Sikker nettside: Lær webapplikasjonssikkerhet – steg-for-steg guide!

by
Tweet
Share
Share
Pin
0 Shares

Internett-sikkerhet er en alvorlig sak, og det er fordelaktig å innse dette før uønskede hendelser inntreffer.

Den raske utviklingen innen teknologi, inkludert webtjenester og applikasjoner, har transformert moderne virksomheter. Mange selskaper har flyttet mesteparten av driften sin online, noe som tillater ansatte og samarbeidspartnere fra hele verden å arbeide sammen og dele data effektivt i sanntid.

Etter introduksjonen av moderne HTML5-nettapplikasjoner og Web 2.0, har kundenes forventninger endret seg. Nå forventer alle å ha tilgang til all nødvendig informasjon døgnet rundt, hele året. Dette fører til et økende press på nettbaserte virksomheter for å sikre konstant tilgjengelighet av dataene sine.

Mens den globale nedstengningsperioden kanskje har vært gunstig for de som arbeider hjemmefra og for nettbutikker, har den også gitt en stor fordel for nettkriminelle.

Den økte mengden av netttransaksjoner og fjernarbeid har gjort det lettere for dem å stjele kredittkortinformasjon og målrette mot eksterne ansatte og deres organisasjoner. Denne utviklingen har også tiltrukket seg svindlere og ondsinnede hackere som stadig utvikler nye trusselmetoder.

I år har omtrent 80% av bedriftene opplevd en økning i cyberangrep, mens koronaviruset førte til en økning på 238% i trusler mot banker, ifølge en rapport.

For å bekjempe disse angrepene har feltet for sikkerhet av nettapplikasjoner vokst frem. Denne bransjen krever dyktige eksperter som kan beskytte organisasjoner mot tap av data, penger og tillit fra kundene.

Målet med denne artikkelen er å gi deg innsikt i sikkerhet, hva som forventes av eksperter innen nettsikkerhet, og hvor du kan tilegne deg nødvendig kunnskap og ferdigheter.

La oss begynne?

Hva er sikkerhet for nettapplikasjoner?

Nettsikkerhet, cybersikkerhet eller sikkerhet for nettapplikasjoner, omhandler beskyttelse av nettjenester og nettsteder mot ulike trusler som utnytter sårbarheter i applikasjonenes kode.

Noen vanlige mål for slike angrep er databaseadministrasjonsløsninger som phpMyAdmin, SaaS-applikasjoner, innholdsstyringssystemer (CMS) som WordPress, og andre.

Målet med nettsikkerhet er å forhindre angrep ved å blokkere uautorisert tilgang, bruk, ødeleggelse, avbrudd eller endring av data.

Hvorfor er nettapplikasjoner et så populært mål for angripere?

  • Applikasjonskoden er ofte kompleks, noe som øker sannsynligheten for sårbarheter og kodeendringer.
  • Applikasjoner er enkle å manipulere, og angripere kan enkelt sette i gang eller automatisere angrep som kan rettes mot tusenvis av applikasjoner samtidig.
  • Applikasjoner inneholder verdifulle ressurser, som sensitiv og privat informasjon, som kan utnyttes for økonomisk vinning.

Vanlige sårbarhetstyper

Cross-site Scripting (XSS)

XSS lar angripere injisere skript på klientsiden på en nettside. Dette gir dem mulighet til å få direkte tilgang til viktig data, lure brukere til å avsløre sensitiv informasjon, eller utgi seg for å være en bruker. Konsekvensene kan inkludere tilgang til kontoer, aktivering av trojanere eller endring av sideinnhold.

Forespørselsforfalskning på tvers av nettsteder (CSRF)

CSRF lurer ofre til å sende forespørsler som utnytter deres autorisasjon eller autentisering. Gjennom disse kontorettighetene kan angripere sende forespørsler som ser ut som om de kommer fra brukeren. Dette kan føre til pengeoverføringer, passordendringer osv.

Denial of service (DoS) og distribuert Denial of Service (DDoS)

Angripere overbelaster målserveren og dens infrastruktur med stor mengde angrepstrafikk. Når serveren ikke lenger kan behandle forespørsler effektivt, begynner den å yte dårligere og vil til slutt nekte tjenester til innkommende forespørsler, selv de som kommer fra legitime besøkende.

SQL-injeksjon 💉

Dette er en metode angripere bruker for å utnytte sårbarheter i måten databaser implementerer søk. Angripere bruker SQL-injeksjon for å få uautorisert tilgang til data, opprette eller endre brukertillatelser, ødelegge eller manipulere sensitiv informasjon, og mer.

