
EITC/IS/WAPT Web Applications Penetration Testing er det europæiske IT-certificeringsprogram om teoretiske og praktiske aspekter af webapplikationspenetrationstest (white hacking), herunder forskellige teknikker til webstedsspidering, scanning og angrebsteknikker, herunder specialiserede penetrationstestværktøjer og suiter .
Læreplanen for EITC/IS/WAPT Web Applications Penetration Testing dækker introduktion til Burp Suite, web spidering og DVWA, brute force testing med Burp Suite, web application firewall (WAF) detektion med WAFW00F, target scope og spidering, opdagelse af skjulte filer med ZAP, WordPress sårbarhedsscanning og opregning af brugernavne, load balancer-scanning, cross-site scripting, XSS – reflekteret, lagret og DOM, proxyangreb, konfiguration af proxyen i ZAP, filer og mappeangreb, fil- og biblioteksopdagelse med DirBuster, praksis for webangreb , OWASP Juice Shop, CSRF – Cross Site Request Forgery, cookie-indsamling og reverse engineering, HTTP-attributter – cookie-tyveri, SQL-injektion, DotDotPwn – directory traversal fuzzing, iframe-injection og HTML-injection, Heartbleed exploit – opdagelse og udnyttelse, PHP-kodeinjektion, bWAPP – HTML-injektion, reflekteret POST, OS-kommandeinjektion med Commix, server-side inkluderer SSI-injektion, pentesting i Docker, OverTheWire Natas, LFI og kommandoinjektion, Google-hacking til penetrering, Google Dorks til penetrationstest, Apache2 ModSecurity samt Nginx ModSecurity inden for følgende struktur, der omfatter omfattende videodidaktisk indhold som reference for denne EITC-certificering.
Webapplikationssikkerhed (ofte omtalt som Web AppSec) er konceptet med at designe websteder til at fungere normalt, selv når de bliver angrebet. Begrebet er at integrere et sæt sikkerhedsforanstaltninger i en webapplikation for at beskytte dens aktiver mod fjendtlige agenter. Webapplikationer, som al software, er tilbøjelige til fejl. Nogle af disse fejl er faktiske sårbarheder, der kan udnyttes, hvilket udgør en risiko for virksomheder. Sådanne fejl beskyttes mod via webapplikationssikkerhed. Det indebærer anvendelse af sikre udviklingstilgange og indførelse af sikkerhedskontroller gennem hele softwareudviklingens livscyklus (SDLC), der sikrer, at designfejl og implementeringsproblemer løses. Online penetrationstest, som udføres af eksperter, der har til formål at afdække og udnytte webapplikationssårbarheder ved hjælp af en såkaldt white hacking-tilgang, er en væsentlig praksis for at muliggøre passende forsvar.
En webpenetrationstest, også kendt som en webpentest, simulerer et cyberangreb på en webapplikation for at finde udbyttelige fejl. Penetrationstest bruges ofte til at supplere en webapplikationsfirewall i forbindelse med webapplikationssikkerhed (WAF). Pentesting indebærer generelt forsøg på at trænge ind i et hvilket som helst antal applikationssystemer (f.eks. API'er, frontend/backend-servere) for at finde sårbarheder, såsom usanitiseret input, der er sårbart over for kodeinjektionsangreb.
Resultaterne af online penetrationstesten kan bruges til at konfigurere WAF-sikkerhedspolitikker og adressere opdagede sårbarheder.
Penetrationstest har fem trin.
Pen-testproceduren er opdelt i fem trin.
- Planlægning og spejderarbejde
At definere omfanget og målene for en test, herunder de systemer, der skal behandles, og de testmetoder, der skal anvendes, er den første fase.
For at få en bedre forståelse af, hvordan et mål fungerer og dets potentielle svagheder, skal du indsamle efterretninger (f.eks. netværks- og domænenavne, mailserver). - Scanning
Næste trin er at finde ud af, hvordan målapplikationen vil reagere på forskellige typer indtrængningsforsøg. Dette opnås normalt ved at anvende følgende metoder:
Statisk analyse – Undersøgelse af en applikations kode for at forudsige, hvordan den vil opføre sig, når den køres. I et enkelt gennemløb kan disse værktøjer scanne hele koden.
