EITC/IS/WAPT वेब एप्लिकेशन पेनेट्रेशन टेस्टिंग, वेब एप्लिकेशन पेनेट्रेशन टेस्टिंग (व्हाइट हैकिंग) के सैद्धांतिक और व्यावहारिक पहलुओं पर यूरोपीय आईटी प्रमाणन कार्यक्रम है, जिसमें विशेष पैठ परीक्षण उपकरण और सूट सहित वेब साइट स्पाइडरिंग, स्कैनिंग और अटैक तकनीकों के लिए विभिन्न तकनीकें शामिल हैं। .
EITC/IS/WAPT वेब एप्लिकेशन पेनेट्रेशन टेस्टिंग के पाठ्यक्रम में बर्प सूट, वेब स्प्राइडरिंग और DVWA, बर्प सूट के साथ ब्रूट फोर्स टेस्टिंग, WAFW00F के साथ वेब एप्लिकेशन फ़ायरवॉल (WAF) डिटेक्शन, टारगेट स्कोप और स्पाइडरिंग, छिपी हुई फाइलों की खोज शामिल है। ZAP, वर्डप्रेस भेद्यता स्कैनिंग और उपयोगकर्ता नाम गणना, लोड बैलेंसर स्कैन, क्रॉस-साइट स्क्रिप्टिंग, XSS - प्रतिबिंबित, संग्रहीत और DOM, प्रॉक्सी हमले, ZAP में प्रॉक्सी को कॉन्फ़िगर करना, फ़ाइलें और निर्देशिका हमले, फ़ाइल और निर्देशिका खोज DirBuster के साथ, वेब हमले अभ्यास , OWASP जूस की दुकान, CSRF - क्रॉस साइट अनुरोध जालसाजी, कुकी संग्रह और रिवर्स इंजीनियरिंग, HTTP विशेषताएँ - कुकी चोरी, SQL इंजेक्शन, DotDotPwn - निर्देशिका ट्रैवर्सल फ़ज़िंग, iframe इंजेक्शन और HTML इंजेक्शन, हार्दिक शोषण - खोज और शोषण, PHP कोड इंजेक्शन, bWAPP - HTML इंजेक्शन, परावर्तित POST, Commix के साथ OS कमांड इंजेक्शन, सर्वर-साइड में SSI इंजेक्शन, Docker में पेंटिंग, OverTheWire शामिल हैं Natas, LFI और कमांड इंजेक्शन, पेंटिंग के लिए Google हैकिंग, पैठ परीक्षण के लिए Google Dorks, Apache2 ModSecurity, साथ ही Nginx ModSecurity, निम्नलिखित संरचना के भीतर, इस EITC प्रमाणन के संदर्भ के रूप में व्यापक वीडियो उपदेशात्मक सामग्री को शामिल करता है।
वेब एप्लिकेशन सुरक्षा (जिसे अक्सर वेब ऐपसेक कहा जाता है) वेबसाइटों को सामान्य रूप से कार्य करने के लिए डिज़ाइन करने की अवधारणा है, भले ही उन पर हमला किया गया हो। यह धारणा अपनी संपत्ति को शत्रुतापूर्ण एजेंटों से बचाने के लिए वेब एप्लिकेशन में सुरक्षा उपायों के एक सेट को एकीकृत कर रही है। सभी सॉफ्टवेयर की तरह वेब एप्लिकेशन में भी खामियां होने का खतरा होता है। इनमें से कुछ खामियां वास्तविक कमजोरियां हैं जिनका फायदा उठाया जा सकता है, जिससे व्यवसायों को जोखिम हो सकता है। वेब एप्लिकेशन सुरक्षा के माध्यम से ऐसी खामियों से बचाव किया जाता है। यह सुरक्षित विकास दृष्टिकोणों को नियोजित करता है और पूरे सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) में सुरक्षा नियंत्रण रखता है, यह सुनिश्चित करता है कि डिजाइन की खामियों और कार्यान्वयन के मुद्दों को संबोधित किया गया है। ऑनलाइन पैठ परीक्षण, जो विशेषज्ञों द्वारा किया जाता है, जिनका उद्देश्य तथाकथित व्हाइट हैकिंग दृष्टिकोण का उपयोग करके वेब एप्लिकेशन कमजोरियों को उजागर करना और उनका फायदा उठाना है, उचित रक्षा को सक्षम करने के लिए एक आवश्यक अभ्यास है।
