EITC/IS/WASF Web Applications Security Fundamentals என்பது ஐரோப்பிய IT சான்றளிக்கும் திட்டமாகும் சேவையக பாதுகாப்பு, இணைய உலாவிகள் மற்றும் இணைய பயன்பாடுகள் உட்பட உயர் அடுக்குகளில் பாதுகாப்பு, அத்துடன் அங்கீகாரம், சான்றிதழ்கள் மற்றும் ஃபிசிங்.
EITC/IS/WASF Web Applications Security Fundamentals இன் பாடத்திட்டமானது HTML மற்றும் JavaScript இணைய பாதுகாப்பு அம்சங்கள், DNS, HTTP, குக்கீகள், அமர்வுகள், குக்கீ மற்றும் அமர்வு தாக்குதல்கள், ஒரே மூலக் கொள்கை, குறுக்கு-தள கோரிக்கை மோசடி, விதிவிலக்குகள் பற்றிய அறிமுகத்தை உள்ளடக்கியது. மூலக் கொள்கை, கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS), கிராஸ்-சைட் ஸ்கிரிப்டிங் பாதுகாப்பு, இணைய கைரேகை, இணையத்தில் தனியுரிமை, DoS, ஃபிஷிங் மற்றும் பக்க சேனல்கள், சேவை மறுப்பு, ஃபிஷிங் மற்றும் பக்க சேனல்கள், ஊசி தாக்குதல்கள், குறியீடு ஊசி, போக்குவரத்து அடுக்கு பாதுகாப்பு (TLS) மற்றும் தாக்குதல்கள், நிஜ உலகில் HTTPS, அங்கீகாரம், WebAuthn, வலைப் பாதுகாப்பை நிர்வகித்தல், Node.js திட்டத்தில் பாதுகாப்பு கவலைகள், சர்வர் பாதுகாப்பு, பாதுகாப்பான குறியீட்டு நடைமுறைகள், உள்ளூர் HTTP சர்வர் பாதுகாப்பு, DNS ரீபைண்டிங் தாக்குதல்கள், உலாவி தாக்குதல்கள், உலாவி கட்டிடக்கலை, அத்துடன் பாதுகாப்பான உலாவிக் குறியீட்டை எழுதுவது, பின்வரும் கட்டமைப்பிற்குள், இந்த EITC சான்றிதழுக்கான ஒரு குறிப்பாக விரிவான வீடியோ செயற்கையான உள்ளடக்கத்தை உள்ளடக்கியது.
இணைய பயன்பாட்டு பாதுகாப்பு என்பது இணையதளம், இணைய பயன்பாடு மற்றும் இணைய சேவை பாதுகாப்பு ஆகியவற்றில் கவனம் செலுத்தும் தகவல் பாதுகாப்பின் துணைக்குழு ஆகும். இணைய பயன்பாட்டு பாதுகாப்பு, அதன் மிக அடிப்படையான மட்டத்தில், பயன்பாட்டு பாதுகாப்புக் கொள்கைகளை அடிப்படையாகக் கொண்டது, ஆனால் இது குறிப்பாக இணையம் மற்றும் இணைய தளங்களுக்குப் பொருந்தும். வெப் அப்ளிகேஷன் ஃபயர்வால்கள் போன்ற வெப் அப்ளிகேஷன் பாதுகாப்பு தொழில்நுட்பங்கள், எச்டிடிபி டிராஃபிக்குடன் வேலை செய்வதற்கான சிறப்புக் கருவிகள்.
ஓபன் வெப் அப்ளிகேஷன் செக்யூரிட்டி ப்ராஜெக்ட் (OWASP) இலவச மற்றும் திறந்த வளங்களை வழங்குகிறது. ஒரு இலாப நோக்கற்ற OWASP அறக்கட்டளை அதன் பொறுப்பில் உள்ளது. 2017 OWASP டாப் 10 என்பது 40 க்கும் மேற்பட்ட கூட்டாளர் நிறுவனங்களிடமிருந்து சேகரிக்கப்பட்ட விரிவான தரவுகளின் அடிப்படையில் தற்போதைய ஆய்வின் முடிவாகும். இந்தத் தரவைப் பயன்படுத்தி 2.3க்கும் மேற்பட்ட பயன்பாடுகளில் சுமார் 50,000 மில்லியன் பாதிப்புகள் கண்டறியப்பட்டன. OWASP Top 10 – 2017 இன் படி, முதல் பத்து முக்கியமான ஆன்லைன் பயன்பாட்டு பாதுகாப்புக் கவலைகள்:
- ஊசி
- அங்கீகாரச் சிக்கல்கள்
- வெளிப்படுத்தப்பட்ட முக்கியமான தரவு எக்ஸ்எம்எல் வெளிப்புற நிறுவனங்கள் (XXE)
- வேலை செய்யாத அணுகல் கட்டுப்பாடு
- பாதுகாப்பின் தவறான கட்டமைப்பு
- தளத்திலிருந்து தள ஸ்கிரிப்டிங் (XSS)
- பாதுகாப்பற்ற சீரியலைசேஷன்
- அறியப்பட்ட குறைபாடுகளைக் கொண்ட கூறுகளைப் பயன்படுத்துதல்
- பதிவு மற்றும் கண்காணிப்பு போதுமானதாக இல்லை.
