EITC/IS/WASF Bingehên Ewlekariya Serlêdanên Webê bernameya Sertîfîkaya IT a Ewropî ye ku li ser aliyên teorî û pratîkî yên ewlehiya karûbarên Web Berfirehiya Cîhanê ye ku ji ewlehiya protokolên bingehîn ên tevneyê, bi nepenî, tehdîd û êrişên li ser qatên cihêreng ên ragihandina tora seyrûsefera tevneyê, webê ye. ewlekariya pêşkêşkeran, ewlekariya di qatên bilind de, tevî gerokên webê û sepanên malperê, û her weha verastkirin, sertîfîka û fîzing.
Bernameya perwerdehiyê ya Bingehên Ewlekariya Serlêdanên Malperê yên EITC/IS/WASF danasîna aliyên ewlehiya webê ya HTML û JavaScript, DNS, HTTP, çerez, danişîn, kûçik û êrişên danişînê, Polîtîkaya Heman Origin, Daxwaza Xaçerê ya Malperê, îstîsnayên ji Heman vedihewîne. Polîtîkaya Orjînal, Nivîsandina Xaç-Malperê (XSS), Parastina Nivîsandina Xaça-Malperê, şopandina tiliyên malperê, nepenîtiya li ser tevneyê, DoS, phishing û kanalên alî, Înkarkirina-karûbar, phishing û kanalên alî, êrîşên derzîlêdanê, derzîlêdana kodê, veguhastin ewlekariya qatê (TLS) û êrîş, HTTPS di cîhana rast de, erêkirin, WebAuthn, birêvebirina ewlehiya malperê, fikarên ewlehiyê yên di projeya Node.js de, ewlehiya serverê, pratîkên kodkirina ewledar, ewlehiya servera HTTP ya herêmî, êrîşên ji nû ve girêdana DNS, êrişên gerokê, gerok mîmarî, û her weha nivîsandina koda geroka ewledar, di nav avahiya jêrîn de, naveroka dîdaktîk a vîdyoyê ya berfireh wekî referans ji bo vê Sertîfîkaya EITC-ê vedihewîne.
Ewlekariya serîlêdana malperê binkeyek ewlehiya agahdariyê ye ku li ser malper, serîlêdana malperê, û ewlehiya karûbarê malperê hûr dibe. Ewlekariya serîlêdana malperê, di asta xwe ya herî bingehîn de, li ser prensîbên ewlehiya serîlêdanê ye, lê ew wan bi taybetî li ser înternetê û platformên malperê bicîh tîne. Teknolojiyên ewlehiyê yên serîlêdana malperê, mîna dîwarên serîlêdana Webê, amûrên pispor in ku bi seyrûsefera HTTP re dixebitin.
Projeya Ewlekariya Serlêdana Vekirî ya Webê (OWASP) çavkaniyên ku hem belaş û hem vekirî ne pêşkêşî dike. Weqfa OWASP ya ne-qezenc berpirsiyarê wê ye. 2017 OWASP Top 10 encama lêkolîna heyî ye ku li ser bingeha daneyên berfireh ên ku ji zêdetirî 40 rêxistinên hevkar hatine berhev kirin. Nêzîkî 2.3 mîlyon qelsî li zêdetirî 50,000 sepanan bi karanîna vê daneyê hatine tespît kirin. Li gorî OWASP Top 10 - 2017, deh fikarên ewlehiya serîlêdana serhêl ên herî krîtîk ev in:
- Derzîkirinî
- Pirsgirêkên Authentication
- Daneyên hesas ên XML yên derve (XXE)
- Kontrola gihîştinê ku nexebite
- Veavakirina çewt a ewlehiyê
- Nivîsandina Malper-Malper (XSS)
- Deserialization ku ne ewle ye
- Bikaranîna pêkhateyên ku kêmasiyên wan naskirî ne
- Têketin û şopandin têrê nake.
Ji ber vê yekê pratîka parastina malper û karûbarên serhêl li dijî xetereyên ewlehiyê yên cihêreng ên ku qelsiyên di koda serîlêdanê de bikar tînin wekî ewlehiya serîlêdana malperê tê zanîn. Pergalên rêveberiya naverokê (mînak, WordPress), amûrên rêveberiya databasê (mînak, phpMyAdmin), û sepanên SaaS hemî ji bo êrîşên serîlêdana serhêl armancên hevpar in.
Serlêdanên malperê ji hêla sûcdaran ve wekî armancên pêşîn têne hesibandin ji ber ku:
- Ji ber tevliheviya koda çavkaniya wan, qelsiyên bêserûber û guheztina koda xirab pirtir in.
- Xelatên bi nirx, wekî agahdariya kesane ya hesas ku bi destwerdana koda çavkaniyê ya bi bandor ve hatî wergirtin.
- Hêsaniya darvekirinê, ji ber ku piraniya êrîşan dikarin bi hêsanî werin otomatîk kirin û bi yekcarî li dijî hezaran, deh, an jî bi sed hezaran hedefan werin bicîh kirin.
