EITC/IS/WASF Web Applications Security Fundamentals

Open Web Application Security Project (OWASP) tilbyder ressourcer, der er både gratis og åbne. En non-profit OWASP Foundation er ansvarlig for det. 2017 OWASP Top 10 er resultatet af den aktuelle undersøgelse baseret på omfattende data indsamlet fra over 40 partnerorganisationer. Cirka 2.3 millioner sårbarheder blev opdaget på tværs af over 50,000 applikationer, der bruger disse data. De ti mest kritiske sikkerhedsproblemer for onlineapplikationer ifølge OWASP Top 10 – 2017 er:

• Injektion
• Godkendelsesproblemer
• Eksponerede følsomme data XML eksterne enheder (XXE)
• Adgangskontrol, der ikke virker
• Fejlkonfiguration af sikkerhed
• Site-to-site scripting (XSS)
• Deserialisering, der ikke er sikker
• Brug af komponenter, der har kendte fejl
• Logning og overvågning er utilstrækkelig.

Derfor er praksis med at forsvare websteder og onlinetjenester mod forskellige sikkerhedstrusler, der udnytter svagheder i en applikations kode, kendt som webapplikationssikkerhed. Indholdsstyringssystemer (f.eks. WordPress), databaseadministrationsværktøjer (f.eks. phpMyAdmin) og SaaS-apps er alle almindelige mål for online-applikationsangreb.

Webapplikationer betragtes som højprioriterede mål af gerningsmændene, fordi:

• På grund af den indviklede kildekode, er uovervågede sårbarheder og ondsindet kodeændring mere sandsynlig.
• Belønninger af høj værdi, såsom følsomme personlige oplysninger opnået gennem effektiv kildekodemanipulation.
• Nem henrettelse, fordi de fleste overfald let kan automatiseres og udsendes vilkårligt mod tusinder, tiere eller endda hundredtusinder af mål på én gang.
• Organisationer, der undlader at beskytte deres webapplikationer, er sårbare over for angreb. Dette kan blandt andet føre til datatyveri, anstrengte klientforhold, annullerede licenser og retslige skridt.

Sårbarheder på websteder

Input/output-saneringsfejl er almindelige i webapplikationer, og de bliver ofte udnyttet til enten at ændre kildekode eller få uautoriseret adgang.

Disse fejl giver mulighed for udnyttelse af en række forskellige angrebsvektorer, herunder:

• SQL-injektion – Når en gerningsmand manipulerer en backend-database med ondsindet SQL-kode, afsløres information. Ulovlig listesøgning, sletning af tabeller og uautoriseret administratoradgang er blandt konsekvenserne.
• XSS (Cross-site Scripting) er et injektionsangreb, der retter sig mod brugere for at få adgang til konti, aktivere trojanske heste eller ændre sideindhold. Når skadelig kode injiceres direkte i en applikation, er dette kendt som lagret XSS. Når ondsindet script spejles fra et program til en brugers browser, er dette kendt som reflekteret XSS.
• Fjern filinkludering - Denne form for angreb gør det muligt for en hacker at injicere en fil i en webapplikationsserver fra en fjernplacering. Dette kan føre til, at farlige scripts eller kode udføres i appen, samt datatyveri eller ændring.
• Cross-site Request Forgery (CSRF) – En type angreb, der kan resultere i en utilsigtet overførsel af kontanter, ændringer af adgangskode eller datatyveri. Det opstår, når et ondsindet webprogram instruerer en brugers browser til at udføre en uønsket handling på et websted, som de er logget ind på.

I teorien kan effektiv input/output-sanering udrydde alle sårbarheder, hvilket gør en applikation uigennemtrængelig for uautoriserede ændringer.

Men fordi de fleste programmer er i en evig udviklingstilstand, er omfattende desinficering sjældent en levedygtig mulighed. Desuden er apps almindeligvis integreret med hinanden, hvilket resulterer i et kodet miljø, der bliver mere og mere komplekst.

For at undgå sådanne farer bør webapplikationssikkerhedsløsninger og -processer, såsom PCI Data Security Standard (PCI DSS)-certificering, implementeres.