எனவே பயன்பாட்டின் குறியீட்டில் உள்ள பலவீனங்களைப் பயன்படுத்திக் கொள்ளும் பல்வேறு பாதுகாப்பு அச்சுறுத்தல்களுக்கு எதிராக இணையதளங்கள் மற்றும் ஆன்லைன் சேவைகளைப் பாதுகாக்கும் நடைமுறை வலை பயன்பாட்டு பாதுகாப்பு என அழைக்கப்படுகிறது. உள்ளடக்க மேலாண்மை அமைப்புகள் (எ.கா., வேர்ட்பிரஸ்), தரவுத்தள நிர்வாகக் கருவிகள் (எ.கா., phpMyAdmin), மற்றும் SaaS பயன்பாடுகள் அனைத்தும் ஆன்லைன் பயன்பாட்டு தாக்குதல்களுக்கான பொதுவான இலக்குகளாகும்.
வலை பயன்பாடுகள் குற்றவாளிகளால் அதிக முன்னுரிமை இலக்குகளாகக் கருதப்படுகின்றன, ஏனெனில்:
- அவற்றின் மூலக் குறியீட்டின் சிக்கலான தன்மை காரணமாக, கவனிக்கப்படாத பாதிப்புகள் மற்றும் தீங்கிழைக்கும் குறியீடு மாற்றம் ஆகியவை அதிகம்.
- பயனுள்ள மூலக் குறியீடு சேதப்படுத்தல் மூலம் பெறப்பட்ட முக்கியமான தனிப்பட்ட தகவல் போன்ற உயர் மதிப்பு வெகுமதிகள்.
- செயல்படுத்த எளிதானது, ஏனென்றால் பெரும்பாலான தாக்குதல்கள் உடனடியாக தானியங்கு மற்றும் ஆயிரக்கணக்கான, பத்து அல்லது நூறாயிரக்கணக்கான இலக்குகளுக்கு எதிராக கண்மூடித்தனமாக பயன்படுத்தப்படலாம்.
- தங்கள் இணையப் பயன்பாடுகளைப் பாதுகாக்கத் தவறும் நிறுவனங்கள் தாக்குதலுக்கு ஆளாக நேரிடும். இது தரவு திருட்டு, வாடிக்கையாளர் உறவுகள், ரத்து செய்யப்பட்ட உரிமங்கள் மற்றும் சட்ட நடவடிக்கை போன்றவற்றுக்கு வழிவகுக்கும்.
இணையதளங்களில் உள்ள பாதிப்புகள்
உள்ளீடு/வெளியீடு சுத்திகரிப்பு குறைபாடுகள் வலை பயன்பாடுகளில் பொதுவானவை, மேலும் அவை மூலக் குறியீட்டை மாற்ற அல்லது அங்கீகரிக்கப்படாத அணுகலைப் பெற அடிக்கடி பயன்படுத்தப்படுகின்றன.
இந்த குறைபாடுகள் பல்வேறு தாக்குதல் திசையன்களை சுரண்ட அனுமதிக்கின்றன, அவற்றுள்:
- SQL ஊசி - தீங்கிழைக்கும் SQL குறியீட்டைக் கொண்டு ஒரு குற்றவாளி ஒரு பின்தள தரவுத்தளத்தை கையாளும் போது, தகவல் வெளிப்படும். சட்டவிரோத பட்டியல் உலாவல், அட்டவணையை நீக்குதல் மற்றும் அங்கீகரிக்கப்படாத நிர்வாகி அணுகல் ஆகியவை விளைவுகளில் அடங்கும்.
