EITC/IS/WASF вэб програмын аюулгүй байдлын үндэс

Нээлттэй вэб програмын аюулгүй байдлын төсөл (OWASP) нь үнэгүй, нээлттэй нөөцүүдийг санал болгодог. Ашгийн бус OWASP сан үүнийг хариуцдаг. 2017 оны OWASP шилдэг 10 нь 40 гаруй түнш байгууллагуудаас цуглуулсан өргөн хүрээний мэдээлэлд үндэслэсэн одоогийн судалгааны үр дүн юм. Энэ өгөгдлийг ашиглан 2.3 гаруй аппликешн дээр ойролцоогоор 50,000 сая эмзэг байдлыг илрүүлсэн. OWASP шилдэг 10 – 2017-ийн дагуу онлайн програмын аюулгүй байдлын хамгийн чухал арван асуудал нь:

• Тарих
• Баталгаажуулалтын асуудлууд
• Ил гарсан эмзэг өгөгдөл XML гадаад нэгж (XXE)
• Хандалтын хяналт ажиллахгүй байна
• Аюулгүй байдлын буруу тохируулга
• Сайтаас сайт руу скрипт хийх (XSS)
• Аюулгүй байдлыг арилгах нь
• Мэдэгдэж буй дутагдалтай бүрэлдэхүүн хэсгүүдийг ашиглах
• Мод бэлтгэх, хяналт тавих ажил хангалтгүй байна.

Тиймээс програмын кодын сул талыг ашигладаг янз бүрийн аюулгүй байдлын аюулаас вэбсайт болон онлайн үйлчилгээг хамгаалах дадлыг вэб програмын аюулгүй байдал гэж нэрлэдэг. Агуулгын удирдлагын систем (жишээ нь, WordPress), өгөгдлийн сангийн удирдлагын хэрэгсэл (жишээ нь, phpMyAdmin) болон SaaS програмууд нь бүгд онлайн програмын халдлагад өртөх нийтлэг зорилтууд юм.

Гэмт этгээдүүд вэб программуудыг нэн тэргүүний зорилт гэж үздэг, учир нь:

• Тэдний эх кодын ээдрээтэй учраас хараа хяналтгүй сул тал болон хортой кодыг өөрчлөх магадлал өндөр байдаг.
• Эх кодыг үр дүнтэй хувиргах замаар олж авсан хувийн нууц мэдээлэл гэх мэт өндөр үнэ цэнэтэй шагналууд.
• Гүйцэтгэх хялбар, учир нь ихэнх халдлагыг хялбархан автоматжуулж, мянга, арав, бүр хэдэн зуун мянган байны эсрэг ялгахгүйгээр байрлуулж болно.
• Вэб програмаа хамгаалж чадаагүй байгууллагууд халдлагад өртөмтгий байдаг. Энэ нь бусад зүйлсийн дунд мэдээлэл хулгайлах, үйлчлүүлэгчийн харилцаа хурцадмал байдал, лиценз цуцлагдах, хууль ёсны арга хэмжээ авах зэрэгт хүргэж болзошгүй юм.

Вэбсайт дахь эмзэг байдал

Оролт/гаралтын ариутгалын алдаа нь вэб програмуудад нийтлэг байдаг бөгөөд тэдгээрийг эх кодыг өөрчлөх эсвэл зөвшөөрөлгүй хандалт авах зорилгоор ашигладаг.

Эдгээр дутагдал нь янз бүрийн халдлагын векторуудыг ашиглах боломжийг олгодог, үүнд:

• SQL Injection – Гэмт этгээд арын мэдээллийн баазыг хортой SQL кодоор удирдах үед мэдээлэл гарч ирдэг. Жагсаалтыг хууль бусаар үзэх, хүснэгтийг устгах, администраторын зөвшөөрөлгүй хандалт зэрэг нь үр дагавар юм.
• XSS (Cross-site Scripting) нь акаунт руу нэвтрэх, троянуудыг идэвхжүүлэх, хуудасны агуулгыг өөрчлөх зорилгоор хэрэглэгчдэд чиглэсэн тарилгын халдлага юм. Хортой кодыг програм руу шууд оруулах үед үүнийг хадгалсан XSS гэж нэрлэдэг. Хортой скриптийг програмаас хэрэглэгчийн хөтөч рүү толин тусгах үед үүнийг тусгасан XSS гэж нэрлэдэг.
• Distant File Inclusion – Энэхүү халдлагын хэлбэр нь хакерт алслагдсан газраас вэб програмын серверт файл оруулах боломжийг олгодог. Энэ нь апп дотор аюултай скрипт эсвэл кодыг гүйцэтгэх, мөн өгөгдлийг хулгайлах эсвэл өөрчлөхөд хүргэж болзошгүй юм.
• Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) – Бэлэн мөнгө санамсаргүй шилжүүлэх, нууц үг солих, мэдээлэл хулгайлахад хүргэж болзошгүй халдлага. Энэ нь хортой вэб программ нь хэрэглэгчийн нэвтэрсэн вэб сайт дээр хүсээгүй үйлдэл хийхийг хэрэглэгчийн хөтөч рүү зааварлах үед тохиолддог.

Онолын хувьд оролт/гаралтын үр дүнтэй ариутгал нь бүх эмзэг байдлыг арилгаж, програмыг зөвшөөрөлгүй өөрчлөлт оруулахгүй болгодог.

Гэсэн хэдий ч ихэнх хөтөлбөрүүд байнгын хөгжлийн шатандаа байгаа тул иж бүрэн ариутгах нь үр дүнтэй сонголт ховор байдаг. Цаашилбал, програмууд нь ихэвчлэн бие биетэйгээ нэгтгэгддэг тул кодлогдсон орчин улам бүр төвөгтэй болж байна.

Ийм аюулаас зайлсхийхийн тулд PCI Data Security Standard (PCI DSS) гэрчилгээ зэрэг вэб програмын аюулгүй байдлын шийдэл, процессуудыг хэрэгжүүлэх хэрэгтэй.

Вэб програмуудад зориулсан галт хана (WAF)

WAF (вэб програмын галт хана) нь программыг аюулгүй байдлын аюулаас хамгаалдаг техник хангамж, програм хангамжийн шийдэл юм. Эдгээр шийдлүүд нь халдлагын оролдлогыг илрүүлэх, хаах зорилгоор ирж буй урсгалыг шалгах, кодыг ариутгах аливаа алдааг нөхөх зорилготой юм.

WAF байршуулалт нь өгөгдлийг хулгайлах, өөрчлөхөөс хамгаалах замаар PCI DSS баталгаажуулалтын чухал шалгуурыг авч үздэг. Мэдээллийн санд хадгалагдсан кредит болон дебит карт эзэмшигчийн бүх мэдээлэл нь Шаардлагын 6.6-д заасны дагуу хамгаалагдсан байх ёстой.

Энэ нь сүлжээний захад өөрийн DMZ-ийн өмнө байрладаг тул WAF байгуулах нь ихэвчлэн програмд ​​ямар нэгэн өөрчлөлт оруулах шаардлагагүй байдаг. Дараа нь энэ нь ирж буй бүх урсгалын гарц болж, аюултай хүсэлтийг програмтай харьцахаас өмнө шүүдэг.

Ямар траффик програмд ​​хандах боломжтой, аль нь устгагдах ёстойг үнэлэхийн тулд WAF нь төрөл бүрийн эвристикийг ашигладаг. Тогтмол шинэчлэгддэг гарын үсгийн сангийн ачаар тэд хорлонтой жүжигчид болон мэдэгдэж буй халдлагын векторуудыг хурдан илрүүлж чадна.

Бараг бүх WAF-уудыг хувийн хэрэглээний тохиолдол, аюулгүй байдлын дүрэм журамд тохируулан, шинээр гарч ирж буй (тэг өдөр гэж нэрлэдэг) аюул заналхийлэлтэй тэмцэх боломжтой. Эцэст нь, ирж буй зочдын талаарх нэмэлт ойлголтыг олж авахын тулд орчин үеийн ихэнх шийдэл нь нэр хүнд, зан үйлийн өгөгдлийг ашигладаг.

