5 THỰC TIỄN TỐT NHẤT VỀ BẢO MẬT ỨNG DỤNG WEB

Khi nói đến bảo mật ứng dụng web, có nhiều biện pháp bạn có thể thực hiện để giảm nguy cơ kẻ xâm nhập lấy cắp dữ liệu nhạy cảm, đưa phần mềm độc hại vào trang web hoặc làm xấu mặt công chúng. Khi ngày càng nhiều tổ chức chuyển đổi hoạt động kinh doanh của họ sang các ứng dụng web, bảo mật trong quá trình phát triển có thể không còn là vấn đề cần cân nhắc. Cho dù đó là chèn mã, leo thang đặc quyền, tấn công DDoS hay một phần tử dễ bị tấn công, những kẻ xấu luôn tìm cách sáng tạo để thao túng các hành vi lợi dụng vì lợi ích cá nhân.

Chúng tôi đã tổng hợp năm (5) phương pháp hay nhất hàng đầu của mình để giúp bạn củng cố tính bảo mật cho ứng dụng của mình.

KHÔNG BAO GIỜ, ĐỪNG BAO GIỜ TIN TƯỞNG ĐẦU VÀO CỦA NGƯỜI DÙNG

Xác thực đầu vào là một lớp bảo mật ứng dụng web quan trọng, đóng vai trò là tuyến phòng thủ đầu tiên. Các tác nhân độc hại thường sẽ cố gắng gửi thông tin đầu vào độc hại thông qua bất kỳ và tất cả các điểm nhập có sẵn. Vệ sinh đầu vào này để chống lại các yêu cầu và hạn chế đã được suy nghĩ kỹ lưỡng là bước quan trọng đầu tiên. Lấy một trường “họ” chẳng hạn; hạn chế sử dụng ký tự (dấu gạch nối, dấu ngoặc kép, ASCII so với unicode, v.v.) và độ dài ký tự là bước đầu tiên mạnh mẽ.


(Kết quả SQL Injection được tìm thấy trên mining-db.com.com, một dự án được tài trợ bởi Offensive Security)


(Các mục nhập của Thực thể Bên ngoài XML được tìm thấy trên khai thác-db.com.com, một dự án được tài trợ bởi Bảo mật tấn công)

Nếu dữ liệu đã nhập không đáp ứng các yêu cầu thích hợp, máy chủ sẽ từ chối yêu cầu. Đây là một ví dụ về xác thực đầu vào danh sách trắng, vì chỉ những dữ liệu đã được phê duyệt và có hình thức tốt mới được máy chủ xử lý. Mặt khác, xác thực đầu vào danh sách đen chỉ loại trừ các đầu vào dữ liệu cụ thể để ngăn chặn các cuộc tấn công cụ thể. Nói chung, danh sách trắng là một chiến lược xác thực đầu vào hiệu quả hơn, vì nó ngăn chặn nhiều loại tấn công (và thường không lường trước được).

TẮT CHỨC NĂNG KHÔNG SỬ DỤNG VÀ KHÔNG LƯU DỮ LIỆU BẠN KHÔNG SỬ DỤNG

Theo nguyên tắc chung, nếu một chức năng hoặc daemon không được ứng dụng web của bạn sử dụng, hãy tắt nó đi. Có thể đó là một tính năng SMTP, plugin, miền phụ không được sử dụng hoặc một chủ đề. Nếu ứng dụng web của bạn không sử dụng nó, hãy tắt nó đi. Việc để lại chức năng không dùng đến chỉ để lại mã bổ sung làm tăng bề mặt tấn công của ứng dụng.


(Các cuộc tấn công Plugin CMS khác nhau được tìm thấy trên khai thác-db.com.com, một dự án được tài trợ bởi Bảo mật tấn công)

Ngoài ra, không thu thập dữ liệu bạn không có ý định sử dụng. Có quá nhiều công ty thu thập dữ liệu mà họ không cần và nó có thể quay lại cắn họ. Bạn không thể tiết lộ những gì bạn không có.

TIẾN HÀNH ĐÁNH GIÁ BẢO MẬT THƯỜNG XUYÊN

Việc ký hợp đồng với một công ty bên ngoài để xem xét định kỳ các biện pháp bảo mật cho ứng dụng của bạn là điều khôn ngoan. Một nhóm mắt độc lập, những người không quen thuộc với cơ sở hạ tầng và hệ thống của bạn, sẽ nghĩ khác và kiểm tra các lỗ hổng mà bạn có thể đã che đậy.

Các cuộc kiểm tra bảo mật ứng dụng web thường được tiến hành hàng quý, đặc biệt nếu ứng dụng đang xử lý bất kỳ mức độ dữ liệu nhạy cảm nào (chúng thường là như vậy).

