adminvista.com

Hur lär man sig säkerhet i webbapplikationer?

By rik

Cybersäkerhet på webben är en realitet som det är bäst att erkänna tidigt, istället för att vänta på att olyckan ska vara framme.

Den snabba utvecklingen inom teknik, inklusive webbtjänster och applikationer, har revolutionerat företagsvärlden. Många verksamheter har flyttat sina centrala processer online, vilket underlättar samarbete och datautbyte i realtid för medarbetare och affärspartners över hela världen.

Introduktionen av moderna HTML5-baserade webbapplikationer och Web 2.0 har förändrat kundernas förväntningar. Nu kräver användare tillgång till information dygnet runt, året om. Detta har tvingat onlineföretag att tillhandahålla kontinuerlig tillgänglighet till sin data.

Den globala nedstängningsperioden har visserligen gynnat både distansarbetare och e-handelsföretag, men den har också gett cyberkriminella en enorm fördel.

Ökningen av onlinehandel och distansarbete har gjort det lättare för dem att stjäla stora mängder kreditkortsinformation och rikta in sig på både distansarbetare och deras organisationer. Denna utveckling har också lockat bedragare och illvilliga hackare som ständigt utvecklar nya hotvektorer.

Enligt en rapport upplevde cirka 80 % av företagen en ökning av cyberattacker i år, medan hoten mot banker ökade med 238 % under Coronaviruspandemin.

För att motverka dessa attacker utvecklades webbapplikationssäkerhet. Denna sektor kräver duktiga experter som kan skydda organisationer från att förlora data, pengar och kundernas förtroende.

Denna artikel syftar till att ge en grundläggande förståelse för säkerhet, beskriva vad som förväntas av webbsäkerhetsproffs, samt presentera resurser för att lära sig och bemästra färdigheterna inom området.

Så, är du redo att börja?

Vad är webbapplikationssäkerhet?

Webbsäkerhet, cybersäkerhet eller webbapplikationssäkerhet handlar om att skydda onlinetjänster och webbplatser från olika hot som utnyttjar de sårbarheter som finns i applikationernas kod.

Några av de vanligaste måltavlorna för dessa attacker är databashanteringssystem som phpMyAdmin, SaaS-applikationer och innehållshanteringssystem (CMS) som WordPress.

Webbsäkerhetens mål är att förebygga sådana attacker genom att neka obehörig åtkomst, användning, förstörelse/störning eller ändring av data.

Men varför är webbapplikationer ett sådant frekvent mål?

  • Den inneboende komplexiteten i applikationernas källkod ökar sannolikheten för sårbarheter och kodmanipulation.
  • Applikationer är relativt enkla att köra, vilket gör det möjligt för angripare att automatisera attacker mot tusentals applikationer samtidigt.
  • Det potentiella bytet är stort, inklusive känslig och privat data, samt ekonomiska tillgångar som kan stjälas genom manipulation av källkoden.

Vanliga typer av sårbarhet

Cross-site Scripting (XSS)

XSS gör det möjligt för angripare att injicera skript på klientsidan av en webbsida, vilket ger dem tillgång till viktig data, möjlighet att lura användare att avslöja känslig information, eller att utge sig för att vara en användare. Konsekvenserna kan inkludera kapade konton, aktivering av trojaner, ändring av sidinnehåll etc.

Cross-site Request Forgery (CSRF)

CSRF lurar offer att göra förfrågningar som utnyttjar deras auktorisering eller autentisering. Genom dessa kontoprivilegier kan angripare göra förfrågningar som ser ut att komma från den faktiska användaren, vilket kan leda till obehöriga transaktioner, ändrade lösenord och liknande.

Denial of Service (DoS) & Distributed Denial of Service (DDoS)

Angripare överbelastar den målinriktade servern eller dess infrastruktur med stora mängder skadlig trafik. När servern inte längre kan bearbeta inkommande förfrågningar effektivt blir den långsam och nekar så småningom tjänster till legitima besökare.

SQL-injektion 💉

En metod som används för att utnyttja sårbarheter i hur databaser hanterar förfrågningar. Angripare använder SQL-injektion för att få tillgång till obehörig data, skapa eller ändra användarbehörigheter, förstöra eller manipulera känslig data och mycket mer.

Filinkludering på distans

Angripare använder detta för att injicera skadliga filer med kod i en webbapplikationsserver. Denna kod kan sedan köras för att skada applikationen, manipulera den eller stjäla data.