Ekstern filinkludering

Angripere bruker dette for å injisere ondsinnede filer med kode på en nettapplikasjonsserver, for å utføre koden og skade applikasjonen, manipulere data, eller stjele data.

Andre

Andre typer angrep inkluderer minnekorrupsjon, datainnbrudd, clickjacking, katalogtraversering, kommandoinjeksjon, og bufferoverløp, med mer.

Forhåpentligvis har dette gitt deg en forståelse av at nettsikkerhet er viktig og hvorfor det er avgjørende å implementere tiltak så snart som mulig for å forhindre skade på applikasjonen din, økonomisk tap eller skade på omdømme.

Det økende behovet for nettsikkerhet har fått mange til å søke kunnskap innenfor dette feltet. Hvis du er interessert i å lære om dette temaet, kan det være et godt karrierevalg og gi fordeler også på et personlig nivå.

Hva gjør eksperter innen nettsikkerhet?

Eksperter innen nettsikkerhet er de som er ansvarlige for å beskytte nettapplikasjoner, tilhørende nettverk og data. De bidrar til å redusere datainnbrudd ved å overvåke nettverket og reagere på trusler.

Disse fagpersonene har ofte bakgrunn som nettverks- eller systemadministratorer, eller som utviklere. Dette skyldes at feltet krever nysgjerrighet, kritisk tenkning, forskningsglede og lærevillighet. De må kunne utmanøvrere hackere som er «destruktivt kreative» i sin utvikling og injeksjon av trusler.

Sikkerhetstrusler kan oppstå når som helst, så sikkerhetseksperter må holde seg oppdatert på de siste metodene som hackere bruker for å trenge seg inn i systemer og nettverk. Noen av ansvarsområdene til en sikkerhetsekspert er:

  • Identifisere sårbarheter i nettapplikasjoner, databaser og kryptering.
  • Redusere angrep ved å rette opp sikkerhetsproblemer.
  • Gjennomføre regelmessige revisjoner for å sikre at beste sikkerhetspraksis følges.
  • Implementere verktøy for å forebygge og oppdage trusler for å forhindre ondsinnede angrep.
  • Implementere systemer for sårbarhetshåndtering på tvers av ressurser i skyen og på stedet.
  • Håndtere opprydding dersom et angrep skulle oppstå.
  • Samarbeide med andre IT-avdelinger for å planlegge gjenoppretting etter katastrofer.
  • Samarbeide med ledere og HR for å lære opp alle ansatte om hvordan de kan oppdage mistenkelig aktivitet.

Noen beste sikkerhetspraksis for å sikre nettapplikasjoner

Bruke brannmurer for nettapplikasjoner (WAF)

WAF hjelper med å beskytte nettapplikasjonene dine mot ondsinnede HTTP-forespørsler. Det legger en barriere mellom angriperen og serveren din. WAF kan beskytte lag syv mot trusler som XSS, CSRF, SQL-injeksjon og lignende.

DDoS-reduksjon

Som navnet antyder, brukes dette til å redusere angrep mot nettapplikasjoner og nettverkslag. Dette er for å sikre nettsteder, applikasjoner og serverinfrastruktur.

Bot 🤖 filtrering

Dette implementeres for å filtrere ut skadelig bottrafikk.

DNS-beskyttelse

Dette gjøres for å beskytte DNS-forespørsler mot å bli kapret gjennom angrep og DNS-cacheforgiftning.

Bruke HTTPS

HTTPS krypterer alle data som utveksles mellom serveren og klienten din, for å beskytte påloggingsinformasjon, overskriftsinformasjon, informasjonskapsler, forespørselsdata og mer.

Hvis du har bestemt deg for å lære mer om nettsikkerhet, kan du se på følgende ressurser for å skjerpe ferdighetene dine 🧑‍💻.

PortSwigger

Lær av skaperne av Burp Suite, en ledende plattform for en rekke cybersikkerhetsverktøy fra PortSwigger. Dette er en online og GRATIS opplæring som kan hjelpe deg i en karriere innen cybersikkerhet.

Med interaktive laboratorier kan du lære når som helst og hvor som helst, og spore utviklingen din over tid. De tilbyr opplæring i sårbarheter i forretningslogikk, informasjonstilgang, forgiftning av nettbuffer, usikker deserialisering, SQL-injeksjon, XSS, CSRF, XXE-injeksjon og mer.

PortSwiggers undervisningsmateriell er utviklet av erfarne fagfolk, forskningsteam og deres grunnlegger, Dafydd Stuttard. Han er også forfatteren av den anerkjente boken Web Application Hacker’s Handbook.

