EITC/IS/WASF Web Applications Security Fundamentals는 기본 웹 프로토콜의 보안에서 개인 정보 보호, 웹 트래픽 네트워크 통신, 웹의 다양한 계층에 대한 위협 및 공격에 이르기까지 World Wide Web 서비스 보안의 이론 및 실제 측면에 대한 유럽 IT 인증 프로그램입니다. 서버 보안, 웹 브라우저 및 웹 애플리케이션을 포함한 상위 계층의 보안은 물론 인증, 인증서 및 피싱.
EITC/IS/WASF Web Applications Security Fundamentals의 커리큘럼은 HTML 및 JavaScript 웹 보안 측면, DNS, HTTP, 쿠키, 세션, 쿠키 및 세션 공격, 동일 출처 정책, 교차 사이트 요청 위조, 동일에 대한 예외에 대한 소개를 다룹니다. 출처 정책, XSS(교차 사이트 스크립팅), 사이트 간 스크립팅 방어, 웹 지문, 웹상의 개인 정보 보호, DoS, 피싱 및 부채널, 서비스 거부, 피싱 및 부채널, 주입 공격, 코드 주입, 전송 레이어 보안(TLS) 및 공격, 현실 세계의 HTTPS, 인증, WebAuthn, 웹 보안 관리, Node.js 프로젝트의 보안 문제, 서버 보안, 안전한 코딩 관행, 로컬 HTTP 서버 보안, DNS 리바인딩 공격, 브라우저 공격, 브라우저 이 EITC 인증에 대한 참조로서 포괄적인 비디오 교육 콘텐츠를 포함하는 다음 구조 내에서 보안 브라우저 코드 작성뿐 아니라 아키텍처
웹 응용 프로그램 보안은 웹 사이트, 웹 응용 프로그램 및 웹 서비스 보안에 중점을 둔 정보 보안의 하위 집합입니다. 웹 애플리케이션 보안은 가장 기본적인 수준에서 애플리케이션 보안 원칙을 기반으로 하지만 특히 인터넷 및 웹 플랫폼에 적용됩니다. 웹 애플리케이션 방화벽과 같은 웹 애플리케이션 보안 기술은 HTTP 트래픽 작업을 위한 특수 도구입니다.
OWASP(Open Web Application Security Project)는 무료이며 공개된 리소스를 제공합니다. 비영리 OWASP 재단이 담당하고 있습니다. 2017 OWASP Top 10은 40개 이상의 파트너 조직에서 수집한 광범위한 데이터를 기반으로 한 현재 연구의 결과입니다. 이 데이터를 사용하여 2.3개 이상의 애플리케이션에서 약 50,000만 개의 취약점이 감지되었습니다. OWASP Top 10 – 2017에 따르면 가장 중요한 XNUMX대 온라인 애플리케이션 보안 문제는 다음과 같습니다.
- 주입
- 인증 문제
- 노출된 민감한 데이터 XML 외부 엔터티(XXE)
- 작동하지 않는 액세스 제어
- 보안의 잘못된 구성
- 사이트 간 스크립팅(XSS)
- 안전하지 않은 역직렬화
- 알려진 결함이 있는 구성 요소 사용
- 로깅 및 모니터링이 충분하지 않습니다.
따라서 응용 프로그램 코드의 약점을 악용하는 다양한 보안 위협으로부터 웹 사이트 및 온라인 서비스를 방어하는 관행을 웹 응용 프로그램 보안이라고 합니다. 콘텐츠 관리 시스템(예: WordPress), 데이터베이스 관리 도구(예: phpMyAdmin) 및 SaaS 앱은 모두 온라인 애플리케이션 공격의 일반적인 대상입니다.
웹 애플리케이션은 다음과 같은 이유로 가해자에 의해 최우선 목표로 간주됩니다.
- 소스 코드의 복잡성으로 인해 무인 취약점 및 악성 코드 수정 가능성이 더 높습니다.
- 효과적인 소스 코드 변조를 통해 얻은 민감한 개인 정보와 같은 고가의 보상.
- 대부분의 공격이 쉽게 자동화될 수 있고 수천, 수만, 심지어 수십만 대상에 대해 한 번에 무차별 배포될 수 있기 때문에 실행이 용이합니다.