Dynamisk analyse er processen med at inspicere en applikations kode, mens den kører. Denne metode til scanning er mere praktisk, fordi den giver et realtidsbillede af en applikations ydeevne. - At få adgang
For at finde et måls svagheder bruger dette trin webapplikationsangreb såsom cross-site scripting, SQL-injektion og bagdøre. For at forstå den skade, som disse sårbarheder kan påføre, forsøger testere at udnytte dem ved at eskalere privilegier, stjæle data, opsnappe trafik og så videre. - Holder adgangen
Formålet med denne fase er at vurdere, om sårbarheden kan udnyttes til at etablere en langsigtet tilstedeværelse i det kompromitterede system, hvilket giver en dårlig aktør mulighed for at få dybdegående adgang. Målet er at efterligne avancerede vedvarende trusler, som kan forblive i et system i flere måneder for at stjæle en virksomheds mest følsomme oplysninger. - Analyse
Penetrationstestresultaterne sættes derefter i en rapport, der indeholder oplysninger som:
Sårbarheder, der blev udnyttet i detaljer
Data, der blev indhentet, var følsomme
Mængden af tid, pennetesteren var i stand til at forblive ubemærket i systemet.
Sikkerhedseksperter bruger disse data til at hjælpe med at konfigurere en virksomheds WAF-indstillinger og andre applikationssikkerhedsløsninger for at reparere sårbarheder og forhindre yderligere angreb.
Metoder til gennemtrængningstestning
- Ekstern penetrationstest fokuserer på en virksomheds aktiver, der er synlige på internettet, såsom selve webapplikationen, virksomhedens hjemmeside samt e-mail- og domænenavneservere (DNS). Målet er at få adgang til og udtrække nyttig information.
- Intern test indebærer, at en tester har adgang til en applikation bag en virksomheds firewall, der simulerer et fjendtligt insiderangreb. Dette er ikke nødvendigt en slyngel medarbejdersimulering. En medarbejder, hvis legitimationsoplysninger er opnået som følge af et phishingforsøg, er et almindeligt udgangspunkt.
- Blindtest er, når en tester blot får navnet på den virksomhed, der testes. Dette giver sikkerhedseksperter mulighed for at se, hvordan et faktisk applikationsangreb kan udspille sig i realtid.
- Dobbelt-blind test: I en dobbelt-blind test er sikkerhedsprofessionelle ikke klar over det simulerede angreb på forhånd. De vil ikke nå at støtte deres befæstninger før et forsøg på brud, ligesom i den virkelige verden.
- Målrettet test – i dette scenarie samarbejder testeren og sikkerhedspersonalet og holder styr på hinandens bevægelser. Dette er en fremragende træningsøvelse, der giver et sikkerhedsteam feedback i realtid fra en hackers perspektiv.
Webapplikations firewalls og penetrationstest
Penetrationstest og WAF'er er to separate, men komplementære sikkerhedsteknikker. Testeren vil sandsynligvis udnytte WAF-data, såsom logfiler, til at finde og udnytte en applikations svage områder i mange typer pentests (med undtagelse af blind- og dobbeltblindetests).
Til gengæld kan pentestdata hjælpe WAF-administratorer. Efter afslutningen af en test kan WAF-konfigurationer ændres for at beskytte mod de fejl, der er opdaget under testen.
Endelig opfylder pentest visse af sikkerhedsrevisionsmetodernes overholdelseskrav, såsom PCI DSS og SOC 2. Visse krav, såsom PCI-DSS 6.6, kan kun opfyldes, hvis der anvendes en certificeret WAF. Men på grund af de førnævnte fordele og potentiale til at ændre WAF-indstillinger, gør dette ikke pennetest mindre nyttigt.
Hvad er betydningen af test af websikkerhed?
Målet med websikkerhedstest er at identificere sikkerhedsfejl i webapplikationer og deres opsætning. Applikationslaget er det primære mål (dvs. hvad der kører på HTTP-protokollen). At sende forskellige former for input til en webapplikation for at fremkalde problemer og få systemet til at reagere på uventede måder er en almindelig tilgang til at teste dets sikkerhed. Disse "negative tests" ser for at se, om systemet gør noget, det ikke var beregnet til at opnå.
Det er også vigtigt at indse, at websikkerhedstest indebærer mere end blot at verificere applikationens sikkerhedsfunktioner (såsom godkendelse og autorisation). Det er også afgørende at sikre, at andre funktioner implementeres sikkert (f.eks. forretningslogik og brug af korrekt inputvalidering og outputkodning). Formålet er at sikre, at webapplikationens funktioner er sikre.
Hvad er de mange typer sikkerhedsvurderinger?
- Test for Dynamic Application Security (DAST). Denne automatiserede applikationssikkerhedstest er bedst egnet til lavrisiko, internt-vendte apps, der skal opfylde lovmæssige sikkerhedskrav. At kombinere DAST med nogle manuelle online sikkerhedstests for almindelige sårbarheder er den bedste strategi for apps med mellemrisiko og vigtige applikationer, der gennemgår mindre ændringer.
- Sikkerhedstjek for statiske applikationer (SAST). Denne applikationssikkerhedsstrategi omfatter både automatiserede og manuelle testmetoder. Den er ideel til at opdage fejl uden at skulle køre apps i et live miljø. Det giver også ingeniører mulighed for at scanne kildekoden for at opdage og rette softwaresikkerhedsfejl på en systematisk måde.