Veiledningene er forklart grundig både i tekst og i video, for å gjøre det enkelt å huske de viktigste punktene. De interaktive laboratoriene gjør hele kurset spennende, og det er her du får realistiske oppgaver for å teste dine hackingsferdigheter.

EdX

Web Security Fundamentals fra EdX er et flott sted for å forstå de grunnleggende prinsippene. Kurset gir en oversikt over vanlige angrep og passende tiltak for å bekjempe dem, både teoretisk og praktisk.

Du vil også lære om den beste sikkerhetspraksisen som er relevant for sikre nettapplikasjoner i dag. Du trenger ikke nødvendigvis noen forkunnskaper om sikkerhet for å ta kurset. Men dersom du har litt erfaring med HTTP, JavaScript, HTML, etc. vil det hjelpe deg å forstå ting bedre.

Kurset varer i 5 uker, og omfatter 4-6 timer i uken. Det er helt GRATIS å lære, men dersom du ønsker det, kan du betale USD 48,97 for å motta et bekreftet og instruktørsignert sertifikat med institusjonens logo. Dette sertifikatet kan brukes for å styrke jobbmulighetene dine, og kan deles på LinkedIn eller inkluderes i din CV.

Stanford

CS 253 Web Security-kurset fra Stanford gir en fullstendig oversikt over nettsikkerhet og har som mål å hjelpe studenter med å forstå vanlige nettangrep og hvordan man kan forhindre dem. Kurset dekker både det grunnleggende og mer avanserte aspekter ved nettsikkerhet.

Noen av temaene som dekkes inkluderer:

  • Prinsipper for nettsikkerhet
  • Angrep og mottiltak
  • Sårbarheter i nettapplikasjoner
  • Nettleserens sikkerhetsmodell
  • Injeksjons-, DoS- og TLS-angrep
  • Fingeravtrykk, personvern, retningslinjer for samme opprinnelse, autentisering, script på tvers av nettsteder, JavaScript-sikkerhet
  • Forsvar i dybden
  • Nye trusler
  • Teknikker for å skrive sikker kode, sikkerhetsutnyttelser
  • Implementering av utviklende nettstandarder og forsvar av svake nettapper

For å ta dette kurset må du ha fullført CS 142 eller tilsvarende erfaring innen webutvikling. Obligatorisk oppmøte kreves, og vurderingen er basert på:

  • 75% på oppgaver
  • 25% på avsluttende eksamen

For å forberede deg bedre kan du lese løsningen på Avsluttende eksamen 2019 og andre eksempelspørsmål for CS 253.

Nybegynnervennlig

Uten tvil er Udemy et av de beste stedene for å studere ulike kurs online. Nettsikkerhet er et av dem. Hvis du er nybegynner, er dette kurset flott for deg, siden det ikke krever noen forkunnskaper om koding.

På dette kurset vil du lære:

  • Identifisering av de 10 største truslene som er oppdaget av OWASP, eller Open Web Application Security Project
  • Forstå hvordan disse truslene kan reduseres
  • Effekten av hver trussel på virksomheten din
  • Hvordan angripere utfører disse truslene

Kurset forklares på et enkelt språk, slik at alle med begrenset kunnskap om internett og datamaskiner kan forstå det. Det dekker også dybdeforsvar, en forklaring på forfalskning, informasjonstilgang, tukling, avvisning, utvidelse av privilegier og DoS.

Erfarne veiledere er tilgjengelige for å lære deg alt du trenger å vite for å mestre det grunnleggende innen nettsikkerhet.

Coursera

Et annet svært godt alternativ på listen er Coursera, som lærer deg hvordan du bruker OWASP ZAP eller Zed Attack Proxy. Dette verktøyet hjelper sikkerhetseksperter, så vel som penetrasjonstestere, med å finne sårbarheter.

  • De lærer deg hvordan du kan skanne etter sårbarheter, analysere skanneresultater, generere rapporter fra dem osv.
  • Du vil også lære nettleserens proxy-konfigurasjon for å passivt skanne svar og forespørsler ved å utforske nettsteder.
  • En kort forklaring på hvordan du kan se, avskjære, videresende og endre nettforespørsler som oppstår mellom nettapplikasjonen og nettleseren.
  • Videre vil du lære å bruke ordboklister for å finne mapper og filer på webserveren din.
  • Dessuten kan du forstå hvordan du kan søke gjennom nettsteder for å finne nettadresser og lenker.

Kurslederne veileder deg steg for steg gjennom hvert tema i video med delt skjerm, og siden det er skybasert, slipper du å bruke tid på nedlasting. Coursera tilbyr sertifikater inkludert i hvert program uten ekstra kostnad.

