EITC/IS/WASF వెబ్ అప్లికేషన్స్ సెక్యూరిటీ ఫండమెంటల్స్ అనేది ప్రాథమిక వెబ్ ప్రోటోకాల్ల భద్రత నుండి, గోప్యత, బెదిరింపులు మరియు వెబ్ ట్రాఫిక్ నెట్వర్క్ కమ్యూనికేషన్, వెబ్ యొక్క వివిధ లేయర్లపై దాడుల ద్వారా వరల్డ్ వైడ్ వెబ్ సేవల భద్రత యొక్క సైద్ధాంతిక మరియు ఆచరణాత్మక అంశాలపై యూరోపియన్ IT సర్టిఫికేషన్ ప్రోగ్రామ్. సర్వర్ల భద్రత, వెబ్ బ్రౌజర్లు మరియు వెబ్ అప్లికేషన్లతో సహా అధిక లేయర్లలో భద్రత, అలాగే ప్రమాణీకరణ, సర్టిఫికేట్లు మరియు ఫిజింగ్.
EITC/IS/WASF వెబ్ అప్లికేషన్స్ సెక్యూరిటీ ఫండమెంటల్స్ యొక్క పాఠ్యాంశాలు HTML మరియు జావాస్క్రిప్ట్ వెబ్ భద్రతా అంశాలు, DNS, HTTP, కుక్కీలు, సెషన్లు, కుక్కీ మరియు సెషన్ దాడులు, అదే ఆరిజిన్ పాలసీ, క్రాస్-సైట్ రిక్వెస్ట్ ఫోర్జరీ, వాటికి మినహాయింపులను పరిచయం చేస్తాయి. ఆరిజిన్ పాలసీ, క్రాస్-సైట్ స్క్రిప్టింగ్ (XSS), క్రాస్-సైట్ స్క్రిప్టింగ్ డిఫెన్స్, వెబ్ ఫింగర్ ప్రింటింగ్, వెబ్లో గోప్యత, DoS, ఫిషింగ్ మరియు సైడ్ ఛానెల్లు, డినియల్ ఆఫ్ సర్వీస్, ఫిషింగ్ మరియు సైడ్ ఛానెల్లు, ఇంజెక్షన్ దాడులు, కోడ్ ఇంజెక్షన్, రవాణా లేయర్ సెక్యూరిటీ (TLS) మరియు దాడులు, వాస్తవ ప్రపంచంలో HTTPS, ప్రమాణీకరణ, WebAuthn, వెబ్ భద్రతను నిర్వహించడం, Node.js ప్రాజెక్ట్లో భద్రతా సమస్యలు, సర్వర్ భద్రత, సురక్షిత కోడింగ్ పద్ధతులు, స్థానిక HTTP సర్వర్ భద్రత, DNS రీబైండింగ్ దాడులు, బ్రౌజర్ దాడులు, బ్రౌజర్ ఆర్కిటెక్చర్, అలాగే సురక్షిత బ్రౌజర్ కోడ్ను వ్రాయడం, ఈ క్రింది నిర్మాణంలో, ఈ EITC సర్టిఫికేషన్కు సూచనగా సమగ్ర వీడియో సందేశాత్మక కంటెంట్ను కలిగి ఉంటుంది.
వెబ్ అప్లికేషన్ సెక్యూరిటీ అనేది వెబ్సైట్, వెబ్ అప్లికేషన్ మరియు వెబ్ సర్వీస్ సెక్యూరిటీపై దృష్టి సారించే సమాచార భద్రత యొక్క ఉపసమితి. వెబ్ అప్లికేషన్ భద్రత, దాని ప్రాథమిక స్థాయిలో, అప్లికేషన్ భద్రతా సూత్రాలపై ఆధారపడి ఉంటుంది, అయితే ఇది వాటిని ముఖ్యంగా ఇంటర్నెట్ మరియు వెబ్ ప్లాట్ఫారమ్లకు వర్తిస్తుంది. వెబ్ అప్లికేషన్ ఫైర్వాల్స్ వంటి వెబ్ అప్లికేషన్ సెక్యూరిటీ టెక్నాలజీలు HTTP ట్రాఫిక్తో పని చేయడానికి ప్రత్యేకమైన సాధనాలు.