- Rêxistinên ku nekarin serîlêdanên xwe yên webê biparêzin ji êrîşê re xeternak in. Ev dikare di nav tiştên din de bibe sedema diziya daneyê, têkiliyên xerîdar ên hişk, lîsansên betalkirî, û kiryarên qanûnî.
Qelsiyên di malperan de
Kêmasiyên paqijkirina ketin/derketinê di serîlêdanên malperê de gelemperî ne, û ew bi gelemperî têne bikar anîn da ku koda çavkaniyê biguhezînin an jî gihîştina nedestûr bistînin.
Van xeletiyan rê dide karanîna cûrbecûr vektorên êrîşê, di nav de:
- SQL Injection - Dema ku sûcdar databasek paşîn bi koda SQL-ya xerab manîpule dike, agahdarî tê eşkere kirin. Lêgerîna lîsteya neqanûnî, jêbirina tabloyê, û gihandina nedestûr a rêveberê di nav van encaman de ne.
- XSS (Cross-site Scripting) êrîşek derzîlêdanê ye ku bikarhêneran dike hedef da ku bigihîjin hesaban, Trojans çalak bikin, an naveroka rûpelê biguhezînin. Dema ku koda xerab rasterast di serîlêdanekê de tê derzî kirin, ev wekî XSS-ya hilanîn tê zanîn. Dema ku skrîpta xerab ji serîlêdanek li ser geroka bikarhênerek tê xuyang kirin, ev wekî XSS-ya xuyangkirî tê zanîn.
- Tevlêbûna Pelê Dûr - Ev forma êrîşê rê dide hackerek ku pelek ji cîhek dûr ve bixe nav serverek serîlêdana malperê. Ev dikare bibe sedema ku nivîsar an kodek xeternak di hundurê sepanê de were darve kirin, û her weha diziya daneyan an guheztin.
- Daxwaza Daxwaza Xaçerê ya Malperê (CSRF) - Cureyek êrîşek ku dikare bibe sedema veguheztina drav, guheztina şîfreyê, an dizîna daneyê. Dema ku bernameyek malperek xerab rêwer dide geroka bikarhênerek ku li ser malperek ku ew têkevî tê de çalakiyek nexwestî pêk bîne.
Di teoriyê de, paqijkirina têketin/derketinê ya bi bandor dibe ku hemî qelsiyan ji holê rabike, serîlêdanek ji guheztina bêdestûr bêpar bike.
Lêbelê, ji ber ku pir bername di rewşek pêşkeftinê ya domdar de ne, paqijkirina berfireh kêm kêm vebijarkek maqûl e. Wekî din, serîlêdan bi gelemperî bi hevûdu re têne yek kirin, di encamê de hawîrdorek kodkirî ku her ku diçe tevlihevtir dibe.
Ji bo ku ji xetereyên weha dûr nekevin, divê çareserî û pêvajoyên ewlehiyê yên serîlêdana malperê, wekî sertîfîkaya Standard Ewlekariya Daneyên PCI (PCI DSS) bêne bicîh kirin.
Firewall ji bo sepanên webê (WAF)
WAF (agirê serîlêdana malperê) çareseriyên hardware û nermalavê ne ku serîlêdanan ji xetereyên ewlehiyê diparêzin. Van çareseriyên hanê têne sêwirandin ku seyrûsefera hatinê teftîş bikin da ku hewildanên êrişê kifş bikin û asteng bikin, berdêlkirina her xeletiyên paqijkirina kodê.
Dabeşkirina WAF pîvanek girîng ji bo pejirandina PCI DSS-ê bi parastina daneyan li dijî dizî û guherandinê vedigire. Pêdivî ye ku hemî daneyên xwediyê qerta krediyê û debîtê ku di databasek de têne parastin, li gorî Pêdiviya 6.6.
Ji ber ku ew li pêşiya DMZ-a xwe li ber deriyê torê tê danîn, damezrandina WAF bi gelemperî hewcedariya guheztina serîlêdanê nake. Dûv re ew wekî dergehek ji bo hemî seyrûsefera hatinî kar dike, daxwazên xeternak fîlter dike berî ku ew bi serîlêdanek re têkilî daynin.
Ji bo ku binirxînin ka kîjan seyrûseferê destûr dide gihîştina serîlêdanê û kîjan pêdivî ye ku were rakirin, WAF cûrbecûr heuristics bikar tînin. Bi saya hewzek îmzeyê ya bi rêkûpêk nûvekirî ew dikarin bi lez aktorên xerab û vektorên êrîşê yên naskirî nas bikin.
Hema hema hemî WAF dikarin li gorî dozên karanîna kesane û rêzikên ewlehiyê, û hem jî li dijî xetereyên derketine (ku wekî roj-zero-rojê jî têne zanîn) bêne çêkirin. Di dawiyê de, ji bo bidestxistina têgihiştinên zêde li ser mêvanên hatinî, piraniya çareseriyên nûjen daneyên navdar û tevgerê bikar tînin.