PentesterLab

PentesterLab dekker alt fra grunnleggende til avanserte nivåer. De lærer deg hvordan du finner og deretter utnytter sårbarheter manuelt. Alle øvelsene deres dekker vanlige svakheter eller problemer som finnes i ulike systemer.

For bedre læring gir de virkelige systemer og virkelige sårbarheter, slik at du kan lære i sanntid, uten emulering. De tilbyr online øvelser som lar deg få sertifikater etter fullført kurs. Alle øvelsene er delt inn i merker som du kan fullføre for å få sertifikatet.

YouTube

YouTube er en kunnskapsbank, du må bare bruke det riktig!

Det finnes for eksempel en kanal – Google Chrome-utviklere med 505 000 abonnenter på YouTube, som du kan sjekke ut for å lære.

I denne opplæringen kan du forstå noen typiske angrepsmetoder, og hvordan du kan beskytte data, brukere og omdømme. Du vil deretter bli introdusert for et nytt kurs som har som mål å gi konsise forelesninger og praktiske øvelser om temaer som omfatter både forsvar og angrep.

Mozilla

Søk opp MDN web-dokumenter fra Mozilla, og få tilgang til nyttige artikler om nettsikkerhet. Artiklene her dekker en rekke emner, som innholdssikkerhet, tilkoblingssikkerhet, datasikkerhet, informasjonslekkasje, dataintegritet, clickjacking-beskyttelse, sikkerhet for brukerdata osv.

Informasjonen fra disse artiklene vil hjelpe deg med å beskytte nettstedet ditt og all kode mot datatyveri og angrep. Du kan lære interessante ting, som hvordan du kan rette opp nettstedet ditt, blokkere blandet innhold, lære om signaturalgoritmer og mer.

Invicti

En omfattende artikkel fra Invicti er et godt sted for å forstå detaljene rundt sikkerhet for nettapplikasjoner. Den er skrevet for å hjelpe selv nybegynnere med å forstå begrepene og teknologiene som brukes i nettsikkerhet.

Artikkelen forklarer mytene og grunnleggende om sikkerhet for nettapplikasjoner, og hvordan dagens bedrifter kan forbedre sikkerheten på sine nettsider og applikasjoner for å holde cyberkriminelle unna.

Her vil du lære:

  • Hvordan du sikrer nettapplikasjonene dine
  • Velge riktig sårbarhetsskanner
  • Forskjellen mellom gratis og kommersiell sårbarhetsskanner
  • Hvordan du kan teste din sårbarhetsskanner og når du bør bruke den
  • Beste praksis for å sikre din nettserver og andre komponenter

SANS

Ta kurset SEC22 fra SANS dersom du ønsker å forsvare nettapplikasjoner. Det vil hjelpe deg med å forstå alle sikkerhetssårbarhetene knyttet til nettapplikasjonen din, slik at du kan beskytte nettressurser.

Kurset introduserer deg for tiltak innen arkitektur, infrastruktur og koding, sammen med praktiske metoder. Du vil bli kjent med sårbarhetenes natur, for å forstå hvorfor de skjer og hvordan du kan redusere dem.

Det passer for folk som er ansvarlige for å administrere, implementere eller forsvare nettapplikasjoner. Dette kan omfatte sikkerhetsanalytikere, arkitekter, utviklere, revisorer, og penetrasjonstestere osv.

Kurset vil dekke emner som:

  • OWASP Top 10-truslene
  • Spesifikke problemer fra CWE Topp 25 programvarefeil
  • Integrering av sky i en nettapp
  • App-språkkonfigurasjon
  • Infrastrukturkonfigurasjon og sikkerhetsadministrasjon
  • Autentiseringsmekanismer
  • HTTP-hoder
  • Feil i forretningslogikk
  • Kodefeil som XSS, CSRF, SQL-injeksjon osv.

Hvis du forstår det grunnleggende om webapplikasjonskonsepter og teknologier som JavaScript og HTML, er du klar for å starte kurset.

Cloudflare

Dette er en annen artikkel på listen fra Cloudflare som dekker temaet sikkerhet for nettapplikasjoner.

Den forklarer:

  • Hva terminologien betyr,
  • Noen typiske sårbarheter, og deretter
  • Beste praksis for å forhindre sikkerhetssårbarheter på nett

Les denne artikkelen for å tydeliggjøre noen grunnleggende begreper, som vil være svært nyttig når du melder deg på et sikkerhetsprogram for nettapplikasjoner.

Konklusjon

Det har blitt viktig å lære om sikkerhet for nettapplikasjoner på grunn av den raske økningen i antall cyberangrep.

Lykke til!