د EITC/IS/WASF ویب غوښتنلیکونو امنیت اساسات د نړیوال وایډ ویب خدماتو امنیت نظریاتي او عملي اړخونو په اړه د اروپا IT تصدیق کولو برنامه ده چې د لومړني ویب پروتوکولونو امنیت څخه نیولې د محرمیت ، ګواښونو او بریدونو له لارې د ویب ترافیک شبکې مخابراتو مختلف پرتونو ، ویب. د سرورونو امنیت، په لوړو پرتونو کې امنیت، په شمول د ویب براوزرونو او ویب غوښتنلیکونو، او همدارنګه تصدیق، سندونه او فزینګ.
د EITC/IS/WASF ویب غوښتنلیکونو امنیت اساساتو نصاب د HTML او JavaScript ویب امنیت اړخونو پیژندنه پوښي، DNS، HTTP، کوکیز، ناستې، کوکیز او سیشن بریدونه، د ورته اصل پالیسي، د کراس سایټ غوښتنه جعل، ورته استثناوې د اصل پالیسي، د کراس سایټ سکریپټینګ (XSS)، د کراس سایټ سکریپټینګ دفاع، د ویب ګوتو چاپ، په ویب کې محرمیت، DoS، فشینګ او اړخ چینلونه، د خدماتو انکار، فشینګ او اړخ چینلونه، د انجیکشن بریدونه، د کوډ انجیکشن، ټرانسپورټ د پرت امنیت (TLS) او بریدونه، په ریښتینې نړۍ کې HTTPS، تصدیق، WebAuthn، د ویب امنیت اداره کول، په Node.js پروژه کې امنیتي اندیښنې، د سرور امنیت، د خوندي کوډ کولو کړنې، د ځایی HTTP سرور امنیت، د DNS بیابندولو بریدونه، د براوزر بریدونه، براوزر جوړښت، او همدارنګه د خوندي براوزر کوډ لیکل، په لاندې جوړښت کې، د دې EITC تصدیق لپاره د یوې مرجع په توګه د جامع ویډیو ډیډاکټیک مینځپانګې شاملول.
د ویب غوښتنلیک امنیت د معلوماتو امنیت یوه فرعي سیټ ده چې په ویب پاڼه، ویب غوښتنلیک، او ویب خدماتو امنیت تمرکز کوي. د ویب غوښتنلیک امنیت، په خورا اساسي کچه، د غوښتنلیک د امنیت اصولو پراساس دی، مګر دا په ځانګړې توګه د انټرنیټ او ویب پلیټ فارمونو لپاره پلي کیږي. د ویب غوښتنلیک امنیت ټیکنالوژي، لکه د ویب غوښتنلیک فایر وال، د HTTP ټرافيک سره کار کولو لپاره ځانګړي وسیلې دي.
د خلاص ویب غوښتنلیک امنیت پروژه (OWASP) سرچینې وړاندې کوي چې دواړه وړیا او خلاص دي. یو غیر انتفاعي OWASP بنسټ د دې مسولیت په غاړه لري. د 2017 OWASP Top 10 د اوسنۍ مطالعې پایله ده چې د پراخو معلوماتو پراساس د 40 شریک سازمانونو څخه راټول شوي. د دې ډیټا په کارولو سره نږدې 2.3 ملیون زیان منونکي د 50,000 څخه زیاتو غوښتنلیکونو کې کشف شوي. د OWASP Top 10 - 2017 په وینا د آنلاین اپلیکیشن غوره لس خورا مهم امنیتي اندیښنې دي:
- انجیل
- د تصدیق مسلې
- افشا شوي حساس معلومات د ایکس ایم ایل بهرنۍ ادارې (XXE)
- د لاسرسي کنټرول چې کار نه کوي
- د امنیت ناسم ترتیب
- د سایټ څخه سایټ سکریپټینګ (XSS)
- بې ځایه کول چې خوندي ندي
- د هغو برخو کارول چې پیژندل شوي نیمګړتیاوې لري
- ننوتل او څارنه کافي نه ده.