- XSS (கிராஸ்-சைட் ஸ்கிரிப்டிங்) என்பது கணக்குகளுக்கான அணுகலைப் பெறுவதற்கும், ட்ரோஜான்களை செயல்படுத்துவதற்கும் அல்லது பக்க உள்ளடக்கத்தை மாற்றுவதற்கும் பயனர்களைக் குறிவைக்கும் ஒரு ஊசி தாக்குதல் ஆகும். ஒரு பயன்பாட்டில் தீங்கிழைக்கும் குறியீடு நேரடியாக செலுத்தப்படும் போது, இது சேமிக்கப்பட்ட XSS என அழைக்கப்படுகிறது. ஒரு பயன்பாட்டிலிருந்து பயனரின் உலாவியில் தீங்கிழைக்கும் ஸ்கிரிப்ட் பிரதிபலித்தால், இது பிரதிபலித்த XSS என அழைக்கப்படுகிறது.
- தொலைதூர கோப்பு சேர்த்தல் - இந்த வகையான தாக்குதல் ஒரு ஹேக்கரை தொலைதூர இடத்திலிருந்து வலை பயன்பாட்டு சேவையகத்தில் ஒரு கோப்பை உட்செலுத்த அனுமதிக்கிறது. இது பயன்பாட்டிற்குள் ஆபத்தான ஸ்கிரிப்ட்கள் அல்லது குறியீடு செயல்படுத்தப்படுவதற்கும், தரவு திருட்டு அல்லது மாற்றத்திற்கும் வழிவகுக்கும்.
- கிராஸ்-சைட் கோரிக்கை மோசடி (CSRF) - எதிர்பாராத பணப் பரிமாற்றம், கடவுச்சொல் மாற்றங்கள் அல்லது தரவுத் திருட்டு போன்ற தாக்குதலின் வகை. ஒரு தீங்கிழைக்கும் வலை நிரல், பயனர் உள்நுழைந்துள்ள இணையதளத்தில் விரும்பத்தகாத செயலை மேற்கொள்ளுமாறு பயனர் உலாவிக்கு அறிவுறுத்தும் போது இது நிகழ்கிறது.
கோட்பாட்டில், பயனுள்ள உள்ளீடு/வெளியீட்டுச் சுத்திகரிப்பு அனைத்து பாதிப்புகளையும் நீக்கி, அங்கீகரிக்கப்படாத மாற்றங்களுக்குப் பொருந்தாத பயன்பாட்டை உருவாக்குகிறது.
இருப்பினும், பெரும்பாலான திட்டங்கள் நிரந்தரமான வளர்ச்சி நிலையில் இருப்பதால், விரிவான சுத்திகரிப்பு அரிதாகவே சாத்தியமான விருப்பமாகும். மேலும், பயன்பாடுகள் பொதுவாக ஒன்றுடன் ஒன்று ஒருங்கிணைக்கப்படுகின்றன, இதன் விளைவாக குறியிடப்பட்ட சூழல் பெருகிய முறையில் சிக்கலானதாகி வருகிறது.
இத்தகைய ஆபத்துகளைத் தவிர்க்க, PCI தரவு பாதுகாப்பு தரநிலை (PCI DSS) சான்றிதழ் போன்ற இணைய பயன்பாட்டு பாதுகாப்பு தீர்வுகள் மற்றும் செயல்முறைகள் செயல்படுத்தப்பட வேண்டும்.
இணைய பயன்பாடுகளுக்கான ஃபயர்வால் (WAF)
WAFகள் (வலை பயன்பாட்டு ஃபயர்வால்கள்) பாதுகாப்பு அச்சுறுத்தல்களிலிருந்து பயன்பாடுகளைப் பாதுகாக்கும் வன்பொருள் மற்றும் மென்பொருள் தீர்வுகள். இந்தத் தீர்வுகள், தாக்குதல் முயற்சிகளைக் கண்டறிந்து தடுப்பதற்காக உள்வரும் போக்குவரத்தை ஆய்வு செய்ய வடிவமைக்கப்பட்டுள்ளன, குறியீடு சுத்திகரிப்பு குறைபாடுகளை ஈடுசெய்யும்.
WAF வரிசைப்படுத்தல் PCI DSS சான்றிதழுக்கான ஒரு முக்கியமான அளவுகோலைக் குறிப்பிடுகிறது. தரவுத்தளத்தில் பராமரிக்கப்படும் அனைத்து கிரெடிட் மற்றும் டெபிட் கார்டுதாரர் தரவுகளும் தேவை 6.6 இன் படி பாதுகாக்கப்பட வேண்டும்.