Firewall til webapplikationer (WAF)

WAF'er (webapplikationsfirewalls) er hardware- og softwareløsninger, der beskytter applikationer mod sikkerhedstrusler. Disse løsninger er designet til at inspicere indgående trafik for at detektere og blokere angrebsforsøg, og kompensere for eventuelle kodesaneringsfejl.

WAF-implementering adresserer et afgørende kriterium for PCI DSS-certificering ved at beskytte data mod tyveri og modifikation. Alle kredit- og betalingskortholderdata, der opbevares i en database, skal beskyttes i henhold til krav 6.6.

Fordi det er sat foran sin DMZ ved netværkets kant, kræver etablering af en WAF normalt ikke nogen ændringer af en applikation. Det fungerer derefter som en gateway for al indgående trafik, og filtrerer farlige anmodninger fra, før de kan interagere med en applikation.

For at vurdere, hvilken trafik der har adgang til en applikation, og hvilken der skal luges ud, anvender WAF'er en række forskellige heuristika. De kan hurtigt identificere ondsindede aktører og kendte angrebsvektorer takket være en regelmæssigt opdateret signaturpulje.

Næsten alle WAF'er kan skræddersyes til individuelle brugssager og sikkerhedsbestemmelser, såvel som bekæmpelse af nye (også kendt som zero-day) trusler. Endelig, for at opnå yderligere indsigt i indkommende besøgende, bruger de fleste moderne løsninger omdømme- og adfærdsdata.

For at bygge en sikkerhedsperimeter kombineres WAF'er normalt med yderligere sikkerhedsløsninger. Disse kunne omfatte distribuerede denial-of-service (DDoS) forebyggelsestjenester, som giver den ekstra skalerbarhed, der er nødvendig for at forhindre angreb i store mængder.

Tjekliste til webapplikationssikkerhed
Der er en række forskellige tilgange til beskyttelse af webapps ud over WAF'er. Enhver webapplikationssikkerhedstjekliste bør omfatte følgende procedurer:

• Indsamling af data — Gennemgå applikationen manuelt, og se efter indgangspunkter og koder på klientsiden. Klassificer indhold, der hostes af en tredjepart.
• Autorisation — Se efter stigennemløb, problemer med lodret og horisontal adgangskontrol, manglende autorisation og usikre, direkte objektreferencer, når du tester applikationen.
• Sikre alle datatransmissioner med kryptografi. Er nogen følsomme oplysninger blevet krypteret? Har du brugt nogen algoritmer, der ikke er til snus? Er der nogen tilfældighedsfejl?
• Denial of service — Test for anti-automatisering, kontolås, HTTP-protokol DoS og SQL wildcard DoS for at forbedre en applikations modstandsdygtighed mod lammelsesangreb. Dette inkluderer ikke sikkerhed mod højvolumen DoS- og DDoS-angreb, som kræver en blanding af filtreringsteknologier og skalerbare ressourcer for at modstå.

For yderligere detaljer kan man tjekke OWASP Web Application Security Testing Cheat Sheet (det er også en fantastisk ressource til andre sikkerhedsrelaterede emner).

DDoS beskyttelse

DDoS-angreb eller distribuerede denial-of-service-angreb er en typisk måde at afbryde en webapplikation på. Der er en række tilgange til at afbøde DDoS-angreb, herunder kassering af volumetrisk angrebstrafik på Content Delivery Networks (CDN'er) og brug af eksterne netværk til at rute ægte anmodninger korrekt uden at forårsage en tjenesteafbrydelse.

DNSSEC (Domain Name System Security Extensions) beskyttelse

Domænenavnesystemet, eller DNS, er internettets telefonbog, og det afspejler, hvordan et internetværktøj, såsom en webbrowser, finder den relevante server. DNS-cacheforgiftning, on-path-angreb og andre midler til at forstyrre DNS-opslagslivscyklussen vil blive brugt af dårlige aktører til at kapre denne DNS-anmodningsproces. Hvis DNS er internettets telefonbog, er DNSSEC et opkalds-id, der ikke kan forfalskes. En anmodning om DNS-opslag kan beskyttes ved hjælp af DNSSEC-teknologien.