Аюулгүй байдлын периметрийг бий болгохын тулд WAF-ийг ихэвчлэн хамгаалалтын нэмэлт шийдлүүдтэй хослуулдаг. Эдгээрт үйлчилгээнээс татгалзах үйлчилгээ (DDoS)-аас урьдчилан сэргийлэх үйлчилгээ багтаж болох бөгөөд энэ нь их хэмжээний халдлагаас урьдчилан сэргийлэхэд шаардлагатай нэмэлт өргөтгөх боломжийг олгодог.

Вэб програмын аюулгүй байдлын хяналтын хуудас
WAF-аас гадна вэб програмуудыг хамгаалах олон янзын арга байдаг. Аливаа вэб програмын аюулгүй байдлын хяналтын жагсаалтад дараах журам багтсан байх ёстой.

• Мэдээлэл цуглуулах — Аппликешн дээр гараараа очиж, нэвтрэх цэг болон үйлчлүүлэгчийн кодыг хайж олоорой. Гуравдагч этгээдийн байршуулсан контентыг ангилах.
• Зөвшөөрөл - Аппликешныг туршихдаа зам хөндлөн гарах, босоо болон хэвтээ хандалтын хяналтын асуудал, дутуу зөвшөөрөл, найдвартай биш, шууд объектын лавлагааг хайх.
• Бүх өгөгдөл дамжуулалтыг криптографийн тусламжтайгаар хамгаална. Ямар нэгэн нууц мэдээллийг шифрлэсэн үү? Хөөрөгдөөгүй алгоритмуудыг та ашиглаж байсан уу? Санамсаргүй байдлын алдаа байна уу?
• Үйлчилгээнээс татгалзах — Автоматжуулалтын эсрэг, бүртгэл түгжигдэх, HTTP протоколын DoS болон SQL орлуулагч DoS-ийг турших, үйлчилгээ үзүүлэхээс татгалзах халдлагын эсрэг програмын уян хатан чанарыг сайжруулах. Үүнд өндөр хэмжээний DoS болон DDoS халдлагаас хамгаалах хамгаалалт хамаарахгүй бөгөөд үүнийг эсэргүүцэхийн тулд шүүлтүүрийн технологи, өргөтгөх боломжтой нөөцийг ашиглах шаардлагатай.

Дэлгэрэнгүй мэдээллийг OWASP вэб програмын аюулгүй байдлын тестийн хуудаснаас (энэ нь аюулгүй байдалтай холбоотой бусад сэдвүүдэд зориулсан маш сайн эх сурвалж юм) шалгаж болно.

DDoS хамгаалалт

DDoS халдлага буюу түгээсэн үйлчилгээнээс татгалзах халдлага нь вэб програмыг тасалдуулах ердийн арга юм. DDoS-ийн халдлагыг багасгах хэд хэдэн арга байдаг бөгөөд үүнд Агуулга Хүргэлтийн Сүлжээ (CDN) дээрх эзэлхүүнтэй халдлагын урсгалыг устгах, үйлчилгээний тасалдал үүсгэхгүйгээр жинхэнэ хүсэлтийг зөв чиглүүлэхийн тулд гадаад сүлжээг ашиглах зэрэг олон арга байдаг.

DNSSEC (Домэйн нэрийн системийн аюулгүй байдлын өргөтгөл) хамгаалалт

Домэйн нэрийн систем буюу DNS нь интернетийн утасны дэвтэр бөгөөд вэб хөтөч гэх мэт интернетийн хэрэгсэл холбогдох серверийг хэрхэн олдгийг тусгадаг. DNS кэшийн хордлого, зам дээрх халдлага болон DNS хайлтын амьдралын мөчлөгт саад учруулах бусад арга хэрэгслийг муу хүмүүс DNS хүсэлтийн процессыг хулгайлахын тулд ашиглах болно. Хэрэв DNS нь интернетийн утасны дэвтэр бол DNSSEC нь дуудагчийн таних тэмдэг юм. DNS хайлтын хүсэлтийг DNSSEC технологийг ашиглан хамгаалах боломжтой.