EITC/IS/WASF Web Applications Security Fundamentals

โครงการ Open Web Application Security (OWASP) นำเสนอทรัพยากรที่ทั้งฟรีและเปิด มูลนิธิ OWASP ที่ไม่แสวงหาผลกำไรมีหน้าที่รับผิดชอบ OWASP Top 2017 ประจำปี 10 เป็นผลจากการศึกษาในปัจจุบันโดยอิงจากข้อมูลที่ครอบคลุมซึ่งรวบรวมจากองค์กรพันธมิตรกว่า 40 แห่ง ตรวจพบช่องโหว่ประมาณ 2.3 ล้านรายการจากแอปพลิเคชันมากกว่า 50,000 รายการที่ใช้ข้อมูลนี้ ข้อกังวลด้านความปลอดภัยของแอปพลิเคชันออนไลน์ที่สำคัญที่สุด 10 อันดับแรก โดยอ้างอิงจาก OWASP Top 2017 – XNUMX ได้แก่:

• การฉีด
• ปัญหาการตรวจสอบสิทธิ์
• เปิดเผยข้อมูลที่ละเอียดอ่อน XML เอนทิตีภายนอก (XXE)
• การควบคุมการเข้าถึงที่ไม่ทำงาน
• การกำหนดค่าความปลอดภัยผิดพลาด
• สคริปต์ไซต์ต่อไซต์ (XSS)
• การดีซีเรียลไลซ์เซชั่นที่ไม่ปลอดภัย
• การใช้ส่วนประกอบที่ทราบจุดบกพร่อง
• การบันทึกและการตรวจสอบไม่เพียงพอ

ดังนั้น แนวปฏิบัติในการปกป้องเว็บไซต์และบริการออนไลน์จากภัยคุกคามด้านความปลอดภัยต่างๆ ที่หาประโยชน์จากจุดอ่อนในโค้ดของแอปพลิเคชันจึงเรียกว่าการรักษาความปลอดภัยเว็บแอปพลิเคชัน ระบบจัดการเนื้อหา (เช่น WordPress) เครื่องมือดูแลฐานข้อมูล (เช่น phpMyAdmin) และแอป SaaS ล้วนเป็นเป้าหมายทั่วไปสำหรับการโจมตีแอปพลิเคชันออนไลน์

เว็บแอปพลิเคชันถือเป็นเป้าหมายที่มีลำดับความสำคัญสูงโดยผู้กระทำความผิดเนื่องจาก:

• เนื่องจากความสลับซับซ้อนของซอร์สโค้ด ช่องโหว่ที่ไม่ต้องคอยดูแลและการแก้ไขโค้ดที่เป็นอันตรายจึงมีแนวโน้มสูง
• รางวัลมูลค่าสูง เช่น ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่ได้รับจากการปลอมแปลงซอร์สโค้ดที่มีประสิทธิภาพ
• ง่ายต่อการดำเนินการ เนื่องจากการโจมตีส่วนใหญ่สามารถทำได้โดยอัตโนมัติและปรับใช้โดยไม่เลือกปฏิบัติกับเป้าหมายนับพัน สิบ หรือแม้แต่หลายแสนในคราวเดียว
• องค์กรที่ไม่สามารถปกป้องเว็บแอปพลิเคชันของตนมีความเสี่ยงที่จะถูกโจมตี ซึ่งอาจนำไปสู่การขโมยข้อมูล ความสัมพันธ์กับลูกค้าที่ตึงเครียด ใบอนุญาตที่ถูกยกเลิก และการดำเนินการทางกฎหมาย และอื่นๆ

ช่องโหว่ในเว็บไซต์

ข้อบกพร่องในการฆ่าเชื้ออินพุต/เอาต์พุตเป็นเรื่องปกติในเว็บแอปพลิเคชัน และมักใช้เพื่อเปลี่ยนซอร์สโค้ดหรือเข้าถึงโดยไม่ได้รับอนุญาต

ข้อบกพร่องเหล่านี้ทำให้สามารถใช้ประโยชน์จากเวกเตอร์การโจมตีได้หลากหลาย ได้แก่:

• การฉีด SQL – เมื่อผู้กระทำผิดจัดการฐานข้อมูลส่วนหลังด้วยรหัส SQL ที่เป็นอันตราย ข้อมูลจะถูกเปิดเผย การเรียกดูรายการที่ผิดกฎหมาย การลบตาราง และการเข้าถึงของผู้ดูแลระบบโดยไม่ได้รับอนุญาตเป็นผลที่ตามมา
• XSS (Cross-site Scripting) เป็นการโจมตีแบบฉีดที่กำหนดเป้าหมายผู้ใช้เพื่อเข้าถึงบัญชี เปิดใช้งานโทรจัน หรือเปลี่ยนเนื้อหาของหน้า เมื่อมีการแทรกโค้ดที่เป็นอันตรายลงในแอปพลิเคชันโดยตรง สิ่งนี้เรียกว่า XSS ที่เก็บไว้ เมื่อสคริปต์ที่เป็นอันตรายถูกมิเรอร์จากแอปพลิเคชันไปยังเบราว์เซอร์ของผู้ใช้ สิ่งนี้เรียกว่า XSS สะท้อน
• การรวมไฟล์ระยะไกล – รูปแบบการโจมตีนี้ช่วยให้แฮ็กเกอร์สามารถแทรกไฟล์ลงในเว็บแอปพลิเคชันเซิร์ฟเวอร์จากตำแหน่งระยะไกล การดำเนินการนี้อาจนำไปสู่สคริปต์หรือโค้ดที่เป็นอันตรายซึ่งถูกเรียกใช้งานภายในแอป รวมถึงการขโมยหรือแก้ไขข้อมูล
• Cross-site Request Forgery (CSRF) – ประเภทของการโจมตีที่อาจส่งผลให้มีการโอนเงินสดโดยไม่ได้ตั้งใจ การเปลี่ยนรหัสผ่าน หรือการขโมยข้อมูล เกิดขึ้นเมื่อโปรแกรมเว็บที่เป็นอันตรายสั่งให้เบราว์เซอร์ของผู้ใช้ดำเนินการกระทำที่ไม่พึงประสงค์บนเว็บไซต์ที่พวกเขาเข้าสู่ระบบ

ตามทฤษฎีแล้ว การล้างข้อมูลเข้า/ส่งออกที่มีประสิทธิผลอาจขจัดจุดอ่อนทั้งหมด ทำให้แอปพลิเคชันไม่สามารถผ่านการดัดแปลงโดยไม่ได้รับอนุญาต

อย่างไรก็ตาม เนื่องจากโปรแกรมส่วนใหญ่อยู่ในสถานะการพัฒนาที่ไม่สิ้นสุด การฆ่าเชื้ออย่างครอบคลุมจึงไม่ค่อยเป็นทางเลือกที่เหมาะสม นอกจากนี้ แอพมักจะถูกรวมเข้าด้วยกัน ส่งผลให้สภาพแวดล้อมการเข้ารหัสมีความซับซ้อนมากขึ้น

เพื่อหลีกเลี่ยงอันตรายดังกล่าว ควรใช้โซลูชันและกระบวนการรักษาความปลอดภัยของเว็บแอปพลิเคชัน เช่น การรับรอง PCI Data Security Standard (PCI DSS)

ไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (WAF)

WAF (ไฟร์วอลล์แอปพลิเคชันเว็บ) เป็นโซลูชันฮาร์ดแวร์และซอฟต์แวร์ที่ปกป้องแอปพลิเคชันจากภัยคุกคามด้านความปลอดภัย โซลูชันเหล่านี้ออกแบบมาเพื่อตรวจสอบทราฟฟิกที่เข้ามาเพื่อตรวจจับและบล็อกความพยายามในการโจมตี โดยจะชดเชยข้อบกพร่องในการฆ่าเชื้อโค้ดใดๆ

การปรับใช้ WAF จัดการกับเกณฑ์ที่สำคัญสำหรับการรับรอง PCI DSS โดยปกป้องข้อมูลจากการโจรกรรมและการแก้ไข ข้อมูลผู้ถือบัตรเครดิตและบัตรเดบิตทั้งหมดที่เก็บรักษาไว้ในฐานข้อมูลจะต้องได้รับการปกป้องตามข้อกำหนด 6.6

เนื่องจากถูกนำหน้า DMZ ที่ขอบของเครือข่าย การสร้าง WAF จึงไม่จำเป็นต้องมีการเปลี่ยนแปลงใดๆ ในแอปพลิเคชัน จากนั้นทำหน้าที่เป็นเกตเวย์สำหรับการรับส่งข้อมูลขาเข้าทั้งหมด โดยกรองคำขอที่เป็นอันตรายออกก่อนที่จะโต้ตอบกับแอปพลิเคชันได้

เพื่อประเมินว่าทราฟฟิกใดบ้างที่ได้รับอนุญาตให้เข้าถึงแอปพลิเคชันและรายการใดที่ต้องกำจัด WAF จะใช้ฮิวริสติกที่หลากหลาย พวกเขาสามารถระบุตัวกระทำที่เป็นอันตรายและเวกเตอร์การโจมตีที่รู้จักได้อย่างรวดเร็วด้วยแหล่งรวมลายเซ็นที่อัปเดตเป็นประจำ

