EITC/IS/WASF वेब एप्लिकेशन सिक्योरिटी फंडामेंटल्स वर्ल्ड वाइड वेब सेवाओं की सुरक्षा के सैद्धांतिक और व्यावहारिक पहलुओं पर यूरोपीय आईटी प्रमाणन कार्यक्रम है, जिसमें बुनियादी वेब प्रोटोकॉल की सुरक्षा से लेकर गोपनीयता, खतरों और वेब ट्रैफिक नेटवर्क संचार, वेब की विभिन्न परतों पर हमले शामिल हैं। सर्वर सुरक्षा, उच्च परतों में सुरक्षा, जिसमें वेब ब्राउज़र और वेब एप्लिकेशन, साथ ही प्रमाणीकरण, प्रमाणपत्र और फ़िशिंग शामिल हैं।
ईआईटीसी/आईएस/डब्ल्यूएएसएफ वेब एप्लिकेशन सुरक्षा बुनियादी बातों के पाठ्यक्रम में एचटीएमएल और जावास्क्रिप्ट वेब सुरक्षा पहलुओं, डीएनएस, एचटीटीपी, कुकीज़, सत्र, कुकी और सत्र हमलों, समान मूल नीति, क्रॉस-साइट अनुरोध जालसाजी, उसी के अपवाद शामिल हैं। मूल नीति, क्रॉस-साइट स्क्रिप्टिंग (XSS), क्रॉस-साइट स्क्रिप्टिंग सुरक्षा, वेब फ़िंगरप्रिंटिंग, वेब पर गोपनीयता, DoS, फ़िशिंग और साइड चैनल, सेवा से इनकार, फ़िशिंग और साइड चैनल, इंजेक्शन हमले, कोड इंजेक्शन, परिवहन परत सुरक्षा (TLS) और हमले, वास्तविक दुनिया में HTTPS, प्रमाणीकरण, WebAuthn, वेब सुरक्षा का प्रबंधन, Node.js प्रोजेक्ट में सुरक्षा संबंधी चिंताएँ, सर्वर सुरक्षा, सुरक्षित कोडिंग प्रथाएँ, स्थानीय HTTP सर्वर सुरक्षा, DNS रीबाइंडिंग हमले, ब्राउज़र हमले, ब्राउज़र आर्किटेक्चर, साथ ही सुरक्षित ब्राउज़र कोड लिखना, निम्नलिखित संरचना के भीतर, इस EITC प्रमाणन के संदर्भ के रूप में व्यापक वीडियो उपदेशात्मक सामग्री को शामिल करना।
वेब एप्लिकेशन सुरक्षा सूचना सुरक्षा का एक सबसेट है जो वेबसाइट, वेब एप्लिकेशन और वेब सेवा सुरक्षा पर केंद्रित है। वेब एप्लिकेशन सुरक्षा, अपने सबसे बुनियादी स्तर पर, एप्लिकेशन सुरक्षा सिद्धांतों पर आधारित है, लेकिन यह उन्हें विशेष रूप से इंटरनेट और वेब प्लेटफॉर्म पर लागू करती है। वेब एप्लिकेशन सुरक्षा प्रौद्योगिकियां, जैसे वेब एप्लिकेशन फ़ायरवॉल, HTTP ट्रैफ़िक के साथ काम करने के लिए विशेष उपकरण हैं।
ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (ओडब्ल्यूएएसपी) ऐसे संसाधन प्रदान करता है जो स्वतंत्र और खुले दोनों हैं। एक गैर-लाभकारी ओडब्ल्यूएएसपी फाउंडेशन इसके प्रभारी हैं। 2017 ओडब्ल्यूएएसपी टॉप 10 40 से अधिक साझेदार संगठनों से एकत्रित व्यापक डेटा के आधार पर वर्तमान अध्ययन का परिणाम है। इस डेटा का उपयोग करते हुए 2.3 से अधिक अनुप्रयोगों में लगभग 50,000 मिलियन कमजोरियों का पता चला था। OWASP शीर्ष 10 - 2017 के अनुसार, शीर्ष दस सबसे महत्वपूर्ण ऑनलाइन आवेदन सुरक्षा चिंताएं हैं:
- इंजेक्शन
- प्रमाणीकरण मुद्दे
- एक्सपोज़्ड संवेदनशील डेटा XML बाहरी निकाय (XXE)
- एक्सेस कंट्रोल जो काम नहीं कर रहा है
- सुरक्षा का गलत विन्यास
- साइट-टू-साइट स्क्रिप्टिंग (XSS)
- अक्रमांकन जो सुरक्षित नहीं है
- ज्ञात दोषों वाले घटकों का उपयोग करना
- लॉगिंग और निगरानी अपर्याप्त हैं।
इसलिए विभिन्न सुरक्षा खतरों के खिलाफ वेबसाइटों और ऑनलाइन सेवाओं की रक्षा करने का अभ्यास जो किसी एप्लिकेशन के कोड में कमजोरियों का फायदा उठाते हैं, वेब एप्लिकेशन सुरक्षा के रूप में जाना जाता है। सामग्री प्रबंधन प्रणाली (जैसे, वर्डप्रेस), डेटाबेस प्रशासन उपकरण (जैसे, phpMyAdmin), और SaaS ऐप ऑनलाइन एप्लिकेशन हमलों के लिए सभी सामान्य लक्ष्य हैं।