له همدې امله د مختلف امنیتي ګواښونو په وړاندې د ویب پاڼو او آنلاین خدماتو د دفاع تمرین چې د غوښتنلیک په کوډ کې ضعفونه کاروي د ویب غوښتنلیک امنیت په نوم پیژندل کیږي. د مینځپانګې مدیریت سیسټمونه (د بیلګې په توګه ، ورڈپریس) ، د ډیټابیس ادارې وسیلې (د بیلګې په توګه ، phpMyAdmin) ، او SaaS ایپس د آنلاین غوښتنلیک بریدونو لپاره ټول عام هدفونه دي.
ویب غوښتنلیکونه د مرتکبینو لخوا د لوړ لومړیتوب هدفونه ګڼل کیږي ځکه چې:
- د دوی د سرچینې کوډ د پیچلتیا له امله، نه لیدل شوي زیانمننې او ناوړه کوډ تعدیل ډیر احتمال لري.
- د لوړ ارزښت انعامونه، لکه حساس شخصي معلومات چې د مؤثره سرچینې کوډ لاسوهنې له لارې ترلاسه شوي.
- د اجرا کولو اسانتیا، ځکه چې ډیری بریدونه په اسانۍ سره اتومات کیدی شي او په یو وخت کې د زرګونو، لسګونو، یا حتی په سلګونو زرو هدفونو په وړاندې بې توپیره ځای پرځای شي.
- هغه سازمانونه چې د خپلو ویب غوښتنلیکونو په ساتنه کې پاتې راغلي د برید لپاره زیان منونکي دي. دا کولی شي د نورو شیانو په مینځ کې د معلوماتو غلا ، د پیرودونکو اړیکې فشار ، جوازونه لغوه ، او قانوني عمل لامل شي.
په ویب پاڼو کې زیانمننې
د ان پټ/آؤټ پټ پاکولو نیمګړتیاوې په ویب غوښتنلیکونو کې عام دي، او دوی په مکرر ډول د سرچینې کوډ بدلولو یا غیر مجاز لاسرسي ترلاسه کولو لپاره کارول کیږي.
دا نیمګړتیاوې د مختلف برید ویکتورونو استخراج ته اجازه ورکوي، په شمول:
- د ایس کیو ایل انجیکشن - کله چې یو مرتکب د ناوړه SQL کوډ سره د بیک انډ ډیټابیس لاسوهنه کوي ، معلومات څرګندیږي. د غیرقانوني لیست لټون کول، د میز ړنګول، او غیر مجاز مدیر لاسرسی د پایلو څخه دي.
- XSS (د کراس سایټ سکریپټینګ) یو انجیکشن برید دی چې کاروونکي په نښه کوي ترڅو حسابونو ته لاسرسی ومومي، ټروجن فعال کړي، یا د پاڼې منځپانګې بدل کړي. کله چې ناوړه کوډ په مستقیم ډول په غوښتنلیک کې داخل شي، دا د ذخیره شوي XSS په نوم پیژندل کیږي. کله چې ناوړه سکریپټ د یو کارونکي براوزر ته د غوښتنلیک څخه منعکس کیږي، دا د منعکس شوي XSS په نوم پیژندل کیږي.
- د لرې فایل شاملول - د برید دا ډول هیکر ته اجازه ورکوي چې د لرې ځای څخه د ویب غوښتنلیک سرور ته فایل انجیکشن کړي. دا کولی شي په ایپ کې د خطرناک سکریپټونو یا کوډ اجرا کیدو لامل شي ، په بیله بیا د معلوماتو غلا یا ترمیم.
- د کراس سایټ غوښتنه جعل (CSRF) - یو ډول برید چې د پیسو غیر ارادي لیږد ، د پټنوم بدلون یا د معلوماتو غلا پایله کیدی شي. دا هغه وخت پیښیږي کله چې یو ناوړه ویب برنامه د کارونکي براوزر ته لارښوونه کوي چې په ویب پا onه کې یو ناغوښتل شوي عمل ترسره کړي چیرې چې دوی ننوتل شوي وي.
