Bezbednost veb aplikacija
Bezbednost veb sajtova je grana bezbednosti informacija koja se bavi bezbednošću veb sajtova, veb aplikacija i veb servisa. Bezbednost veb aplikacija se oslanja na principe bezbednosti aplikacija uopšte, ali ih primenjuje specifično za internet i veb sisteme. Obično se veb aplikacije razvijaju korišćenjem programskih jezika kao sto su PHP, Java, Python , Rubi, ASP.NET, C Sharp, ASP.
Bezbednosne pretnje
[uredi | uredi izvor]Sa pojavom Veb 2.0, povećanjem deljenja informacija preko socijalnih mreža i korišćenjem veba kao sredstva poslovanja i pružanja različitih informacija, sajtovi često bivaju direktno napadnuti. Hakeri ili nastoje da kompromituju korporativnu mrežu ili navode krajnje korisnike koji pristupaju mreži ka preuzimanju sadržaja čijeg rizika nisu svesni (virusi).[1][2]
Kao rezultat toga, industrija[3] obraća veliku pažnju na bezbednost samih veb aplikacija[4], pored bezbednosti osnovne računarske mreže i operativnih sistema. Većina napada na veb aplikacije se dešava kroz kros-sajt skriptovanje (XSS) i SQL injekcije[5] koje su obično rezultat pogrešnog kodiranja i neuspešnog dobijanja izlaza iz veb aplikacije. Oni su u 2009. godini rangirani na CWE/SANS Top 25 najopasnijih programerskih grešaka[6]. U 2012, vrhunske ranjivosti uključuju:[7]
- Kros-sajt skriptovanje, 37%
- SQL injekcije, 16%
- Izvršavanje koda, 4%
- Korupcija memorije, 4%
- Falsifikovanje kros-sajt zahteva, 4%
- Otkriće informacija, 3%
- Arbitraža datoteka, 3%
- Uključivanje lokalnih datoteka, 2%
- Uključivanje udaljenih datoteka, 1%
- Prekoračenje bafera, 1%
- Ostalo (PHP injekcije, Javascript injekcije, itd.), 15%
Bezbednosni standardi
[uredi | uredi izvor]OWASP je projekat bezbednosti veb aplikacija slobodnog koda. Posebno je značajan OWASP TOP 10 koji detaljno objavljuje glavne pretnje veb aplikacijama. Konzorcijum za bezbednost veb aplikacija (WASC) je kreirao bazu u kojoj se čuvaju svi propusti koji su se desili (Web Hacking Incident Database)[8], kao i projekte otvorenog koda koji na najbolji način dokumentuju sigurnost veb aplikacija.
Bezbednosne tehnologije
[uredi | uredi izvor]Dok se bezbednost u osnovi zasniva na ljudima i procesima, postoji veliki broj tehničkih rešenja uzetih u obzir prilikom projektovanja, izgradnje i testiranja sigurnosti veb aplikacija. Na visokom nivou, ova rešenja uključuju:
- Crna kutija (alatke za testiranje kao sto su skeneri sigurnosti veb aplikacija[9], softveri za pronalaženje propusta u sistemu )
- Bela kutija (alatke za testiranje kao sto su statički analizatori izvornog koda[10])
- Alati koji se koriste za testiranje ulaza[11]
- Zaštitni zid[12] za veb aplikacije
- Alati za testiranje jačine lozinke
Vidi još
[uredi | uredi izvor]Reference
[uredi | uredi izvor]- ^ „The Ghost in the Browser” (PDF). Niels Provos et al. maj 2007.
- ^ „All Your iFrames Point to Us” (PDF). Niels Provos et al. februar 2008.
- ^ „Improving Web Application Security: Threats and Countermeasures”. Microsoft Corporation. jun 2003.
- ^ „Microsoft fortifies IE8 against new XSS exploits”. Dan Goodin, The Register. februar 2009.
- ^ „Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and XSS Attacks” (PDF). Fonseca, J.; Vieira, M.; Madeira, H., Dependable Computing, IEEE. decembar 2007.
- ^ „CWE/SANS Top 25 Most Dangerous Programming Errors”. CWE/SANS. maj 2009.
- ^ „2012 Trends Report: Application Security Risks”. Cenzic, Inc. 11. 3. 2012. Архивирано из оригинала 17. 12. 2012. г. Приступљено 9. 7. 2012.
- ^ „The Web Hacking Incidents Database”. WASC. januar 2010.
- ^ „Web Application Vulnerability Scanners”. NIST.
- ^ „Source Code Security Analyzers”. NIST.
- ^ „Fuzzing”. OWASP.
- ^ „Web application firewalls for security and regulatory compliance”. Secure Computing Magazine. februar 2008. Архивирано из оригинала 13. 10. 2008. г. Приступљено 27. 5. 2014.