Hvordan lære webapplikasjonssikkerhet?

Nettsikkerhet er en virkelig avtale, og det er bedre å erkjenne det tidligere enn å vente på at noe vondt skal skje.

Raske fremskritt innen teknologi, inkludert webtjenester og applikasjoner, har revolusjonert moderne virksomheter. Mange bedrifter har flyttet de fleste operasjonene sine på nettet, slik at ansatte og forretningspartnere fra alle deler av verden kan samarbeide og dele data enkelt i sanntid.

Etter at de moderne HTML5-nettappene og Web 2.0 ble introdusert, endret kundenes krav seg. Nå vil alle ha tilgang til all informasjon de måtte trenge 24/7/365. Som et resultat blir også nettbaserte virksomheter presset til å gjøre dataene sine tilgjengelige hele tiden.

Mens den globale låseperioden kan ha vært ganske bra for de som jobber hjemmefra og nettbutikker, har den også vært til stor fordel for nettkriminelle.

De økende netttransaksjonene og fjernarbeidet tillot dem å hacke mye kredittkortinformasjon og målrette mot eksterne arbeidere og deres organisasjoner. Denne fremgangen inviterte også svindlere og ondsinnede hackere som utvikler nye trusselvektorer nå og da.

I år var rundt 80 % av selskapene vitne til en økning i nettangrep, mens koronaviruset førte til en 238 % økning i trusler mot banker, sier en rapportere.

For å dempe alle disse angrepene ble nettapplikasjonssikkerhet født langt tilbake. Og denne bransjen krever dyktige fagfolk som kan redde organisasjoner fra å miste data, penger og forbrukertillit.

Dette er målet med denne artikkelen hvor du vil forstå ting om sikkerhet, hva som forventes av nettsikkerhetseksperter og kilder hvor du kan lære og mestre ferdighetene.

Så la oss begynne?

Hva er nettapplikasjonssikkerhet?

Nettsikkerhet, cybersikkerhet eller nettapplikasjonssikkerhet er måten å beskytte nettjenester og nettsteder mot ulike trusler som utnytter sårbarhetene knyttet til kodene til en applikasjon.

Noen av de vanlige målene for disse angrepene er databaseadministrasjonsløsninger som phpMyAdmin, SaaS-applikasjoner, innholdsstyringssystemer (CMS) som WordPress og mer.

Nettsikkerhet tar sikte på å forhindre slike angrep ved å nekte uautorisert tilgang, bruk, ødeleggelse/avbrudd eller modifikasjon.

Så, hva er grunnen til at angripere målretter webapplikasjoner bredt?

  • Applikasjonskildekodens iboende kompleksitet, øker sannsynligheten for sårbarheter samt kodemanipulering.
  • Applikasjoner er enkle å utføre; Derfor kan angripere enkelt starte eller automatisere de fleste angrepene, som kan målrettes mot tusenvis av applikasjoner om gangen.
  • Bytte av høy verdi som inkluderer sensitive og private data gjennom manipulering av kildekode, så vel som økonomisk bytte

Vanlige typer sårbarhet

Cross-site Scripting (XSS)

XSS lar angripere legge inn skript på klientsiden på en nettside, og få tilgang til viktige data direkte, lure brukere til å avsløre viktige data eller utgi seg for brukere. Konsekvensene inkluderer tilgang til kontoer, aktivering av trojanere, endring av sideinnhold osv.

Forespørselsforfalskning på tvers av nettsteder (CSRF)

CSRF lurer ofre der de kommer med en forespørsel som bruker deres autorisasjon eller autentisering. Derfor, gjennom disse kontorettighetene, kan angripere komme med forespørsler som utgir seg for å være brukeren. Det kan føre til pengeoverføring, passordendringer osv.

Denial of service (DoS) og distribuert Denial of Service (DDoS)

Angripere overbelaster målserveren og/eller dens infrastruktur med forskjellig angrepstrafikk. Når serveren blir ute av stand til å behandle inkling-forespørsler effektivt, begynner den å oppføre seg tregt og nekter tjenesten til slutt til flere innkommende forespørsler, selv fra legitime besøkende.

SQL-injeksjon 💉

Metoden en angriper bruker for å utnytte sårbarheter som ligner på måten databaser implementerer søk på. Angripere bruker SQI for å få tilgang til uautoriserte data, opprette eller endre brukertillatelser, ødelegge eller manipulere sensitive data og mer.

  Hvordan falske anmeldelser manipulerer deg på nettet

Ekstern filinkludering

Angripere bruker den til å injisere ondsinnede filer med koder i en nettappserver for å utføre disse kodene for å skade applikasjonen, manipulere den og utføre datatyveri.