वेब एप्लिकेशन को अपराधियों द्वारा उच्च प्राथमिकता वाले लक्ष्य माना जाता है क्योंकि:
- उनके स्रोत कोड की पेचीदगी के कारण, अप्राप्य कमजोरियों और दुर्भावनापूर्ण कोड संशोधन की अधिक संभावना है।
- उच्च मूल्य के पुरस्कार, जैसे प्रभावी स्रोत कोड छेड़छाड़ के माध्यम से प्राप्त संवेदनशील व्यक्तिगत जानकारी।
- निष्पादन में आसानी, क्योंकि अधिकांश हमलों को आसानी से स्वचालित किया जा सकता है और अंधाधुंध रूप से हजारों, दसियों, या यहां तक कि सैकड़ों हजारों लक्ष्यों के खिलाफ एक बार में तैनात किया जा सकता है।
- जो संगठन अपने वेब एप्लिकेशन की सुरक्षा करने में विफल रहते हैं, वे हमले की चपेट में आ जाते हैं। इससे डेटा चोरी, तनावपूर्ण ग्राहक संबंध, रद्द किए गए लाइसेंस और कानूनी कार्रवाई सहित अन्य चीजें हो सकती हैं।
वेबसाइटों में कमजोरियां
वेब अनुप्रयोगों में इनपुट/आउटपुट स्वच्छता संबंधी खामियां आम हैं, और उनका अक्सर स्रोत कोड बदलने या अनधिकृत पहुंच प्राप्त करने के लिए शोषण किया जाता है।
ये खामियां विभिन्न प्रकार के हमले वैक्टरों के शोषण की अनुमति देती हैं, जिनमें शामिल हैं:
- SQL इंजेक्शन - जब कोई अपराधी दुर्भावनापूर्ण SQL कोड के साथ बैकएंड डेटाबेस में हेरफेर करता है, तो जानकारी सामने आती है। अवैध सूची ब्राउज़िंग, तालिका हटाना, और अनधिकृत व्यवस्थापक पहुंच परिणामों में से हैं।
- XSS (क्रॉस-साइट स्क्रिप्टिंग) एक इंजेक्शन हमला है जो उपयोगकर्ताओं को खातों तक पहुंच प्राप्त करने, ट्रोजन को सक्रिय करने या पृष्ठ सामग्री को बदलने के लिए लक्षित करता है। जब दुर्भावनापूर्ण कोड को सीधे किसी एप्लिकेशन में इंजेक्ट किया जाता है, तो इसे संग्रहीत XSS के रूप में जाना जाता है। जब दुर्भावनापूर्ण स्क्रिप्ट किसी एप्लिकेशन से उपयोगकर्ता के ब्राउज़र पर दिखाई जाती है, तो इसे परावर्तित XSS के रूप में जाना जाता है।
- दूरस्थ फ़ाइल समावेशन - हमले का यह रूप एक हैकर को किसी दूरस्थ स्थान से वेब एप्लिकेशन सर्वर में एक फ़ाइल को इंजेक्ट करने की अनुमति देता है। इससे खतरनाक स्क्रिप्ट या कोड को ऐप के भीतर निष्पादित किया जा सकता है, साथ ही डेटा चोरी या संशोधन भी हो सकता है।
- क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ) - एक प्रकार का हमला जिसके परिणामस्वरूप नकद, पासवर्ड परिवर्तन, या डेटा चोरी का अनपेक्षित हस्तांतरण हो सकता है। यह तब होता है जब कोई दुर्भावनापूर्ण वेब प्रोग्राम उपयोगकर्ता के ब्राउज़र को उस वेबसाइट पर अवांछित कार्रवाई करने का निर्देश देता है जिसमें वे लॉग इन हैं।
सिद्धांत रूप में, प्रभावी इनपुट/आउटपुट सैनिटाइजेशन सभी कमजोरियों को मिटा सकता है, जिससे एक एप्लिकेशन अनधिकृत संशोधन के लिए अभेद्य हो जाता है।
हालाँकि, क्योंकि अधिकांश कार्यक्रम विकास की एक सतत स्थिति में हैं, व्यापक स्वच्छता शायद ही कभी एक व्यवहार्य विकल्प है। इसके अलावा, ऐप्स आमतौर पर एक दूसरे के साथ एकीकृत होते हैं, जिसके परिणामस्वरूप एक कोडित वातावरण होता है जो तेजी से जटिल होता जा रहा है।