ఓపెన్ వెబ్ అప్లికేషన్ సెక్యూరిటీ ప్రాజెక్ట్ (OWASP) ఉచిత మరియు బహిరంగ వనరులను అందిస్తుంది. లాభాపేక్ష లేని OWASP ఫౌండేషన్ దీనికి బాధ్యత వహిస్తుంది. 2017 OWASP టాప్ 10 అనేది 40కి పైగా భాగస్వామ్య సంస్థల నుండి సేకరించిన విస్తృతమైన డేటా ఆధారంగా ప్రస్తుత అధ్యయనం యొక్క ఫలితం. ఈ డేటాను ఉపయోగించి 2.3 కంటే ఎక్కువ అప్లికేషన్లలో సుమారు 50,000 మిలియన్ దుర్బలత్వాలు కనుగొనబడ్డాయి. OWASP టాప్ 10 – 2017 ప్రకారం, టాప్ టెన్ అత్యంత క్లిష్టమైన ఆన్లైన్ అప్లికేషన్ భద్రతా సమస్యలు:
- ఇంజెక్షన్
- ప్రమాణీకరణ సమస్యలు
- బహిర్గతమైన సున్నితమైన డేటా XML బాహ్య ఎంటిటీలు (XXE)
- పని చేయని యాక్సెస్ నియంత్రణ
- భద్రత తప్పుగా కాన్ఫిగర్ చేయడం
- సైట్-టు-సైట్ స్క్రిప్టింగ్ (XSS)
- భద్రత లేని డీసీరియలైజేషన్
- తెలిసిన లోపాలను కలిగి ఉన్న భాగాలను ఉపయోగించడం
- లాగింగ్ మరియు పర్యవేక్షణ సరిపోదు.
అందువల్ల అప్లికేషన్ కోడ్లోని బలహీనతలను ఉపయోగించుకునే వివిధ భద్రతా బెదిరింపులకు వ్యతిరేకంగా వెబ్సైట్లు మరియు ఆన్లైన్ సేవలను రక్షించే అభ్యాసాన్ని వెబ్ అప్లికేషన్ సెక్యూరిటీ అంటారు. కంటెంట్ మేనేజ్మెంట్ సిస్టమ్లు (ఉదా, WordPress), డేటాబేస్ అడ్మినిస్ట్రేషన్ టూల్స్ (ఉదా, phpMyAdmin) మరియు SaaS యాప్లు ఆన్లైన్ అప్లికేషన్ దాడులకు అన్ని సాధారణ లక్ష్యాలు.
వెబ్ అప్లికేషన్లు నేరస్థులచే అధిక-ప్రాధాన్య లక్ష్యాలుగా పరిగణించబడతాయి ఎందుకంటే:
- వారి సోర్స్ కోడ్ యొక్క సంక్లిష్టత కారణంగా, గమనించని దుర్బలత్వాలు మరియు హానికరమైన కోడ్ సవరణలు ఎక్కువగా ఉంటాయి.
- సమర్థవంతమైన సోర్స్ కోడ్ ట్యాంపరింగ్ ద్వారా పొందిన సున్నితమైన వ్యక్తిగత సమాచారం వంటి అధిక-విలువ రివార్డ్లు.
- అమలులో సౌలభ్యం, ఎందుకంటే చాలా దాడులు తక్షణమే స్వయంచాలకంగా చేయబడతాయి మరియు ఒకేసారి వేల, పదుల లేదా వందల వేల లక్ష్యాలకు వ్యతిరేకంగా విచక్షణారహితంగా మోహరించబడతాయి.
- తమ వెబ్ అప్లికేషన్లను రక్షించడంలో విఫలమైన సంస్థలు దాడికి గురయ్యే అవకాశం ఉంది. ఇది డేటా చోరీకి దారితీయవచ్చు, క్లయింట్ సంబంధాలు దెబ్బతినడం, రద్దు చేయబడిన లైసెన్స్లు మరియు చట్టపరమైన చర్యలతో పాటు ఇతర విషయాలతోపాటు.
వెబ్సైట్లలో దుర్బలత్వాలు
ఇన్పుట్/అవుట్పుట్ శానిటైజేషన్ లోపాలు వెబ్ అప్లికేషన్లలో సర్వసాధారణం మరియు అవి సోర్స్ కోడ్ని మార్చడానికి లేదా అనధికారిక యాక్సెస్ని పొందడానికి తరచుగా ఉపయోగించబడతాయి.
ఈ లోపాలు వివిధ రకాల దాడి వెక్టర్లను ఉపయోగించుకోవడానికి అనుమతిస్తాయి, వీటిలో:
- SQL ఇంజెక్షన్ - ఒక నేరస్థుడు హానికరమైన SQL కోడ్తో బ్యాకెండ్ డేటాబేస్ను మార్చినప్పుడు, సమాచారం బహిర్గతమవుతుంది. చట్టవిరుద్ధమైన జాబితా బ్రౌజింగ్, పట్టిక తొలగింపు మరియు అనధికారిక నిర్వాహకుని యాక్సెస్ వంటి పరిణామాలు ఉన్నాయి.