Andra

Andra vanliga attacker inkluderar minneskorruption, dataintrång, clickjacking, katalogövergång, kommandoinjektion och utnyttjande av overflow-buggar.

Förhoppningsvis ger detta en tillräcklig förståelse för varför webbsäkerhet är så viktigt idag och varför det är nödvändigt för alla att implementera den så snabbt som möjligt, innan det uppstår hot mot din applikation och skadar din ekonomi eller ditt rykte.

På grund av det ökande behovet är det många som vill lära sig mer om detta område. Om du är intresserad av att studera detta ämne kan det vara ett utmärkt karriärval och även ge fördelar på det personliga planet.

Vad gör webbsäkerhetsproffs?

Webbsäkerhetsproffs är ansvariga för att skydda webbapplikationer, relaterade nätverk och applikationsdata. De hjälper till att minska riskerna för dataintrång genom att övervaka nätverk och reagera på hot.

Dessa yrkespersoner har ofta en bakgrund som nätverks- eller systemadministratörer, eller programmerare. Detta beror på att området kräver nyfikenhet, kritiskt tänkande, passion för forskning och lärande. De måste kunna överlista hackare som är ”destruktivt kreativa” när det gäller att utveckla och injicera olika hot.

Säkerhetshot kan dyka upp när som helst, så säkerhetspersonal måste ständigt uppdatera sig med de senaste metoderna som hackare använder för att ta sig in i system och nätverk. Några av de ansvarsområden som webbsäkerhetsproffs har är:

  • Att identifiera sårbarheter i webbapplikationer, databaser och kryptering.
  • Att minska effekterna av attacker genom att åtgärda säkerhetsproblem.
  • Att utföra regelbundna revisioner för att säkerställa bästa säkerhetspraxis.
  • Att distribuera verktyg för förebyggande och upptäckt av slutpunkter för att förhindra skadliga attacker.
  • Att implementera system för sårbarhetshantering i molnet och lokalt.
  • Att hantera sanering efter att attacker har inträffat.
  • Att samarbeta med andra IT-avdelningar för att planera katastrofåterställning.
  • Att arbeta med teamledare och HR för att utbilda all personal i att upptäcka misstänkt aktivitet.

Några bästa säkerhetsrutiner för att säkra webbapplikationer

Använda webbapplikationsbrandväggar (WAF)

WAF hjälper till att skydda dina webbapplikationer från skadliga HTTP-förfrågningar genom att fungera som en barriär mellan angripare och din server. Den kan skydda lager sju mot hot som XSS, CSRF, SQL-injektion etc.

DDoS-reducering

Som namnet antyder används detta för att minska effekterna av DDoS-attacker på applikations- och nätverksnivå, och därmed skydda webbplatser, applikationer och serverinfrastruktur.

Bot 🤖 filtrering

Detta implementeras för att filtrera bort skadlig bottrafik.

DNS-skydd

Detta görs för att skydda dina DNS-förfrågningar från att kapas genom on-path-attacker och DNS-cacheförgiftning.

Använder HTTPS

HTTPS krypterar all data som utbyts mellan servern och klienten för att skydda inloggningsuppgifter, headerinformation, cookies, förfrågningsdata etc.

Om du har bestämt dig för att lära dig webbapplikationssäkerhet kan du hänvisa till följande utbildningsresurser för att vässa dina kunskaper 🧑‍💻.

PortSwigger

Lär dig av skaparna av Burp Suite – en ledande plattform för en mängd olika cybersäkerhetsverktyg – på PortSwigger. Detta är en onlinebaserad och GRATIS utbildning som kan stärka din karriär inom cybersäkerhet.

Med interaktiva labb kan du lära dig när som helst, var som helst och följa dina framsteg över tid. Utbildningen ger kunskap om sårbarheter i affärslogik, informationsläckage, förgiftning av webbcache, osäker deserialisering, SQL-injektion, XSS, CSRF, XXE-injektion och mycket mer.

PortSwiggers utbildningsmaterial är skapat av erfarna proffs, forskargrupper och deras grundare – Dafydd Stuttard. Han är också författare till den välkända boken ”Web Application Hacker’s Handbook”.

Lektionerna förklaras i detalj genom text och video för att underlätta inlärningen av viktiga punkter. Deras interaktiva labb gör hela kursen engagerande, och det är där realistiska utmaningar testar dina hackingfärdigheter.

