Pengujian Penetrasi Aplikasi Web EITC/IS/WAPT yaiku program Sertifikasi IT Eropa babagan aspek teoretis lan praktis saka pengujian penetrasi aplikasi web (white hacking), kalebu macem-macem teknik kanggo situs web spidering, scanning lan teknik serangan, kalebu alat lan suite pengujian penetrasi khusus. .
Kurikulum Pengujian Penetrasi Aplikasi Web EITC/IS/WAPT nyakup introduksi kanggo Burp Suite, spridering web lan DVWA, pengujian brute force karo Burp Suite, deteksi firewall aplikasi web (WAF) karo WAFW00F, ruang lingkup target lan spidering, nemokake file sing didhelikake karo ZAP, pemindaian kerentanan WordPress lan enumerasi jeneng pangguna, pindai imbangan beban, skrip lintas situs, XSS - dibayangke, disimpen lan DOM, serangan proxy, konfigurasi proxy ing ZAP, serangan file lan direktori, panemuan file lan direktori nganggo DirBuster, praktik serangan web , OWASP Juice Shop, CSRF - Cross Site Request Forgery, koleksi cookie lan reverse engineering, HTTP Attributes - cookie nyolong, SQL injection, DotDotPwn - direktori traversal fuzzing, iframe injeksi lan HTML injeksi, Heartbleed exploitasi - panemuan lan eksploitasi, PHP kode injeksi, bWAPP - Injeksi HTML, POST sing dibayangke, injeksi perintah OS karo Commix, sisih server kalebu injeksi SSI, pentesting ing Docker, OverTheWire Natas, LFI lan injeksi perintah, Google hacking kanggo pentesting, Google Dorks Kanggo tes penetrasi, Apache2 ModSecurity, uga Nginx ModSecurity, ing struktur ing ngisor iki, nyakup konten didaktik video sing komprehensif minangka referensi kanggo Sertifikasi EITC iki.
Keamanan aplikasi web (asring diarani Web AppSec) yaiku konsep ngrancang situs web supaya bisa digunakake kanthi normal sanajan diserang. Pamanggih punika nggabungaken pesawat saka ngukur keamanan menyang aplikasi Web kanggo nglindhungi aset saka agen musuhan. Aplikasi web, kaya kabeh piranti lunak, rawan cacat. Sawetara cacat kasebut minangka kerentanan nyata sing bisa dieksploitasi, nyebabake risiko bisnis. Cacat kasebut dijaga liwat keamanan aplikasi web. Iki mbutuhake pendekatan pangembangan sing aman lan ngetrapake kontrol keamanan sajrone siklus urip pangembangan piranti lunak (SDLC), kanggo mesthekake yen cacat desain lan masalah implementasine diatasi. Pengujian penetrasi online, sing ditindakake dening para ahli sing duwe tujuan kanggo nemokake lan ngeksploitasi kerentanan aplikasi web kanthi nggunakake pendekatan peretasan putih, minangka praktik penting kanggo ngaktifake pertahanan sing cocog.
Tes penetrasi web, uga dikenal minangka tes pena web, simulasi serangan cyber ing aplikasi web kanggo nemokake cacat sing bisa dieksploitasi. Tes penetrasi asring digunakake kanggo nambah firewall aplikasi web ing konteks keamanan aplikasi web (WAF). Pengujian pena, umume, mbutuhake nyoba nembus sawetara sistem aplikasi (contone, API, server frontend/backend) kanggo nemokake kerentanan, kayata input sing ora diresiki sing rentan marang serangan injeksi kode.
Temuan tes penetrasi online bisa digunakake kanggo ngatur kabijakan keamanan WAF lan ngatasi kerentanan sing ditemokake.
Tes penetrasi duwe limang langkah.
Prosedur testing pen dipérang dadi limang langkah.
- Planning lan pramuka
Nemtokake ruang lingkup lan tujuan tes, kalebu sistem sing bakal ditangani lan metodologi tes sing bakal digunakake, minangka tahap pertama.