एक वेब पैठ परीक्षण, जिसे वेब पेन टेस्ट के रूप में भी जाना जाता है, शोषक दोषों को खोजने के लिए वेब एप्लिकेशन पर साइबर हमले का अनुकरण करता है। वेब एप्लिकेशन सुरक्षा (WAF) के संदर्भ में वेब एप्लिकेशन फ़ायरवॉल को पूरक करने के लिए अक्सर प्रवेश परीक्षण का उपयोग किया जाता है। पेन टेस्टिंग, सामान्य तौर पर, कोड इंजेक्शन हमलों के लिए असुरक्षित इनपुट जैसे कमजोरियों को खोजने के लिए किसी भी संख्या में एप्लिकेशन सिस्टम (जैसे, एपीआई, फ्रंटएंड/बैकएंड सर्वर) में घुसने का प्रयास करता है।
ऑनलाइन पैठ परीक्षण के निष्कर्षों का उपयोग WAF सुरक्षा नीतियों को कॉन्फ़िगर करने और खोजी गई कमजोरियों को दूर करने के लिए किया जा सकता है।
प्रवेश परीक्षण में पाँच चरण होते हैं।
पेन टेस्टिंग प्रक्रिया को पांच चरणों में बांटा गया है।
- योजना और स्काउटिंग
परीक्षण के दायरे और लक्ष्यों को परिभाषित करना, जिसमें संबोधित की जाने वाली प्रणाली और उपयोग की जाने वाली परीक्षण पद्धतियां शामिल हैं, पहला चरण है।
एक लक्ष्य कैसे काम करता है और इसकी संभावित कमजोरियों की बेहतर समझ हासिल करने के लिए, खुफिया जानकारी इकट्ठा करें (उदाहरण के लिए, नेटवर्क और डोमेन नाम, मेल सर्वर)। - स्कैनिंग
अगला चरण यह पता लगाना है कि विभिन्न प्रकार के घुसपैठ के प्रयासों पर लक्ष्य आवेदन कैसे प्रतिक्रिया देगा। यह आमतौर पर निम्नलिखित विधियों को नियोजित करके पूरा किया जाता है:
स्थैतिक विश्लेषण - किसी एप्लिकेशन के कोड की जांच करके यह अनुमान लगाने के लिए कि यह चलने पर कैसा व्यवहार करेगा। एक ही पास में ये टूल पूरे कोड को स्कैन कर सकते हैं।
गतिशील विश्लेषण किसी एप्लिकेशन के कोड के संचालन के दौरान निरीक्षण करने की प्रक्रिया है। स्कैनिंग की यह विधि अधिक व्यावहारिक है क्योंकि यह किसी एप्लिकेशन के प्रदर्शन का वास्तविक समय दृश्य प्रदान करती है। - पहुंच प्राप्त करना
लक्ष्य की कमजोरियों का पता लगाने के लिए, यह चरण क्रॉस-साइट स्क्रिप्टिंग, SQL इंजेक्शन और बैकडोर जैसे वेब एप्लिकेशन हमलों को नियोजित करता है। इन कमजोरियों से होने वाले नुकसान को समझने के लिए, परीक्षक विशेषाधिकारों को बढ़ाकर, डेटा की चोरी करके, ट्रैफ़िक को बाधित करके, आदि द्वारा उनका शोषण करने का प्रयास करते हैं। - पहुंच बनाए रखना
इस चरण का उद्देश्य यह आकलन करना है कि क्या समझौता प्रणाली में दीर्घकालिक उपस्थिति स्थापित करने के लिए भेद्यता का फायदा उठाया जा सकता है, जिससे खराब अभिनेता को गहराई तक पहुंच प्राप्त हो सके। लक्ष्य उन्नत लगातार खतरों की नकल करना है, जो किसी कंपनी की सबसे संवेदनशील जानकारी को चुराने के लिए महीनों तक सिस्टम में रह सकते हैं। - विश्लेषण
प्रवेश परीक्षा के परिणाम तब एक रिपोर्ट में डाल दिए जाते हैं जिसमें जानकारी शामिल होती है जैसे:
भेद्यताएं जिनका विस्तार से शोषण किया गया