- XSS (క్రాస్-సైట్ స్క్రిప్టింగ్) అనేది ఖాతాలకు ప్రాప్యతను పొందడం, ట్రోజన్లను సక్రియం చేయడం లేదా పేజీ కంటెంట్ను మార్చడం కోసం వినియోగదారులను లక్ష్యంగా చేసుకునే ఇంజెక్షన్ దాడి. హానికరమైన కోడ్ నేరుగా అప్లికేషన్లోకి ఇంజెక్ట్ చేయబడినప్పుడు, దీనిని స్టోర్డ్ XSS అంటారు. ఒక అప్లికేషన్ నుండి వినియోగదారు బ్రౌజర్లో హానికరమైన స్క్రిప్ట్ ప్రతిబింబించబడినప్పుడు, దీనిని ప్రతిబింబించిన XSS అంటారు.
- సుదూర ఫైల్ చేరిక - ఈ రకమైన దాడి రిమోట్ స్థానం నుండి వెబ్ అప్లికేషన్ సర్వర్లోకి ఫైల్ను ఇంజెక్ట్ చేయడానికి హ్యాకర్ని అనుమతిస్తుంది. ఇది యాప్లో ప్రమాదకరమైన స్క్రిప్ట్లు లేదా కోడ్ని అమలు చేయడంతోపాటు డేటా చోరీకి లేదా సవరణకు దారితీయవచ్చు.
- క్రాస్-సైట్ అభ్యర్థన ఫోర్జరీ (CSRF) - నగదు యొక్క అనాలోచిత బదిలీ, పాస్వర్డ్ మార్పులు లేదా డేటా చోరీకి దారితీసే ఒక రకమైన దాడి. హానికరమైన వెబ్ ప్రోగ్రామ్ వారు లాగిన్ చేసిన వెబ్సైట్లో అవాంఛనీయ చర్యను నిర్వహించమని వినియోగదారు బ్రౌజర్కు సూచించినప్పుడు ఇది సంభవిస్తుంది.
సిద్ధాంతంలో, ప్రభావవంతమైన ఇన్పుట్/అవుట్పుట్ శానిటైజేషన్ అన్ని దుర్బలత్వాలను నిర్మూలించవచ్చు, అనధికారిక మార్పులకు అనువుగా ఉండేలా అప్లికేషన్ను అందించవచ్చు.
అయినప్పటికీ, చాలా ప్రోగ్రామ్లు అభివృద్ధి యొక్క శాశ్వత స్థితిలో ఉన్నందున, సమగ్ర పరిశుభ్రత చాలా అరుదుగా ఆచరణీయమైన ఎంపిక. ఇంకా, యాప్లు సాధారణంగా ఒకదానితో ఒకటి అనుసంధానించబడి ఉంటాయి, ఫలితంగా కోడెడ్ వాతావరణం మరింత క్లిష్టంగా మారుతోంది.
అటువంటి ప్రమాదాలను నివారించడానికి, వెబ్ అప్లికేషన్ భద్రతా పరిష్కారాలు మరియు PCI డేటా సెక్యూరిటీ స్టాండర్డ్ (PCI DSS) ధృవీకరణ వంటి ప్రక్రియలు అమలు చేయబడాలి.
వెబ్ అప్లికేషన్ల కోసం ఫైర్వాల్ (WAF)
WAFలు (వెబ్ అప్లికేషన్ ఫైర్వాల్లు) అనేది హార్డ్వేర్ మరియు సాఫ్ట్వేర్ సొల్యూషన్స్, ఇవి సెక్యూరిటీ బెదిరింపుల నుండి అప్లికేషన్లను రక్షిస్తాయి. ఏదైనా కోడ్ శానిటైజేషన్ లోపాలను భర్తీ చేయడం ద్వారా దాడి ప్రయత్నాలను గుర్తించడం మరియు నిరోధించడం కోసం ఇన్కమింగ్ ట్రాఫిక్ను తనిఖీ చేయడానికి ఈ పరిష్కారాలు రూపొందించబడ్డాయి.
దొంగతనం మరియు మార్పులకు వ్యతిరేకంగా డేటాను రక్షించడం ద్వారా PCI DSS ధృవీకరణ కోసం WAF విస్తరణ కీలకమైన ప్రమాణాన్ని సూచిస్తుంది. ఆవశ్యకత 6.6 ప్రకారం డేటాబేస్లో నిర్వహించబడే మొత్తం క్రెడిట్ మరియు డెబిట్ కార్డ్ హోల్డర్ డేటా తప్పనిసరిగా భద్రపరచబడాలి.