په تیوري کې، اغیزمن ان پټ/آؤټ پټ پاکول ممکن ټول زیان منونکي له منځه یوسي، یو غوښتنلیک د غیرقانوني تعدیل لپاره ناقانونه وړاندې کوي.
په هرصورت، ځکه چې ډیری پروګرامونه د تل پاتې پراختیا په حالت کې دي، هراړخیز پاکول په ندرت سره یو ګټور انتخاب دی. سربیره پردې، ایپسونه عموما د یو بل سره مدغم کیږي، د کوډ شوي چاپیریال په پایله کې چې په چټکۍ سره پیچلي کیږي.
د دې ډول خطرونو مخنیوي لپاره ، د ویب غوښتنلیک امنیت حلونه او پروسې ، لکه د PCI ډیټا امنیت سټنډرډ (PCI DSS) تصدیق باید پلي شي.
د ویب غوښتنلیکونو لپاره فایر وال (WAF)
WAFs (د ویب غوښتنلیک فائر وال) د هارډویر او سافټویر حلونه دي چې غوښتنلیکونه د امنیتي ګواښونو څخه ساتي. دا حلونه د دې لپاره ډیزاین شوي چې راتلونکی ترافیک معاینه کړي ترڅو د برید هڅې کشف او بندې کړي، د کوډ د پاکولو نیمګړتیاو ته تاوان ورکوي.
د WAF ګمارل د PCI DSS تصدیق لپاره یو مهم معیار په ګوته کوي د غلا او ترمیم په وړاندې د معلوماتو ساتنه. د کریډیټ او ډیبټ کارت لرونکي ټول معلومات چې په ډیټابیس کې ساتل شوي باید د 6.6 اړتیا سره سم خوندي شي.
ځکه چې دا د شبکې په څنډه کې د دې DMZ څخه مخکې ایښودل شوی ، د WAF رامینځته کول معمولا په غوښتنلیک کې کوم بدلون ته اړتیا نلري. دا بیا د ټولو راتلونکو ټرافیک لپاره د دروازې په توګه کار کوي، خطرناک غوښتنې فلټر کوي مخکې له دې چې دوی د غوښتنلیک سره اړیکه ونیسي.
د دې ارزولو لپاره چې کوم ټرافیک غوښتنلیک ته د لاسرسي اجازه لري او کوم چې باید له مینځه یوړل شي، WAFs بیلابیل هوریستیک کاروي. دوی کولی شي په منظم ډول تازه شوي لاسلیک حوض څخه مننه په چټکۍ سره ناوړه لوبغاړي او پیژندل شوي برید ویکټرونه وپیژني.
نږدې ټول WAFs ممکن د انفرادي کارونې قضیو او امنیت مقرراتو سره مطابقت ولري ، او همدارنګه د راپورته کیدونکي ګواښونو سره مبارزه (د صفر ورځې په نوم هم پیژندل کیږي). په نهایت کې ، راتلونکو لیدونکو ته د اضافي لیدونو ترلاسه کولو لپاره ، ډیری عصري حلونه د شهرت او چلند ډیټا کاروي.
د امنیت محیط جوړولو لپاره، WAFs معمولا د اضافي امنیتي حلونو سره یوځای کیږي. پدې کې د خدمت څخه انکار شوي (DDoS) د مخنیوي خدمتونه شامل دي، کوم چې د لوړ حجم بریدونو مخنیوي لپاره اضافي پیمانه ورکوي.
د ویب غوښتنلیک امنیت لپاره چک لیست
د WAFs سربیره د ویب ایپسونو د ساتنې لپاره مختلفې لارې شتون لري. د هر ویب غوښتنلیک امنیت چک لیست کې باید لاندې پروسیجرونه شامل وي:
- د معلوماتو راټولول - د لاس په واسطه غوښتنلیک ته لاړشئ ، د ننوتلو نقطو او د پیرودونکي اړخ کوډونو په لټه کې شئ. هغه منځپانګې طبقه بندي کړئ چې د دریمې ډلې لخوا کوربه شوي وي.