प्राप्त किया गया डेटा संवेदनशील था
पेन टेस्टर जितना समय सिस्टम में किसी का ध्यान नहीं गया था।
सुरक्षा विशेषज्ञ इस डेटा का उपयोग किसी उद्यम की WAF सेटिंग्स और अन्य एप्लिकेशन सुरक्षा समाधानों को कॉन्फ़िगर करने में सहायता के लिए करते हैं ताकि कमजोरियों को ठीक किया जा सके और आगे के हमलों को रोका जा सके।
पैठ परीक्षण के तरीके
- बाहरी पैठ परीक्षण एक फर्म की संपत्ति पर ध्यान केंद्रित करता है जो इंटरनेट पर दिखाई देती है, जैसे कि वेब एप्लिकेशन, कंपनी की वेबसाइट, साथ ही ईमेल और डोमेन नाम सर्वर (डीएनएस)। उद्देश्य उपयोगी जानकारी तक पहुंच प्राप्त करना और निकालना है।
- आंतरिक परीक्षण में एक परीक्षक की आवश्यकता होती है जिसके पास एक शत्रुतापूर्ण अंदरूनी हमले का अनुकरण करने वाली कंपनी के फ़ायरवॉल के पीछे एक एप्लिकेशन तक पहुंच हो। यह एक दुष्ट कर्मचारी अनुकरण आवश्यक नहीं है। एक कर्मचारी जिसका क्रेडेंशियल फ़िशिंग प्रयास के परिणामस्वरूप प्राप्त किया गया था, एक सामान्य प्रारंभिक बिंदु है।
- अंधा परीक्षण तब होता है जब एक परीक्षक को केवल उस कंपनी का नाम प्रदान किया जाता है जिसका परीक्षण किया जा रहा है। यह सुरक्षा विशेषज्ञों को यह देखने की अनुमति देता है कि वास्तविक समय में एक वास्तविक एप्लिकेशन हमला कैसे हो सकता है।
- डबल-ब्लाइंड टेस्टिंग: डबल-ब्लाइंड टेस्ट में, सुरक्षा पेशेवर पहले से नकली हमले से अनजान होते हैं। उनके पास वास्तविक दुनिया की तरह, एक प्रयास के उल्लंघन से पहले अपने किलेबंदी को किनारे करने का समय नहीं होगा।
- लक्षित परीक्षण - इस परिदृश्य में, परीक्षक और सुरक्षा कर्मचारी सहयोग करते हैं और एक-दूसरे की गतिविधियों पर नज़र रखते हैं। यह एक उत्कृष्ट प्रशिक्षण अभ्यास है जो एक सुरक्षा टीम को हैकर के दृष्टिकोण से रीयल-टाइम फीडबैक देता है।
वेब एप्लिकेशन फायरवॉल और प्रवेश परीक्षण
प्रवेश परीक्षण और WAF दो अलग लेकिन पूरक सुरक्षा तकनीक हैं। कई प्रकार के पेन टेस्टिंग (ब्लाइंड और डबल ब्लाइंड टेस्ट के अपवाद के साथ) में एप्लिकेशन के कमजोर क्षेत्रों को खोजने और उनका फायदा उठाने के लिए परीक्षक WAF डेटा, जैसे लॉग्स का लाभ उठा सकता है।
बदले में, पेन परीक्षण डेटा WAF प्रशासकों की मदद कर सकता है। एक परीक्षण के पूरा होने के बाद, परीक्षण के दौरान पाई गई खामियों से बचाने के लिए WAF कॉन्फ़िगरेशन को संशोधित किया जा सकता है।
अंत में, पेन परीक्षण कुछ सुरक्षा ऑडिटिंग विधियों की अनुपालन आवश्यकताओं को पूरा करता है, जैसे कि पीसीआई डीएसएस और एसओसी 2। कुछ आवश्यकताएं, जैसे पीसीआई-डीएसएस 6.6, केवल तभी पूरी की जा सकती हैं जब एक प्रमाणित डब्ल्यूएएफ का उपयोग किया जाता है। हालाँकि, उपरोक्त लाभों और WAF सेटिंग्स को संशोधित करने की क्षमता के कारण, यह पेन परीक्षण को कम उपयोगी नहीं बनाता है।
वेब सुरक्षा परीक्षण का क्या महत्व है?