Kanggo entuk pangerten sing luwih apik babagan cara target lan kelemahane potensial, kumpulake intelijen (umpamane, jaringan lan jeneng domain, server surat). - Mindhai
Tahap sabanjure yaiku kanggo nemtokake cara aplikasi target bakal nanggepi macem-macem jinis upaya intrusi. Iki biasane ditindakake kanthi nggunakake metode ing ngisor iki:
Analisis statis - Nliti kode aplikasi kanggo prédhiksi kepriye tumindake nalika lagi ditindakake. Ing siji pass, alat kasebut bisa mindhai kabeh kode.
Analisis dinamis yaiku proses mriksa kode aplikasi nalika lagi digunakake. Cara mindhai iki luwih praktis amarga menehi tampilan wektu nyata babagan kinerja aplikasi. - Entuk akses
Kanggo nemokake kelemahane target, langkah iki nggunakake serangan aplikasi web kayata skrip lintas situs, injeksi SQL, lan lawang mburi. Kanggo mangerteni karusakan sing bisa ditindakake dening kerentanan kasebut, penguji nyoba ngeksploitasi kanthi nambah hak istimewa, nyolong data, nyegat lalu lintas, lan liya-liyane. - Tetep akses
Tujuan saka tahap iki yaiku kanggo netepake yen kerentanan bisa dimanfaatake kanggo netepake kehadiran jangka panjang ing sistem sing dikompromi, ngidini aktor ala entuk akses sing jero. Tujuane kanggo niru ancaman terus-terusan, sing bisa tetep ing sistem nganti pirang-pirang wulan kanggo nyolong informasi sing paling sensitif saka perusahaan. - Analysis
Asil tes penetrasi banjur dilebokake ing laporan sing kalebu informasi kayata:
Kerentanan sing dieksploitasi kanthi rinci
Data sing dipikolehi dadi sensitif
Jumlah wektu tester pen bisa tetep ora digatekake ing sistem kasebut.
Pakar keamanan nggunakake data iki kanggo mbantu ngatur setelan WAF perusahaan lan solusi keamanan aplikasi liyane supaya bisa nambal kerentanan lan nyegah serangan luwih lanjut.
Metode tes penetrasi
- Pengujian penetrasi eksternal fokus ing aset perusahaan sing katon ing internet, kayata aplikasi web dhewe, situs web perusahaan, uga email lan server jeneng domain (DNS). Tujuane yaiku kanggo entuk akses lan ngekstrak informasi sing migunani.
- Pengujian internal mbutuhake panguji sing duwe akses menyang aplikasi ing mburi firewall perusahaan sing simulasi serangan wong njero sing musuhan. Iki ora perlu simulasi karyawan nakal. Karyawan sing kapercayan dipikolehi minangka asil saka upaya phishing minangka titik wiwitan sing umum.
- Pengujian wuta yaiku nalika panguji mung diwenehi jeneng perusahaan sing dites. Iki ngidini para ahli keamanan ndeleng kepiye serangan aplikasi nyata bisa ditindakake kanthi nyata.
- Pengujian buta kaping pindho: Ing tes buta kaping pindho, para profesional keamanan ora ngerti babagan serangan simulasi sadurunge. Dheweke ora duwe wektu kanggo njaga benteng sadurunge nyoba nglanggar, kaya ing jagad nyata.
- Pengujian sing ditargetake - ing skenario iki, tester lan staf keamanan kerja sama lan njaga obahe saben liyane. Iki minangka latihan latihan sing apik banget sing menehi tim keamanan umpan balik wektu nyata saka perspektif peretas.
Firewall aplikasi web lan tes penetrasi
Pengujian penetrasi lan WAF minangka rong teknik keamanan sing kapisah nanging komplementer. Penguji kasebut bisa uga nggunakake data WAF, kayata log, kanggo nemokake lan ngeksploitasi area lemah aplikasi ing pirang-pirang jinis tes pena (kajaba tes buta lan buta kaping pindho).
Sabanjure, data pengujian pena bisa mbantu administrator WAF. Sawise rampung tes, konfigurasi WAF bisa diowahi kanggo nglindhungi saka cacat sing dideteksi sajrone tes kasebut.