EdX

”Web Security Fundamentals” från EdX är en utmärkt resurs för att förstå de grundläggande principerna. Den ger en översikt över vanliga attacker och motåtgärder, både teoretiskt och praktiskt.

De går också igenom den bästa säkerhetspraxis som används idag för att skydda webbapplikationer. Du behöver inte ha några förkunskaper inom säkerhet för att gå kursen. Men om du har kunskap om HTTP, JavaScript, HTML etc. kommer det att vara till stor hjälp.

Kursen varar i fem veckor och inkluderar 4-6 timmars studier per vecka. Det är helt GRATIS att lära sig, men om du vill kan du betala 48,97 USD för att få ett verifierat certifikat signerat av instruktören och med institutionens logotyp. Detta certifikat kan användas för att förbättra jobbmöjligheterna och kan delas på LinkedIn eller inkluderas i ditt CV.

Stanford

Kursen CS 253 Web Security från Stanford erbjuder en komplett sammanfattning av webbsäkerhet och syftar till att ge studenterna en förståelse för vanliga webbattacker och hur man kan förhindra dem. Kursen täcker inte bara grunderna utan även avancerade aspekter av webbsäkerhet.

Några av de ämnen som behandlas inkluderar:

  • Webbsäkerhetsprinciper
  • Attacker och motåtgärder
  • Sårbarheter i webbapplikationer
  • Säkerhetsmodeller för webbläsare
  • Injektions-, DoS- och TLS-attacker
  • Fingeravtryck, integritet, policy för samma ursprung, autentisering, cross-site scripting och JavaScript-säkerhet
  • Försvar på djupet
  • Nya hot
  • Tekniker för att skriva säker kod och utnyttja säkerhetsbrister
  • Implementera framväxande webbstandarder och skydda svaga webbappar

För att gå den här kursen måste du ha genomfört CS 142 eller ha motsvarande erfarenhet av webbutveckling. Närvaro är obligatorisk och betyget baseras på:

  • 75 % på uppgifter
  • 25 % på slutprovet

För att förbereda dig bättre kan du studera lösningarna för slutprovet från 2019 och andra exempelfrågor för CS 253.

Nybörjarvänligt

Utan tvekan är Udemy en av de bästa plattformarna för att studera onlinekurser; webbapplikationssäkerhet är en av dem. Om du är nybörjare är den här kursen bra för dig, eftersom den inte kräver några förkunskaper om kodning.

I den här kursen får du lära dig:

  • Identifiering av de tio främsta hoten som identifierats av OWASP eller Open Web Application Security Project.
  • Hur dessa hot kan mildras.
  • Effekten av varje hot på ditt företag.
  • Hur angripare utför dessa hot.

Kursen är förklarad på ett enkelt språk så att alla som har grundläggande kunskaper om internet och datorer kan förstå den. Den täcker också djupgående försvar, en förklaring av spoofing, informationsläckage, manipulering, förnekande, utökade privilegier och DoS.

Erfarna instruktörer finns där för att lära dig allt du behöver för att behärska grunderna i webbsäkerhet.

Coursera

Ett annat mycket bra alternativ är Coursera, som lär dig hur du använder OWASP ZAP eller Zed Attack Proxy. Det här verktyget hjälper säkerhetspersonal och penetrationstestare att hitta sårbarheter.

  • De lär dig hur du skannar efter sårbarheter, analyserar skanningsresultat och skapar rapporter utifrån dessa.
  • Du kommer också att lära dig webbläsarens proxykonfiguration för att passivt skanna svar och förfrågningar medan du utforskar webbplatser.
  • En kort förklaring av hur man visar, fångar upp, vidarebefordrar och ändrar webbförfrågningar mellan webbapplikationen och webbläsaren.
  • Dessutom kommer du att lära dig att använda ordlistor för att hitta mappar och filer på din webbserver.
  • Slutligen får du lära dig att genomsöka webbplatser för att hitta webbadresser och länkar.

Kursledarna guidar dig steg för steg genom varje ämne med hjälp av videor med delad skärm. Eftersom allt sker i molnet behöver du inte slösa tid på nedladdningar. Coursera ger certifikat för varje kurs utan extra kostnad.

PentesterLab

PentesterLab täcker allt från grunderna till avancerad nivå. De lär dig hur du hittar och utnyttjar sårbarheter manuellt. Alla deras övningar handlar om vanliga svagheter eller problem som finns i olika system.