WAF เกือบทั้งหมดอาจได้รับการปรับให้เหมาะกับกรณีการใช้งานส่วนบุคคลและระเบียบข้อบังคับด้านความปลอดภัย รวมถึงการต่อสู้กับภัยคุกคามที่เกิดขึ้นใหม่ (หรือที่เรียกว่าซีโร่เดย์) สุดท้าย เพื่อให้ได้ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับผู้เข้าชมที่เข้ามา โซลูชันที่ทันสมัยส่วนใหญ่ใช้ข้อมูลชื่อเสียงและพฤติกรรม

เพื่อสร้างขอบเขตการรักษาความปลอดภัย โดยปกติแล้ว WAF จะถูกรวมเข้ากับโซลูชันการรักษาความปลอดภัยเพิ่มเติม สิ่งเหล่านี้อาจรวมถึงบริการป้องกันการปฏิเสธการให้บริการ (DDoS) แบบกระจาย ซึ่งให้ความสามารถในการปรับขนาดพิเศษที่จำเป็นในการป้องกันการโจมตีปริมาณมาก

รายการตรวจสอบความปลอดภัยของเว็บแอปพลิเคชัน
มีหลายวิธีในการปกป้องเว็บแอปนอกเหนือจาก WAF รายการตรวจสอบความปลอดภัยของเว็บแอปพลิเคชันควรมีขั้นตอนต่อไปนี้:

• การรวบรวมข้อมูล — ตรวจสอบแอปพลิเคชันด้วยมือ โดยมองหาจุดเข้าใช้งานและรหัสฝั่งไคลเอ็นต์ จำแนกเนื้อหาที่โฮสต์โดยบุคคลที่สาม
• การอนุญาต — มองหาการข้ามเส้นทาง ปัญหาการควบคุมการเข้าถึงในแนวตั้งและแนวนอน ขาดการอนุญาต และการอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัยเมื่อทดสอบแอปพลิเคชัน
• รักษาความปลอดภัยการส่งข้อมูลทั้งหมดด้วยการเข้ารหัส มีการเข้ารหัสข้อมูลที่ละเอียดอ่อนหรือไม่? คุณใช้อัลกอริธึมที่ไม่เพียงพอหรือไม่? มีข้อผิดพลาดในการสุ่มหรือไม่?
• การปฏิเสธบริการ — ทดสอบการป้องกันระบบอัตโนมัติ การล็อกบัญชี DoS โปรโตคอล HTTP และ DoS ตัวแทนของ SQL เพื่อปรับปรุงความยืดหยุ่นของแอปพลิเคชันจากการปฏิเสธการโจมตีบริการ ไม่รวมการรักษาความปลอดภัยจากการโจมตี DoS และ DDoS ที่มีปริมาณมาก ซึ่งต้องใช้การผสมผสานระหว่างเทคโนโลยีการกรองและทรัพยากรที่ปรับขนาดได้เพื่อต้านทาน

สำหรับรายละเอียดเพิ่มเติม คุณสามารถตรวจสอบ OWASP Web Application Security Testing Cheat Sheet (เป็นแหล่งข้อมูลที่ยอดเยี่ยมสำหรับหัวข้ออื่นๆ ที่เกี่ยวข้องกับความปลอดภัย)

ป้องกัน DDoS

การโจมตี DDoS หรือการโจมตีแบบปฏิเสธการให้บริการแบบกระจายเป็นวิธีการทั่วไปในการขัดจังหวะเว็บแอปพลิเคชัน มีหลายวิธีในการบรรเทาการโจมตี DDoS รวมถึงการละทิ้งปริมาณการโจมตีเชิงปริมาตรที่ Content Delivery Networks (CDNs) และใช้เครือข่ายภายนอกเพื่อกำหนดเส้นทางคำขอของแท้อย่างเหมาะสมโดยไม่ทำให้บริการหยุดชะงัก

การป้องกัน DNSSEC (ส่วนขยายความปลอดภัยของระบบชื่อโดเมน)

ระบบชื่อโดเมนหรือ DNS เป็นสมุดโทรศัพท์ของอินเทอร์เน็ต และสะท้อนให้เห็นว่าเครื่องมืออินเทอร์เน็ต เช่น เว็บเบราว์เซอร์ ค้นหาเซิร์ฟเวอร์ที่เกี่ยวข้องได้อย่างไร การทำพิษของแคช DNS การโจมตีบนเส้นทาง และวิธีการอื่นๆ ในการรบกวนวงจรการค้นหา DNS จะถูกใช้โดยผู้ไม่ประสงค์ดีเพื่อจี้กระบวนการขอ DNS นี้ หาก DNS เป็นสมุดโทรศัพท์ของอินเทอร์เน็ต DNSSEC จะเป็น ID ผู้โทรที่ไม่สามารถปลอมแปลงได้ คำขอค้นหา DNS สามารถป้องกันได้โดยใช้เทคโนโลยี DNSSEC