Pungkasan, tes pena nyukupi syarat kepatuhan metode audit keamanan tartamtu, kayata PCI DSS lan SOC 2. Persyaratan tartamtu, kayata PCI-DSS 6.6, mung bisa ditindakake yen WAF sing disertifikasi digunakake. Nanging, amarga keuntungan sing kasebut ing ndhuwur lan potensial kanggo ngowahi setelan WAF, iki ora nggawe tes pen dadi kurang migunani.
Apa pentinge tes keamanan web?
Tujuan pengujian keamanan web yaiku kanggo ngenali cacat keamanan ing aplikasi Web lan persiyapane. Lapisan aplikasi minangka target utama (yaiku, apa sing mlaku ing protokol HTTP). Ngirim macem-macem formulir input menyang aplikasi Web kanggo nyebabake masalah lan nggawe sistem nanggapi kanthi cara sing ora dikarepake minangka pendekatan umum kanggo nguji keamanane. "Tes negatif" iki katon kanggo ndeleng apa sistem nindakake apa wae sing ora dikarepake.
Sampeyan uga penting kanggo mangerteni yen tes keamanan Web mbutuhake luwih saka mung verifikasi fitur keamanan aplikasi (kayata otentikasi lan wewenang). Iku uga penting kanggo mesthekake yen fitur liyane disebarake kanthi aman (contone, logika bisnis lan panggunaan validasi input lan enkoding output sing tepat). Tujuane kanggo mesthekake yen fungsi aplikasi Web aman.
Apa macem-macem jinis pambiji keamanan?
- Tes kanggo Keamanan Aplikasi Dinamis (DAST). Tes keamanan aplikasi otomatis iki paling cocog kanggo aplikasi sing beresiko rendah, ngadhepi internal sing kudu nyukupi syarat keamanan peraturan. Nggabungake DAST karo sawetara tes keamanan online manual kanggo kerentanan umum minangka strategi paling apik kanggo aplikasi berisiko medium lan aplikasi penting sing ngalami owah-owahan cilik.
- Priksa Keamanan kanggo Aplikasi Statis (SAST). Strategi keamanan aplikasi iki kalebu metode tes otomatis lan manual. Iku becik kanggo ndeteksi kewan omo tanpa kudu mbukak app ing lingkungan urip. Iki uga ngidini para insinyur mindhai kode sumber kanggo ndeteksi lan ndandani cacat keamanan piranti lunak kanthi sistematis.
- Ujian Penetrasi. Tes keamanan aplikasi manual iki cocog kanggo aplikasi penting, utamane sing ngalami owah-owahan sing signifikan. Kanggo nemokake skenario serangan lanjut, evaluasi nggunakake logika bisnis lan tes adhedhasar mungsuh.
- Application Self-Protection in the Runtime (RASP). Cara keamanan aplikasi sing saya tambah akeh iki nggabungake macem-macem teknik teknologi kanggo ngetrapake aplikasi supaya ancaman bisa ditonton lan, muga-muga bisa dicegah kanthi nyata nalika kedadeyan kasebut.
Apa peran tes keamanan aplikasi kanggo nyuda risiko perusahaan?
Sebagéan gedhé serangan ing aplikasi web kalebu:
- SQL Injection
- XSS (Cross Site Scripting)
- Eksekusi Command Remote
- Path Traversal Attack
- Akses konten sing diwatesi
- Akun pangguna sing dikompromi
- Instalasi kode angkoro
- Ilang revenue dodolan
- Kapercayan pelanggan ilang
- Reputasi merek cilaka
- Lan akeh serangan liyane
Ing lingkungan Internet saiki, aplikasi Web bisa cilaka dening macem-macem tantangan. Grafik ing ndhuwur nggambarake sawetara serangan sing paling umum sing ditindakake dening panyerang, sing saben-saben bisa nyebabake karusakan sing signifikan kanggo aplikasi individu utawa kabeh bisnis. Ngerteni akeh serangan sing ndadekake aplikasi bisa ngrugekke, uga asil saka serangan, ngidini perusahaan ngatasi kerentanan luwih dhisik lan nguji kanthi efektif.