För att underlätta inlärningen tillhandahåller de verkliga system och faktiska sårbarheter, vilket gör att du kan lära dig i realtid, utan emulering. Deras onlineövningar ger dig möjlighet att få certifikat efter avslutad kurs. Alla övningar är uppdelade i moduler som du kan slutföra för att få certifikatet.

Youtube

YouTube är en kunskapshubb; du behöver bara använda den på rätt sätt!

Det finns en kanal som heter ”Google Chrome Developers” med 505 000 prenumeranter på YouTube som kan vara värd att kolla in.

I denna handledning får du lära dig om några vanliga attackvektorer och hur du kan skydda din data, dina användare och ditt rykte. Du får sedan en introduktion till en ny kurs som syftar till att ge korta föreläsningar och praktiska övningar inom ämnen som både försvar och attack.

Mozilla

Besök MDN webbdokumentation från Mozilla för att få tillgång till användbara artiklar om webbsäkerhet. Artiklarna som finns här täcker en rad olika ämnen som innehållssäkerhet, anslutningssäkerhet, datasäkerhet, informationsläckage, dataintegritet, clickjacking och säkerhet för användardata.

Informationen i dessa artiklar hjälper dig att skydda din webbplats och dess kod från datastöld och attacker. Du kan lära dig intressanta saker som hur du kan fixa din webbplats, blockera blandat innehåll, om signaturalgoritmer och mycket mer.

Invicti

En omfattande artikel av Invicti ger en bra förklaring av komplexiteten i webbapplikationssäkerhet. Den är skriven för att hjälpa även nybörjare att förstå de begrepp och tekniker som används inom webbsäkerhet.

Artikeln förklarar myterna och grunderna i webbapplikationssäkerhet och hur dagens företag kan förbättra sin webbplats- och applikationssäkerhet för att hålla cyberangripare borta.

Här får du lära dig:

  • Hur du skyddar dina webbapplikationer
  • Att välja rätt sårbarhetsskanner
  • Skillnaden mellan kostnadsfria och kommersiella sårbarhetsskannrar
  • Hur du testar din sårbarhetsskanner och när du ska använda den
  • Några bästa metoder för att skydda din webbserver och andra komponenter

SANS

Gå den här kursen – SEC22 – från SANS om du vill fokusera på att skydda webbapplikationer. Den hjälper dig att förstå alla säkerhetsbrister i din webbapplikation så att du kan skydda dina webbtillgångar.

Kursen ger dig en introduktion till tekniker för att begränsa problem i arkitekturen, infrastrukturen och koden tillsammans med praktiska metoder. Du kommer att bli bekant med dessa sårbarheters natur för att förstå varför de inträffar och hur du kan motverka dem.

Kursen lämpar sig för personer som är ansvariga för att hantera, implementera eller skydda webbapplikationer. Det kan inkludera analytiker för appsäkerhet, arkitekter, utvecklare, revisorer, penetrationstestare etc.

Kursen kommer att behandla ämnen som:

  • OWASP:s topp 10 hot
  • Specifika problem från CWE:s topp 25 programvarufel
  • Integrera molnet i en webbapp
  • Appens språkkonfiguration
  • Infrastrukturkonfiguration och säkerhetshantering
  • Autentiseringsmekanismer
  • HTTP-headers
  • Brister i affärslogik
  • Kodningsfel som XSS, CSRF och SQL-injektion

Om du har grundläggande kunskaper om webbapplikationskoncept och tekniker som JavaScript och HTML är du redo att börja kursen.

Cloudflare

Detta är ytterligare en artikel från Cloudflare som behandlar ämnet webbapplikationssäkerhet.

Den förklarar:

  • Vad terminologin innebär
  • Några vanliga sårbarheter, och
  • Bästa metoder för att förebygga sårbarheter i webbsäkerhet

Läs den här artikeln för att förtydliga några grundläggande begrepp som kommer att hjälpa dig mycket när du registrerar dig för ett program inom webbapplikationssäkerhet.

Slutsats

Att lära sig webbapplikationssäkerhet har blivit avgörande på grund av det snabbt ökande antalet cyberattacker.

Med vänliga hälsningar!

10 kundreskontraprogram som aldrig missar en betalning 2022

11 Programvara för Business Process Management (BPM) för små och medelstora företag