वेब सुरक्षा परीक्षण का लक्ष्य वेब अनुप्रयोगों और उनके सेटअप में सुरक्षा खामियों की पहचान करना है। एप्लिकेशन परत प्राथमिक लक्ष्य है (यानी, HTTP प्रोटोकॉल पर क्या चल रहा है)। समस्याओं को प्रेरित करने और सिस्टम को अप्रत्याशित तरीके से प्रतिक्रिया देने के लिए वेब एप्लिकेशन में इनपुट के विभिन्न रूपों को भेजना इसकी सुरक्षा का परीक्षण करने का एक सामान्य तरीका है। ये "नकारात्मक परीक्षण" यह देखने के लिए देखते हैं कि क्या सिस्टम कुछ ऐसा कर रहा है जिसे पूरा करने का इरादा नहीं था।
यह महसूस करना भी महत्वपूर्ण है कि वेब सुरक्षा परीक्षण केवल एप्लिकेशन की सुरक्षा सुविधाओं (जैसे प्रमाणीकरण और प्राधिकरण) को सत्यापित करने से अधिक आवश्यक है। यह सुनिश्चित करना भी महत्वपूर्ण है कि अन्य सुविधाओं को सुरक्षित रूप से तैनात किया गया है (उदाहरण के लिए, व्यावसायिक तर्क और उचित इनपुट सत्यापन और आउटपुट एन्कोडिंग का उपयोग)। इसका उद्देश्य यह सुनिश्चित करना है कि वेब एप्लिकेशन के कार्य सुरक्षित हैं।
सुरक्षा आकलन कितने प्रकार के होते हैं?
- डायनेमिक एप्लिकेशन सिक्योरिटी (डीएएसटी) के लिए टेस्ट। यह स्वचालित एप्लिकेशन सुरक्षा परीक्षण कम-जोखिम, आंतरिक-सामना करने वाले ऐप्स के लिए सबसे उपयुक्त है जो नियामक सुरक्षा आवश्यकताओं को पूरा करना चाहिए। सामान्य कमजोरियों के लिए कुछ मैनुअल ऑनलाइन सुरक्षा परीक्षण के साथ डीएएसटी का संयोजन मध्यम-जोखिम वाले ऐप्स और मामूली बदलावों से गुजरने वाले महत्वपूर्ण अनुप्रयोगों के लिए सबसे अच्छी रणनीति है।
- स्थैतिक अनुप्रयोगों के लिए सुरक्षा जांच (एसएएसटी)। इस एप्लिकेशन सुरक्षा रणनीति में स्वचालित और मैन्युअल दोनों परीक्षण विधियां शामिल हैं। यह लाइव वातावरण में ऐप्स चलाए बिना बग का पता लगाने के लिए आदर्श है। यह इंजीनियरों को एक व्यवस्थित तरीके से सॉफ़्टवेयर सुरक्षा खामियों का पता लगाने और उन्हें ठीक करने के लिए स्रोत कोड को स्कैन करने की अनुमति देता है।
- प्रवेश परीक्षा। यह मैनुअल एप्लिकेशन सुरक्षा परीक्षण आवश्यक अनुप्रयोगों के लिए आदर्श है, विशेष रूप से वे जो महत्वपूर्ण परिवर्तनों से गुजर रहे हैं। उन्नत हमले के परिदृश्यों को खोजने के लिए, मूल्यांकन व्यावसायिक तर्क और विरोधी-आधारित परीक्षण का उपयोग करता है।
- रनटाइम (आरएएसपी) में एप्लिकेशन सेल्फ-प्रोटेक्शन। इस बढ़ती हुई एप्लिकेशन सुरक्षा पद्धति में किसी एप्लिकेशन को साधने के लिए कई तरह की तकनीकी तकनीकों को शामिल किया गया है ताकि खतरों को देखा जा सके और उम्मीद है कि वास्तविक समय में उन्हें रोका जा सके।
कंपनी के जोखिम को कम करने में एप्लिकेशन सुरक्षा परीक्षण क्या भूमिका निभाता है?