- اجازه ورکول - د لارې تیریدو، عمودی او افقی لاسرسي کنټرول مسلو، د اختیار ورکیدل، او ناامنه، مستقیم اعتراض حواله وګورئ کله چې غوښتنلیک ازموینه وکړئ.
- د کریپټوګرافي سره د ټولو معلوماتو لیږد خوندي کړئ. ایا کوم حساس معلومات کوډ شوي دي؟ ایا تاسو کوم الګوریتمونه ګمارلي چې د نابودۍ وړ ندي؟ ایا کوم تصادفي تېروتنې شتون لري؟
- د خدمت څخه انکار - د اتومات ضد ضد ازموینه، د حساب بندولو، HTTP پروتوکول DoS، او SQL وائلډ کارډ DoS د خدماتو بریدونو څخه انکار کولو په وړاندې د غوښتنلیک انعطاف ښه کولو لپاره. پدې کې د لوړ حجم DoS او DDoS بریدونو پروړاندې امنیت شامل ندي ، کوم چې د مقاومت لپاره د فلټر کولو ټیکنالوژیو او د توزیع وړ سرچینو ترکیب ته اړتیا لري.
د نورو جزیاتو لپاره، یو څوک کولی شي د OWASP ویب غوښتنلیک امنیت ازموینې چک شیټ وګوري (دا د نورو امنیت پورې اړوند موضوعاتو لپاره هم عالي سرچینه ده).
د DDoS خوندیتوب
د DDoS بریدونه، یا توزیع شوي د خدماتو څخه انکار بریدونه، د ویب غوښتنلیک د مداخلې یوه ځانګړې لار ده. د DDoS بریدونو کمولو لپاره یو شمیر لارې شتون لري، پشمول د مینځپانګې تحویلي شبکې (CDNs) کې د حجمیتریک برید ترافیک پریښودل او د خدماتو مداخلې رامینځته کولو پرته د ریښتیني غوښتنو په مناسبه توګه د بهرنۍ شبکې ګمارل.
DNSSEC (د ډومین نوم سیسټم امنیت توسیع) محافظت
د ډومین نوم سیسټم، یا DNS، د انټرنیټ تلیفون کتاب دی، او دا منعکس کوي چې څنګه د انټرنیټ وسیله، لکه د ویب براوزر، اړوند سرور پیدا کوي. د DNS کیچ زهر کول ، په لاره کې بریدونه ، او د DNS لټون کولو ژوند دورې کې د مداخلې نورې وسیلې به د خراب لوبغاړو لخوا د DNS غوښتنې پروسې د تښتولو لپاره وکارول شي. که DNS د انټرنیټ تلیفون کتاب وي، DNSSEC د تلیفون کولو وړ ID نه دی. د DNS لټون غوښتنه د DNSSEC ټیکنالوژۍ په کارولو سره خوندي کیدی شي.
د تصدیق کولو نصاب سره په تفصیل سره د ځان پیژندلو لپاره تاسو کولی شئ لاندې جدول پراخه او تحلیل کړئ.
د EITC/IS/WASF ویب غوښتنلیکونو د امنیت اساساتو تصدیق نصاب په ویډیو فارم کې د خلاص لاسرسي درسي موادو ته اشاره کوي. د زده کړې پروسه په مرحله وار جوړښت ویشل شوې ده (پروګرامونه -> درسونه -> موضوعات) چې د نصاب اړوند برخې پوښي. د ډومین متخصصینو سره لامحدود مشوره هم چمتو کیږي.
د تصدیق پروسې په اړه د جزیاتو لپاره چیک کړئ څنګه کار کوي.
د EITC/IS/WASF ویب غوښتنلیکونو امنیت اساساتو برنامې لپاره بشپړ آفلاین ځان زده کړې چمتو کونکي توکي په PDF فایل کې ډاونلوډ کړئ