- Penetrationsundersøgelse. Denne manuelle applikationssikkerhedstest er ideel til vigtige applikationer, især dem, der gennemgår væsentlige ændringer. For at finde avancerede angrebsscenarier bruger evalueringen forretningslogik og modstandsbaseret test.
- Application Self-Protection in the Runtime (RASP). Denne voksende applikationssikkerhedsmetode inkorporerer en række teknologiske teknikker til at instrumentere en applikation, så trusler kan overvåges og forhåbentlig forhindres i realtid, når de opstår.
Hvilken rolle spiller applikationssikkerhedstest for at sænke virksomhedens risiko?
Langt de fleste angreb på webapplikationer omfatter:
- SQL Injection
- XSS (Cross Site Scripting)
- Fjernkommandoudførelse
- Path Traversal Angreb
- Begrænset indholdsadgang
- Kompromitterede brugerkonti
- Installation af skadelig kode
- Tabt salgsindtægt
- Kundernes tillid eroderer
- Skader brandets omdømme
- Og en masse andre angreb
I dagens internetmiljø kan en webapplikation blive skadet af en række forskellige udfordringer. Grafikken ovenfor viser et par af de mest almindelige angreb begået af angribere, som hver især kan forårsage betydelig skade på en individuel applikation eller en hel virksomhed. At kende de mange angreb, der gør en applikation sårbar, samt de mulige resultater af et angreb, giver virksomheden mulighed for at løse sårbarheder på forhånd og effektivt teste for dem.
Afhjælpende kontroller kan etableres i de tidlige faser af SDLC for at forhindre problemer ved at identificere årsagen til sårbarheden. Under en webapplikationssikkerhedstest kan viden om, hvordan disse trusler virker, også bruges til at målrette mod kendte steder af interesse.
At erkende virkningen af et angreb er også vigtigt for at styre virksomhedens risiko, da virkningerne af et vellykket angreb kan bruges til at bestemme alvoren af sårbarheden generelt. Hvis sårbarheder opdages under en sikkerhedstest, giver en bestemmelse af deres alvor mulighed for, at virksomheden kan prioritere afhjælpende indsats mere effektivt. For at reducere risikoen for virksomheden skal du starte med kritiske alvorlighedsproblemer og arbejde dig ned til dem, der har mindre effekt.
Før du identificerer et problem, vil vurdering af den mulige effekt af hvert program i virksomhedens applikationsbibliotek hjælpe dig med at prioritere applikationssikkerhedstest. Wenb-sikkerhedstest kan planlægges til først at målrette virksomhedens kritiske applikationer, med mere målrettede tests for at mindske risikoen mod virksomheden. Med en etableret liste over højprofilerede applikationer kan wenb-sikkerhedstest planlægges til først at målrette virksomhedens kritiske applikationer, med mere målrettet test for at sænke risikoen mod virksomheden.
Hvilke funktioner skal undersøges under en webapplikationssikkerhedstest?
Under webapplikationssikkerhedstest skal du overveje følgende ikke-udtømmende liste over funktioner. En ineffektiv implementering af hver enkelt kan resultere i svagheder, hvilket bringer virksomheden i fare.
- Konfiguration af applikation og server. Kryptering/kryptografiske opsætninger, webserverkonfigurationer og så videre er alle eksempler på potentielle fejl.
- Validering af input- og fejlhåndtering Dårlig input- og outputbehandling fører til SQL-injektion, cross-site scripting (XSS) og andre typiske injektionsproblemer.
- Autentificering og vedligeholdelse af sessioner. Sårbarheder, der kan føre til brugerefterligning. Credential styrke og beskyttelse bør også tages i betragtning.
- Bemyndigelse. Applikationens kapacitet til at beskytte mod vertikale og horisontale privilegieeskalationer er ved at blive testet.
- Logik i erhvervslivet. De fleste programmer, der leverer forretningsfunktionalitet, er afhængige af disse.
- Logik i klientens ende. Denne type funktion er ved at blive mere almindelig med moderne, JavaScript-tunge websider, såvel som websider, der bruger andre typer klientsideteknologier (f.eks. Silverlight, Flash, Java-applets).
For at gøre dig nærmere bekendt med certificeringspensum kan du udvide og analysere nedenstående tabel.
EITC/IS/WAPT Web Applications Penetration Testing Certification Curriculum refererer til didaktisk materiale med åben adgang i en videoform. Læreprocessen er opdelt i en trin-for-trin struktur (programmer -> lektioner -> emner), der dækker relevante læseplansdele. Der tilbydes også ubegrænset rådgivning med domæneeksperter.
Tjek for detaljer om certificeringsproceduren Sådan fungerer det.