वेब अनुप्रयोगों पर अधिकांश हमलों में शामिल हैं:
- SQL इंजेक्शन
- एक्सएसएस (क्रॉस साइट स्क्रिप्टिंग)
- रिमोट कमांड निष्पादन
- पथ ट्रैवर्सल हमला
- प्रतिबंधित सामग्री पहुंच
- समझौता किए गए उपयोगकर्ता खाते
- दुर्भावनापूर्ण कोड स्थापना
- खोया बिक्री राजस्व
- ग्राहकों का भरोसा टूट रहा है
- ब्रांड प्रतिष्ठा को नुकसान
- और कई अन्य हमले
आज के इंटरनेट परिवेश में, एक वेब एप्लिकेशन विभिन्न प्रकार की चुनौतियों से क्षतिग्रस्त हो सकता है। ऊपर दिया गया ग्राफिक हमलावरों द्वारा किए गए कुछ सबसे आम हमलों को दर्शाता है, जिनमें से प्रत्येक व्यक्तिगत एप्लिकेशन या पूरे व्यवसाय को महत्वपूर्ण नुकसान पहुंचा सकता है। कई हमलों को जानना जो एक एप्लिकेशन को कमजोर बनाते हैं, साथ ही साथ एक हमले के संभावित परिणाम, कंपनी को समय से पहले कमजोरियों को हल करने और उनके लिए प्रभावी ढंग से परीक्षण करने की अनुमति देता है।
सुभेद्यता के मूल कारण की पहचान करके किसी भी मुद्दे को रोकने के लिए एसडीएलसी के शुरुआती चरणों में शमन नियंत्रण स्थापित किया जा सकता है। वेब एप्लिकेशन सुरक्षा परीक्षण के दौरान, इन खतरों के काम करने के ज्ञान का उपयोग रुचि के ज्ञात स्थानों को लक्षित करने के लिए भी किया जा सकता है।
कंपनी के जोखिम के प्रबंधन के लिए किसी हमले के प्रभाव को पहचानना भी महत्वपूर्ण है, क्योंकि एक सफल हमले के प्रभावों का उपयोग समग्र रूप से भेद्यता की गंभीरता को निर्धारित करने के लिए किया जा सकता है। यदि सुरक्षा परीक्षण के दौरान कमजोरियों का पता लगाया जाता है, तो उनकी गंभीरता का निर्धारण कंपनी को उपचारात्मक प्रयासों को अधिक प्रभावी ढंग से प्राथमिकता देने की अनुमति देता है। कंपनी के लिए जोखिम को कम करने के लिए, गंभीर गंभीरता के मुद्दों से शुरू करें और कम प्रभाव वाले लोगों के लिए काम करें।
किसी समस्या की पहचान करने से पहले, कंपनी की एप्लिकेशन लाइब्रेरी में प्रत्येक प्रोग्राम के संभावित प्रभाव का आकलन करने से आपको एप्लिकेशन सुरक्षा परीक्षण को प्राथमिकता देने में मदद मिलेगी। वेनब सुरक्षा परीक्षण पहले फर्म के महत्वपूर्ण अनुप्रयोगों को लक्षित करने के लिए निर्धारित किया जा सकता है, व्यापार के खिलाफ जोखिम को कम करने के लिए अधिक लक्षित परीक्षण के साथ। हाई-प्रोफाइल अनुप्रयोगों की एक स्थापित सूची के साथ, वेनब सुरक्षा परीक्षण को पहले फर्म के महत्वपूर्ण अनुप्रयोगों को लक्षित करने के लिए निर्धारित किया जा सकता है, व्यापार के खिलाफ जोखिम को कम करने के लिए अधिक लक्षित परीक्षण के साथ।
वेब एप्लिकेशन सुरक्षा परीक्षण के दौरान, किन विशेषताओं की जांच की जानी चाहिए?