- 웹 애플리케이션을 보호하지 못하는 조직은 공격에 취약합니다. 이것은 무엇보다도 데이터 도난, 긴장된 클라이언트 관계, 취소된 라이선스 및 법적 조치로 이어질 수 있습니다.
웹사이트의 취약점
입력/출력 삭제 결함은 웹 애플리케이션에서 흔히 볼 수 있으며 소스 코드를 변경하거나 무단 액세스를 얻기 위해 자주 악용됩니다.
이러한 결함은 다음을 포함한 다양한 공격 벡터의 악용을 허용합니다.
- SQL 주입 – 가해자가 악성 SQL 코드로 백엔드 데이터베이스를 조작하면 정보가 노출됩니다. 불법 목록 검색, 테이블 삭제 및 무단 관리자 액세스가 그 결과입니다.
- XSS(교차 사이트 스크립팅)는 계정에 액세스하거나 트로이 목마를 활성화하거나 페이지 콘텐츠를 변경하기 위해 사용자를 대상으로 하는 주입 공격입니다. 악성 코드가 애플리케이션에 직접 삽입되는 경우 이를 저장된 XSS라고 합니다. 악성 스크립트가 애플리케이션에서 사용자의 브라우저로 미러링되는 경우 이를 반영된 XSS라고 합니다.
- 원격 파일 포함 – 이 공격 형태는 해커가 원격 위치에서 웹 응용 프로그램 서버에 파일을 주입할 수 있도록 합니다. 이로 인해 앱 내에서 위험한 스크립트 또는 코드가 실행되고 데이터 도난 또는 수정이 발생할 수 있습니다.
- CSRF(교차 요청 위조) – 의도하지 않은 현금 전송, 암호 변경 또는 데이터 도난을 초래할 수 있는 공격 유형입니다. 악성 웹 프로그램이 사용자의 브라우저에 로그인한 웹사이트에서 원치 않는 작업을 수행하도록 지시할 때 발생합니다.
이론적으로 효과적인 입/출력 삭제는 모든 취약성을 근절하여 애플리케이션을 무단 수정으로부터 보호할 수 있습니다.
그러나 대부분의 프로그램이 영구적인 개발 상태에 있기 때문에 포괄적인 살균은 실행 가능한 옵션이 거의 없습니다. 또한 앱은 일반적으로 서로 통합되어 코딩 환경이 점점 더 복잡해지고 있습니다.
이러한 위험을 피하기 위해서는 PCI DSS(PCI Data Security Standard) 인증과 같은 웹 애플리케이션 보안 솔루션 및 프로세스가 구현되어야 합니다.
웹 애플리케이션용 방화벽(WAF)
WAF(웹 애플리케이션 방화벽)는 보안 위협으로부터 애플리케이션을 보호하는 하드웨어 및 소프트웨어 솔루션입니다. 이러한 솔루션은 들어오는 트래픽을 검사하여 공격 시도를 감지하고 차단하여 코드 삭제 결함을 보완하도록 설계되었습니다.
WAF 배포는 도난 및 수정으로부터 데이터를 보호하여 PCI DSS 인증의 중요한 기준을 해결합니다. 데이터베이스에 유지되는 모든 신용 및 직불 카드 소지자 데이터는 요구 사항 6.6에 따라 보호되어야 합니다.
네트워크 에지에서 DMZ보다 먼저 배치되기 때문에 WAF를 설정하는 데 일반적으로 애플리케이션을 변경할 필요가 없습니다. 그런 다음 모든 수신 트래픽에 대한 게이트웨이 역할을 하여 애플리케이션과 상호 작용하기 전에 위험한 요청을 필터링합니다.
애플리케이션에 대한 액세스가 허용되는 트래픽과 제거해야 하는 트래픽을 평가하기 위해 WAF는 다양한 경험적 방법을 사용합니다. 정기적으로 업데이트되는 서명 풀 덕분에 악의적인 행위자와 알려진 공격 벡터를 빠르게 식별할 수 있습니다.