Andre

Andre angrep inkluderer minnekorrupsjon, datainnbrudd, clickjacking, kataloggjennomgang, kommandoinjeksjon, smøroverløp og mer.

Jeg håper disse er nok til å forstå at nettsikkerhet er tidens behov og hvorfor alle må implementere det så snart som mulig før det kan utgjøre noen trussel mot applikasjonen din og skade deg økonomisk eller omdømmemessig for den saks skyld.

På grunn av dets økende krav, kommer mange mennesker frem for å lære. Og hvis du er opptatt av å lære dette emnet, kan det være et flott karrierealternativ og fordelaktig på det personlige nivået.

Hva gjør Web Security Professionals?

Nettsikkerhetseksperter er de som er ansvarlige for å beskytte nettapplikasjoner, relevante nettverk og applikasjonsdata. De bidrar til å redusere datainnbrudd ved å overvåke nettverket og reagere på trusler.

Disse fagfolkene har bakgrunn som nettverks- eller systemadministratorer, programmerere. Det er fordi dette området krever nysgjerrighet, kritisk tenkning, lidenskap for forskning og læring. De må være i stand til å overliste hackere som er «destruktivt kreative» når det gjelder å utvikle og injisere ulike trusler.

Ettersom sikkerhetstrusler kan dukke opp når som helst, må sikkerhetseksperter holde seg oppdatert med alle de siste taktikkene hackere bruker for å snike seg inn i systemer og nettverk. Noen av ansvarsområdene til fagfolk innen nettsikkerhet er:

  • Finn sårbarheter i nettapplikasjoner, databaser og kryptering.
  • Reduser angrep ved å fikse sikkerhetsproblemer
  • Utfør revisjoner med jevne mellomrom for å sikre beste sikkerhetspraksis
  • Distribuer verktøy for forebygging og deteksjon av endepunkter for å forhindre ondsinnede angrep
  • Implementer systemer for sårbarhetshåndtering på tvers av eiendeler i skyen og på stedet
  • Håndter opprydding i tilfelle angrep skjer
  • Arbeid med andre IT-operasjoner for å planlegge katastrofegjenoppretting.
  • Arbeid med teamledere og HR for å utdanne alle ansatte til å oppdage mistenkelige aktiviteter.

Noen beste sikkerhetspraksis for å sikre nettapplikasjoner

Bruke brannmurer for nettapplikasjoner (WAF)

WAF hjelper med å beskytte nettapplikasjonene dine mot ondsinnede HTTP-forespørsler. Det plasserer en barriere mellom angriperen og serveren din. Den kan beskytte lag syv mot trusler som XSS, CSRF, SQL-injeksjon, etc.

DDoS-reduksjon

Som navnet antyder, brukes det til å redusere applikasjons-DDoS- og nettverkslagsangrep, og dermed sikre nettsteder, applikasjoner og serverinfrastruktur.

Bot 🤖 filtrering

Den er implementert for å filtrere ut dårlig bottrafikk.

DNS-beskyttelse

Det er gjort for å beskytte DNS-forespørselen din mot å bli kapret gjennom angrep på veien og DNS-cacheforgiftning.

Bruker HTTPS

HTTPS krypterer alle dataene som utveksles mellom serveren og klienten din for å beskytte påloggingsinformasjon, overskriftsinformasjon, informasjonskapsler, forespørselsdata, etc.

Så hvis du har bestemt deg for å lære nettapplikasjonssikkerhet, kan du se på følgende læringsressurser og skjerpe ferdighetene dine 🧑‍💻.

PortSwigger

Lær av skaperne av Burp Suite – en ledende plattform for en rekke cybersikkerhetsverktøy av PortSwigger. Det er en online og GRATIS opplæring som kan øke karrieren din innen cybersikkerhet.

Med interaktive laboratorier kan du lære når som helst og fra hvor som helst og spore fremgangen din over tid. Den gir opplæring i forretningslogikksårbarheter, informasjonsavsløring, nettbufferforgiftning, usikker deserialisering, SQL-injeksjon, XSS, CSRF, XXE-injeksjon og mer.

PortSwiggers læremateriell er laget av erfarne fagfolk, forskningsteam og deres grunnlegger – Dafydd Stuttard. Han er også forfatteren av en kjent bok kalt Web Application Hacker’s Handbook.

Veiledningene er forklart omfattende i teksten og videoinnholdet for å hjelpe deg med å huske viktige punkter på en enkel måte. Deres interaktive laboratorier gjør hele kurset spennende, og det er der de spør realistiske oppgaver for å teste hackingferdighetene dine.