Kontrol mitigasi bisa ditetepake ing saindhenging fase awal SDLC kanggo nyegah masalah kanthi ngenali panyebab kerentanan kasebut. Sajrone tes keamanan aplikasi Web, kawruh babagan cara ancaman kasebut uga bisa digunakake kanggo target panggonan sing dikenal.
Ngenali dampak serangan uga penting kanggo ngatur risiko perusahaan, amarga dampak saka serangan sing sukses bisa digunakake kanggo nemtokake tingkat keruwetan kerentanan sakabèhé. Yen kerentanan ditemokake sajrone tes keamanan, nemtokake keruwetan kasebut ngidini perusahaan menehi prioritas upaya remedial kanthi luwih efektif. Kanggo nyuda resiko kanggo perusahaan, miwiti karo masalah keruwetan kritis lan mudhun menyang impact sing luwih murah.
Sadurunge ngenali masalah, netepake pengaruh sing bisa ditindakake saben program ing perpustakaan aplikasi perusahaan bakal mbantu sampeyan nggawe prioritas tes keamanan aplikasi. Pengujian keamanan Wenb bisa dijadwalake kanggo target aplikasi kritis perusahaan luwih dhisik, kanthi tes sing luwih ditargetake kanggo nyuda risiko bisnis. Kanthi dhaptar aplikasi kanthi profil dhuwur, tes keamanan wenb bisa dijadwalake kanggo target aplikasi kritis perusahaan luwih dhisik, kanthi tes sing luwih ditargetake kanggo ngedhunake risiko marang bisnis.
Sajrone tes keamanan aplikasi web, fitur apa sing kudu ditliti?
Sajrone testing keamanan aplikasi Web, nimbang dhaptar fitur sing ora lengkap ing ngisor iki. Implementasine sing ora efektif saben-saben bisa nyebabake kelemahane, nggawe perusahaan ing bebaya.
- Konfigurasi aplikasi lan server. Persiyapan enkripsi/kriptografi, konfigurasi server Web, lan liya-liyane iku kabeh conto cacat potensial.
- Validasi penanganan input lan kesalahan Proses input lan output sing ora apik nyebabake injeksi SQL, skrip lintas-situs (XSS), lan masalah injeksi khas liyane.
- Otentikasi lan pangopènan sesi. Kerentanan sing bisa nyebabake impersonation pangguna. Kekuwatan lan perlindungan kredensial uga kudu digatekake.
- wewenang. Kapasitas aplikasi kanggo nglindhungi saka eskalasi hak istimewa vertikal lan horisontal lagi diuji.
- Logika ing bisnis. Umume program sing nyedhiyakake fungsi bisnis gumantung marang iki.
- Logika ing mburi klien. Jinis fitur iki dadi luwih umum karo modern, kaca web JavaScript-berat, uga kaca web nggunakake jinis liyane teknologi sisih klien (contone, Silverlight, Flash, applet Java).
Kanggo ngerteni kanthi rinci babagan kurikulum sertifikasi, sampeyan bisa nggedhekake lan nganalisa tabel ing ngisor iki.
Kurikulum Sertifikasi Pengujian Penetrasi Aplikasi Web EITC/IS/WAPT referensi materi didaktik akses terbuka ing wangun video. Proses sinau dipérang dadi struktur langkah-langkah (program -> pelajaran -> topik) sing nyakup bagean kurikulum sing cocog. Konsultasi tanpa wates karo ahli domain uga diwenehake.
Kanggo rincian mriksa prosedur Sertifikasi Cara kerjane.
Ngundhuh materi persiapan sinau mandiri offline lengkap kanggo program Tes Penetrasi Aplikasi Web EITC/IS/WAPT ing file PDF
Bahan persiapan EITC/IS/WAPT – versi standar
Bahan persiapan EITC/IS/WAPT - versi lengkap kanthi pitakonan review