakake teknologi DNSSEC.
Kanggo ngerteni kanthi rinci babagan kurikulum sertifikasi, sampeyan bisa nggedhekake lan nganalisa tabel ing ngisor iki.
Kurikulum Sertifikasi Dasar Keamanan Aplikasi Web EITC/IS/WASF referensi bahan didaktik akses terbuka ing wangun video. Proses sinau dipérang dadi struktur langkah-langkah (program -> pelajaran -> topik) sing nyakup bagean kurikulum sing cocog. Konsultasi tanpa wates karo ahli domain uga diwenehake.
Kanggo rincian mriksa prosedur Sertifikasi Cara kerjane.
Ngundhuh materi persiapan sinau mandiri offline lengkap kanggo program EITC/IS/WASF Web Applications Security Fundamentals ing file PDF
Bahan persiapan EITC/IS/WASF – versi standar
Bahan persiapan EITC/IS/WASF - versi lengkap kanthi pitakonan review