ఇది నెట్వర్క్ అంచున దాని DMZ కంటే ముందు ఉంచబడినందున, WAFని స్థాపించడం వలన సాధారణంగా అప్లికేషన్లో ఎటువంటి మార్పులు అవసరం లేదు. ఇది అన్ని ఇన్కమింగ్ ట్రాఫిక్కు గేట్వేగా పనిచేస్తుంది, వారు అప్లికేషన్తో పరస్పర చర్య చేయడానికి ముందు ప్రమాదకరమైన అభ్యర్థనలను ఫిల్టర్ చేస్తుంది.
యాప్కి ఏ ట్రాఫిక్కు యాక్సెస్ అనుమతించబడుతుందో మరియు ఏది తొలగించబడాలో అంచనా వేయడానికి, WAFలు వివిధ రకాల హ్యూరిస్టిక్లను ఉపయోగిస్తాయి. క్రమం తప్పకుండా నవీకరించబడిన సంతకం పూల్ కారణంగా వారు హానికరమైన నటులను మరియు తెలిసిన దాడి వెక్టర్లను త్వరగా గుర్తించగలరు.
దాదాపు అన్ని WAFలు వ్యక్తిగత వినియోగ కేసులు మరియు భద్రతా నిబంధనలకు, అలాగే ఉద్భవిస్తున్న (జీరో-డే అని కూడా పిలుస్తారు) బెదిరింపులను ఎదుర్కోవడానికి అనుగుణంగా ఉండవచ్చు. చివరగా, ఇన్కమింగ్ సందర్శకులపై అదనపు అంతర్దృష్టులను పొందడానికి, చాలా ఆధునిక పరిష్కారాలు కీర్తి మరియు ప్రవర్తన డేటాను ఉపయోగిస్తాయి.
భద్రతా చుట్టుకొలతను నిర్మించడానికి, WAFలు సాధారణంగా అదనపు భద్రతా పరిష్కారాలతో కలుపుతారు. వీటిలో డిస్ట్రిబ్యూటెడ్ డినయల్-ఆఫ్-సర్వీస్ (DDoS) నివారణ సేవలు ఉండవచ్చు, ఇవి అధిక-వాల్యూమ్ దాడులను నిరోధించడానికి అవసరమైన అదనపు స్కేలబిలిటీని అందిస్తాయి.
వెబ్ అప్లికేషన్ భద్రత కోసం చెక్లిస్ట్
WAFలతో పాటు వెబ్ యాప్లను రక్షించడానికి అనేక రకాల విధానాలు ఉన్నాయి. ఏదైనా వెబ్ అప్లికేషన్ సెక్యూరిటీ చెక్లిస్ట్ కింది విధానాలను కలిగి ఉండాలి:
- డేటాను సేకరిస్తోంది - ఎంట్రీ పాయింట్లు మరియు క్లయింట్-సైడ్ కోడ్ల కోసం వెతుకుతున్న అప్లికేషన్ను చేతితో పరిశీలించండి. మూడవ పక్షం హోస్ట్ చేసిన కంటెంట్ని వర్గీకరించండి.
- ఆథరైజేషన్ — అప్లికేషన్ను పరీక్షించేటప్పుడు పాత్ ట్రావర్సల్స్, వర్టికల్ మరియు క్షితిజ సమాంతర యాక్సెస్ నియంత్రణ సమస్యలు, తప్పిపోయిన ఆథరైజేషన్ మరియు అసురక్షిత, డైరెక్ట్ ఆబ్జెక్ట్ రిఫరెన్స్ల కోసం చూడండి.
- క్రిప్టోగ్రఫీతో అన్ని డేటా ప్రసారాలను సురక్షితం చేయండి. ఏదైనా సున్నితమైన సమాచారం ఎన్క్రిప్ట్ చేయబడిందా? మీరు ఏదైనా అల్గారిథమ్లను ఉపయోగించారా? ఏదైనా యాదృచ్ఛిక లోపాలు ఉన్నాయా?