Ji bo avakirina dorpêçek ewlehiyê, WAF bi gelemperî bi çareseriyên ewlehiyê yên din re têne hev kirin. Vana dikarin karûbarên pêşîlêgirtinê yên redkirina karûbarê (DDoS) yên belavkirî, yên ku pîvandina zêde ya ku ji bo pêşîgirtina li êrişên volta bilind hewce dike dide.
Lîsteya kontrolê ji bo ewlehiya serîlêdana webê
Ji bo parastina sepanên webê ji bilî WAF-an cûrbecûr nêzîkatî hene. Pêdivî ye ku her navnîşek kontrolkirina ewlehiya serîlêdana webê prosedurên jêrîn pêk bîne:
- Berhevkirina daneyan - Bi destan li ser serîlêdanê biçin, li nuqteyên têketinê û kodên alîgirê xerîdar bigerin. Naveroka ku ji hêla partiyek sêyemîn ve hatî mêvandar kirin dabeş bikin.
- Destûr - Dema ceribandina serîlêdanê li gerîdeyên rê, pirsgirêkên kontrolkirina gihîştina vertîkal û horizontî, destûrnameya wenda, û referansên neewle, rasterast bigerin.
- Hemî veguheztinên daneyê bi şîfrekirinê ewle bikin. Agahiyên hesas hatine şîfrekirin? Ma we algorîtmayên ku ne bikêr in bi kar anîne? Ma xeletiyên rasthatî hene?
- Înkarkirina karûbarê - Ji bo dij-otomatê, girtina hesab, protokola HTTP DoS, û SQL-kartê hovane biceribîne da ku berxwedêriya serîlêdanê li hember êrîşên înkarkirina karûbarê baştir bike. Ev ewlehiya li dijî êrişên DoS û DDoS-ê yên qebareya bilind nagire, ku ji bo berxwedanê hewceyê tevliheviyek teknolojiyên fîlterkirin û çavkaniyên berbelav in.
Ji bo hûrguliyên bêtir, meriv dikare Serlêdana Xepêdana Ewlekariya Ewlekariya Serlêdana OWASP ya OWASP kontrol bike (ew jî ji bo mijarên din ên girêdayî ewlehiyê çavkaniyek girîng e).
Parastina DDoS
Êrîşên DDoS, an êrîşên redkirina-karûbarê belavkirî, rêyek tîpîk e ku meriv serîlêdanek malperê qut bike. Ji bo sivikkirina êrîşên DDoS gelek nêzîkatî hene, di nav de avêtina seyrûsefera êrîşa voltîkî ya li Tora Radestkirina Naverokê (CDN) û karanîna torên derveyî da ku bi rêkûpêk daxwazên rastîn rêve bibin bêyî ku bibe sedema qutbûna karûbarê.
Parastina DNSSEC (Pêveçûnên Ewlekariya Sîstema Navê Domain).
Pergala navên domainê, an jî DNS, pirtûka têlefonê ya Înternetê ye, û ew nîşan dide ka amûrek Înternetê, wekî gerokek webê, servera têkildar çawa dibîne. Jehrkirina cache DNS, êrîşên li ser rê, û rêgezên din ên destwerdana bi çerxa jiyanê ya lêgerîna DNS-ê dê ji hêla aktorên xirab ve werin bikar anîn da ku vê pêvajoya daxwaza DNS-ê birevînin. Ger DNS pirtûka têlefonê ya Înternetê ye, DNSSEC ID-ya bangewazî ya bêserûber e. Daxwazek lêgerîna DNS dikare bi karanîna teknolojiya DNSSEC were parastin.
Ji bo ku hûn xwe bi hûrgulî bi bernameya sertîfîkayê re nas bikin, hûn dikarin tabloya jêrîn berfireh bikin û analîz bikin.
Bernameya Sertîfîkaya Ewlekariya Bingehîn a Ewlekariya Serlêdanên Webê EITC/IS/WASF di forma vîdyoyê de materyalên dîdaktîk ên gihîştî vekirî vedibêje. Pêvajoya fêrbûnê di nav avahiyek gav-bi-gav (bername -> ders -> mijar) de tê dabeş kirin ku beşên dersa têkildar vedihewîne. Bi pisporên domainê re şêwirmendiya bêsînor jî tê peyda kirin.
Ji bo hûrguliyên li ser prosedûra Sertîfîkayê kontrol bikin Ku çawa dixebite.
Ji bo Bernameya Bingehên Ewlekariya Ewlekariya Serlêdanên Webê ya EITC/IS/WASF malzemeyên amadekariyê yên bêserûber ên bêserûber di pelek PDF de dakêşin
Materyalên amadekar ên EITC/IS/WASF - guhertoya standard
Materyalên amadekar ên EITC/IS/WASF - guhertoya dirêjkirî bi pirsên vekolînê