நெட்வொர்க்கின் விளிம்பில் இது அதன் DMZ க்கு முன்னால் வைக்கப்படுவதால், WAF ஐ நிறுவுவது பொதுவாக ஒரு பயன்பாட்டில் எந்த மாற்றமும் தேவையில்லை. இது அனைத்து உள்வரும் போக்குவரத்திற்கும் ஒரு நுழைவாயிலாக செயல்படுகிறது, ஒரு பயன்பாட்டுடன் தொடர்புகொள்வதற்கு முன் ஆபத்தான கோரிக்கைகளை வடிகட்டுகிறது.
எந்த ட்ராஃபிக்கை ஒரு பயன்பாட்டிற்கான அணுகல் அனுமதிக்கப்படுகிறது மற்றும் எது களையெடுக்கப்பட வேண்டும் என்பதை மதிப்பிடுவதற்கு, WAFகள் பல்வேறு ஹியூரிஸ்டிக்களைப் பயன்படுத்துகின்றன. தவறாமல் புதுப்பிக்கப்பட்ட கையொப்பக் குழுவிற்கு நன்றி, அவர்கள் தீங்கிழைக்கும் நடிகர்கள் மற்றும் அறியப்பட்ட தாக்குதல் திசையன்களை விரைவாக அடையாளம் காண முடியும்.
ஏறக்குறைய அனைத்து WAFகளும் தனிப்பட்ட பயன்பாட்டு வழக்குகள் மற்றும் பாதுகாப்பு விதிமுறைகளுக்கு ஏற்ப வடிவமைக்கப்படலாம், அத்துடன் வளர்ந்து வரும் (ஜீரோ-டே என்றும் அழைக்கப்படும்) அச்சுறுத்தல்களை எதிர்த்துப் போராடலாம். இறுதியாக, உள்வரும் பார்வையாளர்கள் பற்றிய கூடுதல் நுண்ணறிவுகளைப் பெற, பெரும்பாலான நவீன தீர்வுகள் நற்பெயர் மற்றும் நடத்தைத் தரவைப் பயன்படுத்துகின்றன.
பாதுகாப்பு சுற்றளவை உருவாக்க, WAFகள் பொதுவாக கூடுதல் பாதுகாப்பு தீர்வுகளுடன் இணைக்கப்படுகின்றன. இவற்றில் விநியோகிக்கப்பட்ட மறுப்பு-சேவை (DDoS) தடுப்புச் சேவைகள் அடங்கும், இது அதிக அளவு தாக்குதல்களைத் தடுக்கத் தேவையான கூடுதல் அளவிடுதலை அளிக்கிறது.
இணைய பயன்பாட்டு பாதுகாப்புக்கான சரிபார்ப்பு பட்டியல்
WAFகளுக்கு கூடுதலாக வலை பயன்பாடுகளைப் பாதுகாப்பதற்கு பல்வேறு அணுகுமுறைகள் உள்ளன. எந்தவொரு இணைய பயன்பாட்டு பாதுகாப்பு சரிபார்ப்புப் பட்டியலிலும் பின்வரும் நடைமுறைகள் இருக்க வேண்டும்:
- தரவுகளைச் சேகரித்தல் - விண்ணப்பத்தை கைமுறையாகச் சென்று, நுழைவுப் புள்ளிகள் மற்றும் கிளையன்ட் பக்க குறியீடுகளைத் தேடுங்கள். மூன்றாம் தரப்பினரால் ஹோஸ்ட் செய்யப்பட்ட உள்ளடக்கத்தை வகைப்படுத்தவும்.
- அங்கீகாரம் - பயன்பாட்டைச் சோதிக்கும் போது பாதைப் பயணங்கள், செங்குத்து மற்றும் கிடைமட்ட அணுகல் கட்டுப்பாடு சிக்கல்கள், விடுபட்ட அங்கீகாரம் மற்றும் பாதுகாப்பற்ற, நேரடி பொருள் குறிப்புகள் ஆகியவற்றைப் பார்க்கவும்.
- கிரிப்டோகிராஃபி மூலம் அனைத்து தரவு பரிமாற்றங்களையும் பாதுகாக்கவும். ஏதேனும் முக்கியமான தகவல் குறியாக்கம் செய்யப்பட்டதா? நீங்கள் எந்த அல்காரிதம்களையும் பயன்படுத்தியுள்ளீர்களா? ஏதேனும் சீரற்ற பிழைகள் உள்ளதா?
- சேவை மறுப்பு — சேவை மறுப்புத் தாக்குதல்களுக்கு எதிராக பயன்பாட்டின் பின்னடைவை மேம்படுத்த, ஆட்டோமேஷன் எதிர்ப்பு, கணக்கு லாக்அவுட், HTTP நெறிமுறை DoS மற்றும் SQL வைல்டு கார்டு DoSக்கான சோதனை. அதிக அளவு DoS மற்றும் DDoS தாக்குதல்களுக்கு எதிரான பாதுகாப்பு இதில் இல்லை, இதற்கு வடிகட்டுதல் தொழில்நுட்பங்கள் மற்றும் அளவிடக்கூடிய ஆதாரங்களின் கலவை தேவை.