거의 모든 WAF는 개별 사용 사례 및 보안 규정에 맞게 조정될 수 있을 뿐만 아니라 새로운 위협(제로 데이라고도 함)에 대처할 수 있습니다. 마지막으로, 들어오는 방문자에 대한 추가 통찰력을 얻기 위해 대부분의 최신 솔루션은 평판 및 행동 데이터를 사용합니다.
보안 경계를 구축하기 위해 WAF는 일반적으로 추가 보안 솔루션과 결합됩니다. 여기에는 대량 공격을 방지하는 데 필요한 추가 확장성을 제공하는 DDoS(분산 서비스 거부) 방지 서비스가 포함될 수 있습니다.
웹 애플리케이션 보안 체크리스트
WAF 외에도 웹 앱을 보호하기 위한 다양한 접근 방식이 있습니다. 모든 웹 애플리케이션 보안 체크리스트에는 다음 절차가 포함되어야 합니다.
- 데이터 수집 — 직접 애플리케이션을 살펴보고 진입점과 클라이언트 측 코드를 찾습니다. 타사에서 호스팅하는 콘텐츠를 분류합니다.
- 권한 부여 — 애플리케이션을 테스트할 때 경로 탐색, 수직 및 수평 액세스 제어 문제, 인증 누락, 안전하지 않은 직접적인 객체 참조를 찾으십시오.
- 암호화로 모든 데이터 전송을 보호합니다. 민감한 정보가 암호화되었습니까? 스너프에 적합하지 않은 알고리즘을 사용했습니까? 임의성 오류가 있습니까?
- 서비스 거부 — 서비스 거부 공격에 대한 애플리케이션의 복원력을 향상시키기 위해 자동화 방지, 계정 잠금, HTTP 프로토콜 DoS 및 SQL 와일드카드 DoS를 테스트합니다. 여기에는 대규모 DoS 및 DDoS 공격에 대한 보안은 포함되지 않습니다. 이러한 공격에는 저항하기 위해 필터링 기술과 확장 가능한 리소스의 조합이 필요합니다.
자세한 내용은 OWASP 웹 애플리케이션 보안 테스트 치트 시트를 참조하십시오(다른 보안 관련 주제에 대한 훌륭한 리소스이기도 합니다).
DDoS 보호
DDoS 공격 또는 분산 서비스 거부 공격은 웹 애플리케이션을 방해하는 일반적인 방법입니다. CDN(콘텐츠 전송 네트워크)에서 볼류메트릭 공격 트래픽을 버리고 외부 네트워크를 사용하여 서비스 중단 없이 실제 요청을 적절하게 라우팅하는 등 DDoS 공격을 완화하기 위한 여러 접근 방식이 있습니다.
DNSSEC(Domain Name System Security Extensions) 보호
도메인 이름 시스템 또는 DNS는 인터넷의 전화번호부이며 웹 브라우저와 같은 인터넷 도구가 해당 서버를 찾는 방법을 반영합니다. DNS 캐시 중독, 경로 내 공격 및 DNS 조회 수명 주기를 방해하는 기타 수단은 악의적인 행위자가 이 DNS 요청 프로세스를 가로채는 데 사용됩니다. DNS가 인터넷의 전화번호부인 경우 DNSSEC는 스푸핑할 수 없는 발신자 ID입니다. DNS 조회 요청은 DNSSEC 기술을 사용하여 보호할 수 있습니다.
인증 커리큘럼에 대해 자세히 알아보기 위해 아래 표를 확장하고 분석할 수 있습니다.
EITC/IS/WASF 웹 애플리케이션 보안 기초 인증 커리큘럼은 비디오 형식의 오픈 액세스 교육 자료를 참조합니다. 학습 과정은 관련 커리큘럼 부분을 다루는 단계별 구조(프로그램 -> 수업 -> 주제)로 나뉩니다. 도메인 전문가와의 무제한 컨설팅도 제공됩니다.
인증 절차 확인에 대한 자세한 내용은 어떻게 시작하나요?.
EITC/IS/WASF 웹 애플리케이션 보안 기초 프로그램에 대한 전체 오프라인 자가 학습 준비 자료를 PDF 파일로 다운로드하세요.