वेब अनुप्रयोग सुरक्षा परीक्षण के दौरान, सुविधाओं की निम्नलिखित गैर-विस्तृत सूची पर विचार करें। प्रत्येक के अप्रभावी कार्यान्वयन के परिणामस्वरूप कमजोरियां हो सकती हैं, जिससे कंपनी खतरे में पड़ सकती है।
- एप्लिकेशन और सर्वर का कॉन्फ़िगरेशन। एन्क्रिप्शन/क्रिप्टोग्राफिक सेटअप, वेब सर्वर कॉन्फ़िगरेशन, और इसी तरह सभी संभावित दोषों के उदाहरण हैं।
- इनपुट और त्रुटि प्रबंधन का सत्यापन खराब इनपुट और आउटपुट प्रोसेसिंग से SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग (XSS), और अन्य विशिष्ट इंजेक्शन समस्याएं होती हैं।
- सत्रों का प्रमाणीकरण और रखरखाव। भेद्यताएं जो उपयोगकर्ता प्रतिरूपण का कारण बन सकती हैं। क्रेडेंशियल ताकत और सुरक्षा को भी ध्यान में रखा जाना चाहिए।
- प्राधिकरण। ऊर्ध्वाधर और क्षैतिज विशेषाधिकार वृद्धि से बचाने के लिए एप्लिकेशन की क्षमता का परीक्षण किया जा रहा है।
- व्यापार में तर्क। व्यावसायिक कार्यक्षमता प्रदान करने वाले अधिकांश प्रोग्राम इन्हीं पर निर्भर करते हैं।
- ग्राहक के अंत में तर्क। इस प्रकार की विशेषता आधुनिक, जावास्क्रिप्ट-भारी वेबपेजों के साथ-साथ अन्य प्रकार की क्लाइंट-साइड तकनीकों (जैसे, सिल्वरलाइट, फ्लैश, जावा एप्लेट्स) का उपयोग करने वाले वेबपेजों के साथ अधिक सामान्य होती जा रही है।
प्रमाणीकरण पाठ्यक्रम के बारे में विस्तार से जानने के लिए आप नीचे दी गई तालिका का विस्तार और विश्लेषण कर सकते हैं।
EITC/IS/WAPT वेब एप्लिकेशन पेनेट्रेशन टेस्टिंग सर्टिफिकेशन करिकुलम एक वीडियो फॉर्म में ओपन-एक्सेस डिडक्टिक सामग्री का संदर्भ देता है। सीखने की प्रक्रिया प्रासंगिक पाठ्यचर्या भागों को शामिल करते हुए चरण-दर-चरण संरचना (कार्यक्रम -> पाठ -> विषय) में विभाजित है। डोमेन विशेषज्ञों के साथ असीमित परामर्श भी प्रदान किया जाता है।
प्रमाणन प्रक्रिया की जांच के विवरण के लिए यह किस प्रकार काम करता है?.
EITC/IS/WAPT वेब एप्लिकेशन पेनेट्रेशन टेस्टिंग प्रोग्राम के लिए संपूर्ण ऑफ़लाइन स्व-शिक्षण तैयारी सामग्री को एक पीडीएफ फ़ाइल में डाउनलोड करें।
EITC/IS/WAPT प्रारंभिक सामग्री - मानक संस्करण
EITC/IS/WAPT प्रारंभिक सामग्री - समीक्षा प्रश्नों के साथ विस्तारित संस्करण