  7 gratis ressurser for å lære cloud computing

EdX

Web Security Fundamentals av EdX er flott for å forstå de grunnleggende prinsippene. Den gir deg en oversikt over vanlige angrep og mottiltak som er egnet for hver av dem kun teatralsk og praktisk.

De lærer deg også de beste sikkerhetspraksisene som er gjeldende for øyeblikket for sikre webapplikasjoner. Ønsker du å være med på kurset trenger du nødvendigvis ingen forkunnskaper om sikkerhet. Men hvis du gjør det, vil det hjelpe deg mye å forstå ting bedre som HTTP, JavaScript, HTML, etc.

Kurslengden er 5 uker, som inkluderer 4-6 timer i uken. Det er helt GRATIS å lære; Hvis du vil, kan du imidlertid betale USD 48,97 for å få et verifisert og instruktørsignert sertifikat med en logo fra institusjonen på. Dette sertifikatet kan brukes til å øke jobbmuligheter, og kan deles på LinkedIn eller kan innlemmes på CV-en eller CV-en din.

Stanford

CS 253 Web Security-kurset av Stanford tilbyr det komplette nettsikkerhetssammendraget og har som mål å få studentene til å forstå de vanlige nettangrepene og hvordan de kan forhindres. Kurset dekker ikke bare det grunnleggende, men også de avanserte retningene innen nettsikkerhet.

Noen av temaene inkluderer:

  • Nettsikkerhetsprinsipper
  • Angrep og mottiltak
  • Sårbarheter i nettapplikasjoner
  • Nettlesersikkerhetsmodell
  • Injeksjons-, DoS- og TLS-angrep
  • Fingeravtrykk, personvern, retningslinjer for samme opprinnelse, autentisering, skripting på tvers av nettsteder, JavaScript-sikkerhet
  • Forsvar i dybden
  • Fremvoksende trusler
  • Teknikker for å skrive sikre koder, sikkerhetsutnyttelser
  • Implementere utviklende nettstandarder og forsvare svake nettapper

For å ta dette kurset må du ha gjennomgått CS 142 eller annen tilsvarende erfaring innen webutvikling. Her er det obligatorisk oppmøte, og karaktersettingen er basert på:

  • 75 % på oppdrag
  • 25 % på avsluttende eksamen

For å forberede deg bedre kan du lese løsningen for Avsluttende eksamen 2019 og annen eksempel på spørsmål for CS 253.

Nybegynnervennlig

Utvilsomt, Udemy er et av de beste stedene å studere online for ulike kurs; nettapplikasjonssikkerhet er en av dem. Hvis du er nybegynner, er dette kurset flott for deg, siden det ikke krever noen forkunnskaper om koding.

På dette kurset vil du lære:

  • Identifikasjon av de 10 beste truslene oppdaget av OWASP eller Open Web Application Security Project
  • Forstå hvordan disse truslene kan dempes
  • Virkningen av hver trussel på virksomheten din
  • Hvordan angripere utfører disse truslene

Kurset er forklart på det enkleste språket slik at alle med lite informasjon på internett og datamaskinen kan forstå det. Den dekker også dybdeforsvar, en forklaring på forfalskning, informasjonsavsløring, tukling, avvisning, heving av privilegier og DoS.

Erfarne veiledere er der for å lære deg alt du trenger for å mestre det grunnleggende om nettsikkerhet.

Coursera

Et annet veldig godt alternativ på listen er Coursera, som lærer hvordan du kan bruke OWASP ZAP eller Zed Attack Proxy. Dette verktøyet hjelper sikkerhetseksperter så vel som penetrasjonstestere med å finne sårbarheter.

  • De lærer hvordan du kan skanne etter sårbarheter, analysere skanneresultater, generere rapporter fra dem, etc.
  • Du vil også lære nettleserens proxy-konfigurasjon for å skanne svar og forespørsler passivt ved å utforske nettsteder.
  • En kort forklaring på hvordan du kan se, avskjære, videresende og endre nettforespørsler som oppstår mellom nettapplikasjonen og nettleseren.
  • Videre vil du lære å bruke ordboklister for å finne mapper og filer på webserveren din.
  • Dessuten kan du forstå hvordan du kan edderkoppgjennomsøke nettsteder for å finne nettadresser og lenker.

Kursholderne veileder deg trinn-for-trinn hvert emne i videoen med delt skjerm, og siden den er på skyen, trenger du ikke kaste bort tid på å laste ned. Coursera gir sertifikater inkludert for hvert program uten ekstra kostnad.