ऐसे खतरों से बचने के लिए, वेब एप्लिकेशन सुरक्षा समाधान और प्रक्रियाएं, जैसे पीसीआई डेटा सुरक्षा मानक (पीसीआई डीएसएस) प्रमाणीकरण, लागू किया जाना चाहिए।
वेब अनुप्रयोगों के लिए फ़ायरवॉल (WAF)
WAF (वेब एप्लिकेशन फायरवॉल) हार्डवेयर और सॉफ्टवेयर समाधान हैं जो अनुप्रयोगों को सुरक्षा खतरों से बचाते हैं। ये समाधान आने वाले ट्रैफ़िक का निरीक्षण करने के लिए डिज़ाइन किए गए हैं ताकि हमले के प्रयासों का पता लगाया जा सके और ब्लॉक किया जा सके, किसी भी कोड स्वच्छता दोषों की भरपाई की जा सके।
WAF परिनियोजन चोरी और संशोधन के खिलाफ डेटा की रक्षा करके PCI DSS प्रमाणन के लिए एक महत्वपूर्ण मानदंड को संबोधित करता है। आवश्यकता 6.6 के अनुसार डेटाबेस में रखे गए सभी क्रेडिट और डेबिट कार्डधारक डेटा को सुरक्षित किया जाना चाहिए।
क्योंकि इसे नेटवर्क के किनारे पर अपने DMZ से आगे रखा गया है, WAF की स्थापना के लिए आमतौर पर किसी एप्लिकेशन में किसी भी बदलाव की आवश्यकता नहीं होती है। यह तब आने वाले सभी ट्रैफ़िक के लिए एक प्रवेश द्वार के रूप में कार्य करता है, खतरनाक अनुरोधों को फ़िल्टर करने से पहले वे किसी एप्लिकेशन के साथ बातचीत कर सकते हैं।
यह आकलन करने के लिए कि किस ट्रैफ़िक को किसी एप्लिकेशन तक पहुंच की अनुमति है और जिसे बाहर निकालना है, WAF विभिन्न प्रकार के अनुमानों को नियोजित करते हैं। वे नियमित रूप से अपडेट किए गए सिग्नेचर पूल की बदौलत दुर्भावनापूर्ण अभिनेताओं और ज्ञात अटैक वैक्टर की तुरंत पहचान कर सकते हैं।
लगभग सभी WAF को व्यक्तिगत उपयोग के मामलों और सुरक्षा नियमों के साथ-साथ उभरते (शून्य-दिन के रूप में भी जाना जाता है) खतरों का मुकाबला करने के लिए तैयार किया जा सकता है। अंत में, आने वाले आगंतुकों में अतिरिक्त अंतर्दृष्टि प्राप्त करने के लिए, अधिकांश आधुनिक समाधान प्रतिष्ठित और व्यवहार डेटा का उपयोग करते हैं।
सुरक्षा परिधि बनाने के लिए, WAF को आमतौर पर अतिरिक्त सुरक्षा समाधानों के साथ जोड़ा जाता है। इनमें डिस्ट्रीब्यूटेड डिनायल-ऑफ-सर्विस (DDoS) रोकथाम सेवाएं शामिल हो सकती हैं, जो उच्च मात्रा के हमलों को रोकने के लिए आवश्यक अतिरिक्त मापनीयता प्रदान करती हैं।
वेब एप्लिकेशन सुरक्षा के लिए चेकलिस्ट
WAF के अलावा वेब ऐप्स की सुरक्षा के लिए कई तरह के दृष्टिकोण हैं। किसी भी वेब एप्लिकेशन सुरक्षा जांच सूची में निम्नलिखित प्रक्रियाएं शामिल होनी चाहिए:
- डेटा एकत्र करना - प्रवेश बिंदुओं और क्लाइंट-साइड कोड की तलाश में, हाथ से एप्लिकेशन पर जाएं। किसी तृतीय पक्ष द्वारा होस्ट की गई सामग्री को वर्गीकृत करें।
- प्राधिकरण - आवेदन का परीक्षण करते समय पथ ट्रैवर्सल, लंबवत और क्षैतिज अभिगम नियंत्रण मुद्दों, लापता प्राधिकरण, और असुरक्षित, प्रत्यक्ष वस्तु संदर्भों की तलाश करें।
- क्रिप्टोग्राफी के साथ सभी डेटा ट्रांसमिशन को सुरक्षित करें। क्या कोई संवेदनशील जानकारी एन्क्रिप्ट की गई है? क्या आपने कोई एल्गोरिदम नियोजित किया है जो सूंघने के लिए नहीं है? क्या कोई यादृच्छिकता त्रुटियाँ हैं?