Nếu bạn quan tâm đến việc đánh giá bảo mật chuyên sâu trông như thế nào, hãy xem tại đây để xem báo cáo thử nghiệm thâm nhập mẫu mà nhóm Bảo mật tấn công thực hiện cho một số khách hàng được chọn.

ĐẦU TƯ VÀO ĐÀO TẠO LIÊN TỤC VỀ AN NINH MẠNG

Đầu tư vào đào tạo liên tục về an ninh mạng cho nhóm của bạn có thể là một trong những hành động có giá trị nhất mà bạn có thể thực hiện để bảo vệ tính bảo mật của ứng dụng web của mình. Bất kỳ ai làm việc trên mặt trận ứng dụng, cho dù đó là nhà phân tích bảo mật, kỹ sư phần mềm hay nhà thiết kế web đều phải được đào tạo và giáo dục. Họ cần hiểu cách các cuộc tấn công có thể thao túng mã mà họ viết. Các ứng dụng web đang xử lý ngày càng nhiều dữ liệu cá nhân và doanh nghiệp nhạy cảm; và do đó, tính bảo mật cần được quan tâm hàng đầu đối với mọi nhân viên làm việc gần ứng dụng.

AWAE hay còn gọi là Khai thác và Tấn công Web Nâng cao, là chương trình đào tạo về bảo mật và ứng dụng web hàng đầu trong ngành . Sau khi hoàn thành khóa học và kỳ thi thành công, sinh viên sẽ nhận được chứng chỉ OSWE ( Chuyên gia về web bảo mật chuyên sâu ). Khóa học được thiết kế cho những người kiểm tra bút nâng cao, kỹ sư phần mềm, nhà phát triển web và nói chung là bất kỳ ai làm việc gần một ứng dụng web.

Nhiều trưởng nhóm sẽ cử người của họ hoàn thành khóa học AWAE và nhận chứng chỉ OSWE của họ, vì đó là một cách phi thường để phát triển và giữ chân nhân tài an ninh mạng nội bộ (vốn nổi tiếng là khó). OSWE là một chứng nhận được cung cấp bởi Offensive Security, cùng một nhà sản xuất OSCP, chứng nhận thử nghiệm thâm nhập khét tiếng. Đó là một khóa học giá cả phải chăng cung cấp một nền giáo dục vô giá về việc bảo vệ ứng dụng web của bạn. Với tính chất thay đổi nhanh chóng của không gian InfoSec, điều quan trọng là nhóm của bạn phải được đào tạo cập nhật về các cuộc tấn công và kỹ thuật khai thác mới nhất.

TẠO CHƯƠNG TRÌNH TIỀN THƯỞNG LỖI

Một chương trình tiền thưởng lỗi công khai có thể đi một chặng đường dài trong việc chủ động xác định và vá các lỗ hổng ứng dụng. Bằng cách cung cấp tiền hoặc phần thưởng khác cho các nhà nghiên cứu tiết lộ riêng tư các lỗ hổng ứng dụng, nhóm của bạn có thể đi trước trong việc ngăn chặn các cuộc tấn công tiềm ẩn.

Nó sẽ yêu cầu quản lý mua vào và phân bổ tài nguyên chuyên dụng, nhưng nó rất đáng được đền đáp nếu một nhà nghiên cứu gặp lỗi phá vỡ ứng dụng có khả năng làm lộ dữ liệu cá nhân nhạy cảm hoặc gây nguy hiểm cho tài sản doanh nghiệp. GDPR, luật bảo mật dữ liệu mang tính bước ngoặt được ban hành gần đây ở Liên minh Châu Âu, thực thi các khoản phạt vi phạm dữ liệu lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu, tùy theo mức nào cao hơn. Ngoài ra còn có một lợi ích PR rõ ràng: một chương trình tiền thưởng lỗi làm giảm khả năng tên công ty của bạn xuất hiện trên trang nhất của CNN trong một vụ hack lớn. Không ai muốn trở thành chủ đề của một cuộc tấn công lớn mới.

Đảm bảo thực hiện một chính sách rõ ràng, mạnh mẽ cho các nhà nghiên cứu:

  • Xác định mức bồi thường
  • Ưu tiên nghiên cứu các lỗ hổng cụ thể
  • Phạm vi công việc nghiên cứu
  • Các điều khoản cụ thể về không tiết lộ

Một chương trình tiền thưởng lỗi đáng giá nhất khi một chương trình bảo mật trưởng thành đã tồn tại. Điều quan trọng là phải thiết lập một quy trình giải quyết nội bộ rõ ràng, để đảm bảo rằng các bản vá được thực hiện nhanh chóng và triệt để.

Tải xuống Hướng dẫn Bảo mật Ứng dụng Web!

Khóa học liên quan OWASP Top 10 Web Hacking

Khóa học liên quan CEH v11

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s