- సేవ యొక్క తిరస్కరణ — సేవా దాడుల తిరస్కరణకు వ్యతిరేకంగా అప్లికేషన్ యొక్క స్థితిస్థాపకతను మెరుగుపరచడానికి యాంటీ-ఆటోమేషన్, ఖాతా లాకౌట్, HTTP ప్రోటోకాల్ DoS మరియు SQL వైల్డ్ కార్డ్ DoS కోసం పరీక్ష. ఇది అధిక-వాల్యూమ్ DoS మరియు DDoS దాడులకు వ్యతిరేకంగా భద్రతను కలిగి ఉండదు, వీటిని నిరోధించడానికి వడపోత సాంకేతికతలు మరియు స్కేలబుల్ వనరుల మిశ్రమం అవసరం.
మరిన్ని వివరాల కోసం, OWASP వెబ్ అప్లికేషన్ సెక్యూరిటీ టెస్టింగ్ చీట్ షీట్ను తనిఖీ చేయవచ్చు (ఇది ఇతర భద్రత-సంబంధిత అంశాలకు కూడా గొప్ప వనరు).
DDoS రక్షణ
DDoS దాడులు లేదా పంపిణీ చేయబడిన సేవ తిరస్కరణ దాడులు వెబ్ అప్లికేషన్కు అంతరాయం కలిగించడానికి ఒక సాధారణ మార్గం. కంటెంట్ డెలివరీ నెట్వర్క్ల (CDNలు) వద్ద వాల్యూమెట్రిక్ అటాక్ ట్రాఫిక్ను విస్మరించడం మరియు సేవా అంతరాయాన్ని కలిగించకుండా నిజమైన అభ్యర్థనలను సముచితంగా రూట్ చేయడానికి బాహ్య నెట్వర్క్లను ఉపయోగించడంతో సహా DDoS దాడులను తగ్గించడానికి అనేక విధానాలు ఉన్నాయి.
DNSSEC (డొమైన్ నేమ్ సిస్టమ్ సెక్యూరిటీ ఎక్స్టెన్షన్స్) రక్షణ
డొమైన్ నేమ్ సిస్టమ్, లేదా DNS, ఇంటర్నెట్ యొక్క ఫోన్బుక్, మరియు ఇది వెబ్ బ్రౌజర్ వంటి ఇంటర్నెట్ సాధనం సంబంధిత సర్వర్ను ఎలా కనుగొంటుందో ప్రతిబింబిస్తుంది. DNS కాష్ పాయిజనింగ్, ఆన్-పాత్ అటాక్లు మరియు DNS లుక్అప్ లైఫ్సైకిల్తో జోక్యం చేసుకునే ఇతర మార్గాలను చెడు నటులు ఈ DNS అభ్యర్థన ప్రక్రియను హైజాక్ చేయడానికి ఉపయోగిస్తారు. DNS అనేది ఇంటర్నెట్ ఫోన్ బుక్ అయితే, DNSSEC అనేది స్పూఫబుల్ కాలర్ ID. DNS లుక్అప్ అభ్యర్థన DNSSEC సాంకేతికతను ఉపయోగించి రక్షించబడుతుంది.
సర్టిఫికేషన్ పాఠ్యాంశాలతో మిమ్మల్ని మీరు వివరంగా తెలుసుకునేందుకు మీరు దిగువ పట్టికను విస్తరించవచ్చు మరియు విశ్లేషించవచ్చు.
EITC/IS/WASF వెబ్ అప్లికేషన్స్ సెక్యూరిటీ ఫండమెంటల్స్ సర్టిఫికేషన్ కరికులం వీడియో రూపంలో ఓపెన్-యాక్సెస్ డిడాక్టిక్ మెటీరియల్లను సూచిస్తుంది. అభ్యాస ప్రక్రియ దశల వారీ నిర్మాణంగా విభజించబడింది (కార్యక్రమాలు -> పాఠాలు -> అంశాలు) సంబంధిత పాఠ్యాంశాలను కవర్ చేస్తుంది. డొమైన్ నిపుణులతో అపరిమిత కన్సల్టెన్సీ కూడా అందించబడుతుంది.
ధృవీకరణ ప్రక్రియపై వివరాల కోసం తనిఖీ చేయండి ఇది ఎలా పని చేస్తుంది.
EITC/IS/WASF వెబ్ అప్లికేషన్స్ సెక్యూరిటీ ఫండమెంటల్స్ ప్రోగ్రామ్ కోసం పూర్తి ఆఫ్లైన్ సెల్ఫ్ లెర్నింగ్ ప్రిపరేటరీ మెటీరియల్లను PDF ఫైల్లో డౌన్లోడ్ చేయండి
EITC/IS/WASF సన్నాహక పదార్థాలు - ప్రామాణిక వెర్షన్
EITC/IS/WASF ప్రిపరేటరీ మెటీరియల్స్ - సమీక్ష ప్రశ్నలతో పొడిగించిన వెర్షన్