- सेवा से इनकार — एंटी-ऑटोमेशन, खाता लॉकआउट, HTTP प्रोटोकॉल DoS, और SQL वाइल्डकार्ड DoS के लिए परीक्षण सेवा हमलों से इनकार के खिलाफ एक एप्लिकेशन की लचीलापन में सुधार करने के लिए। इसमें उच्च मात्रा वाले DoS और DDoS हमलों के खिलाफ सुरक्षा शामिल नहीं है, जिसका विरोध करने के लिए फ़िल्टरिंग तकनीकों और स्केलेबल संसाधनों के मिश्रण की आवश्यकता होती है।
अधिक जानकारी के लिए, कोई OWASP वेब एप्लिकेशन सुरक्षा परीक्षण चीट शीट की जांच कर सकता है (यह सुरक्षा से संबंधित अन्य विषयों के लिए भी एक अच्छा संसाधन है)।
डीडीओएस सुरक्षा
DDoS हमले, या डिस्ट्रीब्यूटेड डिनायल-ऑफ-सर्विस अटैक, वेब एप्लिकेशन को बाधित करने का एक विशिष्ट तरीका है। डीडीओएस हमलों को कम करने के लिए कई दृष्टिकोण हैं, जिसमें कंटेंट डिलीवरी नेटवर्क (सीडीएन) पर वॉल्यूमेट्रिक अटैक ट्रैफिक को छोड़ना और सेवा में रुकावट पैदा किए बिना वास्तविक अनुरोधों को उचित रूप से रूट करने के लिए बाहरी नेटवर्क को नियोजित करना शामिल है।
DNSSEC (डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन) सुरक्षा
डोमेन नाम प्रणाली, या डीएनएस, इंटरनेट की फोनबुक है, और यह दर्शाता है कि कैसे एक इंटरनेट उपकरण, जैसे कि एक वेब ब्राउज़र, प्रासंगिक सर्वर को ढूंढता है। DNS कैश पॉइज़निंग, ऑन-पाथ अटैक, और DNS लुकअप जीवनचक्र में हस्तक्षेप करने के अन्य साधनों का उपयोग खराब अभिनेताओं द्वारा इस DNS अनुरोध प्रक्रिया को हाईजैक करने के लिए किया जाएगा। यदि डीएनएस इंटरनेट की फोन बुक है, तो डीएनएसएसईसी नकली कॉलर आईडी है। DNSSEC तकनीक का उपयोग करके DNS लुकअप अनुरोध को सुरक्षित किया जा सकता है।
प्रमाणीकरण पाठ्यक्रम के बारे में विस्तार से जानने के लिए आप नीचे दी गई तालिका का विस्तार और विश्लेषण कर सकते हैं।
EITC/IS/WASF वेब एप्लिकेशन सिक्योरिटी फंडामेंटल सर्टिफिकेशन करिकुलम एक वीडियो फॉर्म में ओपन-एक्सेस डिडक्टिक सामग्री का संदर्भ देता है। सीखने की प्रक्रिया प्रासंगिक पाठ्यचर्या भागों को शामिल करते हुए चरण-दर-चरण संरचना (कार्यक्रम -> पाठ -> विषय) में विभाजित है। डोमेन विशेषज्ञों के साथ असीमित परामर्श भी प्रदान किया जाता है।
प्रमाणन प्रक्रिया की जांच के विवरण के लिए यह किस प्रकार काम करता है?.
EITC/IS/WASF वेब एप्लिकेशन सिक्योरिटी फंडामेंटल प्रोग्राम के लिए संपूर्ण ऑफ़लाइन स्व-शिक्षण तैयारी सामग्री को एक पीडीएफ फ़ाइल में डाउनलोड करें।
EITC/IS/WASF प्रारंभिक सामग्री - मानक संस्करण
EITC/IS/WASF प्रारंभिक सामग्री - समीक्षा प्रश्नों के साथ विस्तारित संस्करण