மேலும் விவரங்களுக்கு, OWASP வலை பயன்பாட்டு பாதுகாப்பு சோதனை ஏமாற்று தாளை ஒருவர் சரிபார்க்கலாம் (இது மற்ற பாதுகாப்பு தொடர்பான தலைப்புகளுக்கான சிறந்த ஆதாரமாகும்).
DDoS பாதுகாப்பு
DDoS தாக்குதல்கள் அல்லது விநியோகிக்கப்பட்ட சேவை மறுப்புத் தாக்குதல்கள், ஒரு வலைப் பயன்பாட்டை குறுக்கிடுவதற்கான ஒரு பொதுவான வழியாகும். DDoS தாக்குதல்களைத் தணிக்க பல அணுகுமுறைகள் உள்ளன, உள்ளடக்க விநியோக நெட்வொர்க்குகளில் (CDNகள்) வால்யூமெட்ரிக் தாக்குதல் போக்குவரத்தை நிராகரித்தல் மற்றும் சேவை குறுக்கீடு இல்லாமல் உண்மையான கோரிக்கைகளை சரியான முறையில் வழிநடத்த வெளிப்புற நெட்வொர்க்குகளைப் பயன்படுத்துதல்.
DNSSEC (டொமைன் பெயர் அமைப்பு பாதுகாப்பு நீட்டிப்புகள்) பாதுகாப்பு
டொமைன் பெயர் அமைப்பு அல்லது டிஎன்எஸ் என்பது இணையத்தின் ஃபோன்புக் ஆகும், மேலும் இணைய உலாவி போன்ற இணையக் கருவி எவ்வாறு தொடர்புடைய சேவையகத்தைக் கண்டறிகிறது என்பதைப் பிரதிபலிக்கிறது. டிஎன்எஸ் கேச் நச்சுத்தன்மை, ஆன்-பாத் தாக்குதல்கள் மற்றும் டிஎன்எஸ் தேடல் வாழ்க்கைச் சுழற்சியில் குறுக்கிடும் பிற வழிகள் இந்த டிஎன்எஸ் கோரிக்கை செயல்முறையை அபகரிக்க மோசமான நடிகர்களால் பயன்படுத்தப்படும். DNS என்பது இணையத்தின் தொலைபேசி புத்தகம் என்றால், DNSSEC என்பது ஏமாற்ற முடியாத அழைப்பாளர் ஐடி. டிஎன்எஸ்எஸ்இசி தொழில்நுட்பத்தைப் பயன்படுத்தி டிஎன்எஸ் தேடல் கோரிக்கையைப் பாதுகாக்கலாம்.
சான்றிதழ் பாடத்திட்டத்துடன் உங்களைப் பற்றி விரிவாக அறிந்துகொள்ள, கீழே உள்ள அட்டவணையை விரிவுபடுத்தி பகுப்பாய்வு செய்யலாம்.
EITC/IS/WASF வலை பயன்பாடுகள் பாதுகாப்பு அடிப்படைகள் சான்றளிப்பு பாடத்திட்டம் வீடியோ வடிவத்தில் திறந்த அணுகல் செயற்கையான பொருட்களைக் குறிப்பிடுகிறது. கற்றல் செயல்முறை ஒரு படிப்படியான கட்டமைப்பாக (நிரல்கள் -> பாடங்கள் -> தலைப்புகள்) தொடர்புடைய பாடத்திட்ட பகுதிகளை உள்ளடக்கியது. டொமைன் நிபுணர்களுடன் வரம்பற்ற ஆலோசனையும் வழங்கப்படுகிறது.
சான்றிதழின் செயல்முறை பற்றிய விவரங்களுக்கு சரிபார்க்கவும் எப்படி இது செயல்படுகிறது.
EITC/IS/WASF Web Applications Security Fundamentals திட்டத்திற்கான முழுமையான ஆஃப்லைன் சுய-கற்றல் தயாரிப்பு பொருட்களை PDF கோப்பில் பதிவிறக்கவும்
EITC/IS/WASF ஆயத்த பொருட்கள் - நிலையான பதிப்பு
EITC/IS/WASF ஆயத்த பொருட்கள் - மறுஆய்வு கேள்விகளுடன் விரிவாக்கப்பட்ட பதிப்பு