PentesterLab

PentesterLab dekker fra grunnleggende til avanserte nivåer. De lærer deg hvordan du finner og deretter utnytter sårbarheter manuelt. Alle øvelsene deres dekker vanlige svakheter eller problemer som finnes i ulike systemer.

  12 WordPress CV-tema for å skape beste inntrykk

For bedre læring gir de reelle systemer og reelle sårbarheter, slik at du kan lære i sanntid, uten emulering. Deres online øvelser lar deg få sertifikater etter fullført kurs. Alle øvelsene er delt inn i merker som du kan fullføre for å få sertifikatet.

YouTube

YouTube er knutepunktet for kunnskap; du må bare bruke den på riktig måte!

Så det er en kanal – Google Chrome-utviklere med 505 000 abonnenter på YouTube som du kan slå opp for å lære.

I denne opplæringen kan du forstå noen typiske angrepsvektorer og hvordan du kan beskytte data, brukere og omdømme. Deretter vil du bli introdusert for et nytt kurs som tar sikte på å gi konsise forelesninger og praktiske øvelser om emner inkludert både forsvar og angrep.

Mozilla

Slå opp til MDN web-dokumenter av Mozilla og få tilgang til nyttige artikler om nettsikkerhet. Artiklene som er oppført her dekker en rekke emner som innholdssikkerhet, tilkoblingssikkerhet, datasikkerhet, informasjonslekkasje, dataintegritet, clickjacking-beskyttelse, brukerdatasikkerhet, etc.

Informasjonen fra disse artiklene vil hjelpe deg med å beskytte nettstedet ditt og alle dets koder mot datatyveri og angrep. Du kan lære noen interessante ting som hvordan du kan fikse nettstedet ditt, ha blokkert blandet innhold, om signaturalgoritmer og mer.

Invicti

En omfattende artikkel av Invicti er egnet til å forklare det finurlige med nettapplikasjonssikkerhet. Den er utmerket skrevet for å hjelpe selv nybegynnere å forstå begrepene og teknologiene som brukes i nettsikkerhet.

I artikkelen blir mytene og grunnleggende om nettappsikkerhet forklart og hvordan dagens bedrifter kan forbedre nettsiden og applikasjonssikkerheten for å holde cyberangripere i sjakk.

Her vil du lære:

  • Slik sikrer du nettapplikasjonene dine
  • Velge riktig sårbarhetsskanner
  • Forskjellen mellom gratis vs kommersiell web sårbarhetsskanner
  • Hvordan du kan teste sårbarhetsskanneren din og når du skal bruke den
  • Noen beste fremgangsmåter for å sikre nettserveren din så vel som andre komponenter

SANS

Ta dette kurset – SEC22 fra SANS hvis du tar sikte på å forsvare webapplikasjoner. Det vil hjelpe deg med å forstå alle sikkerhetssårbarhetene knyttet til nettapplikasjonen din, slik at du kan beskytte nettressurser.

Kurset introduserer deg til avbøtende teknikker for arkitektur, infrastruktur og koding sammen med virkelige metoder. Du vil bli kjent med naturen til disse sårbarhetene for å forstå hvorfor de skjer og hvordan du kan dempe dem.

Den passer for personer som er ansvarlige for å administrere, implementere eller forsvare nettapplikasjoner. Det kan inkludere appsikkerhetsanalytikere, arkitekter, utviklere, revisjoner, pennetestere osv.

Kurset vil dekke emner som:

  • OWASP beste 10 truslene
  • Spesifikke problemer fra CWE topp 25 programvarefeil
  • Integrering av sky i en nettapp
  • App-språkkonfigurasjon
  • Infrastrukturkonfigurasjon og sikkerhetsadministrasjon
  • Autentiseringsmekanismer
  • HTTP-hoder
  • Feil i forretningslogikk
  • Kodefeil som XSS, CSRF, SQL-injeksjon, etc.

Hvis du forstår det grunnleggende om webapp-konsepter og -teknologier som JavaScript og HTML, er du god til å gå på kurset.

Cloudflare

Dette er en annen artikkel i listen av Cloudflare som dekker ting om nettapplikasjonssikkerhet.

Det forklarer nøyaktig:

  • Hva meningen med denne terminologien er,
  • Noen typiske sårbarheter, og så
  • Beste praksis for å forhindre sikkerhetssårbarheter på nett

Les denne artikkelen for å avklare noen grunnleggende konsepter som vil hjelpe deg mye når du registrerer deg for et sikkerhetsprogram for nettapplikasjoner.

Konklusjon

Å lære nettapplikasjonssikkerhet har blitt avgjørende ettersom cyberangrepene øker raskt.

Beste ønsker!

x