Bezbednost veb aplikacija

Bezbednost veb sajtova je grana bezbednosti informacija koja se bavi bezbednošću veb sajtova, veb aplikacija i veb servisa. Bezbednost veb aplikacija se oslanja na principe bezbednosti aplikacija uopšte, ali ih primenjuje specifično za internet i veb sisteme. Obično se veb aplikacije razvijaju korišćenjem programskih jezika kao sto su PHP, Java, Python , Rubi, ASP.NET, C Sharp, ASP.

Bezbednosne pretnje

[уреди | уреди извор]

Sa pojavom Veb 2.0, povećanjem deljenja informacija preko socijalnih mreža i korišćenjem veba kao sredstva poslovanja i pružanja različitih informacija, sajtovi često bivaju direktno napadnuti. Hakeri ili nastoje da kompromituju korporativnu mrežu ili navode krajnje korisnike koji pristupaju mreži ka preuzimanju sadržaja čijeg rizika nisu svesni (virusi).[1][2]

Kao rezultat toga, industrija[3] obraća veliku pažnju na bezbednost samih veb aplikacija[4], pored bezbednosti osnovne računarske mreže i operativnih sistema. Većina napada na veb aplikacije se dešava kroz kros-sajt skriptovanje (XSS) i SQL injekcije[5] koje su obično rezultat pogrešnog kodiranja i neuspešnog dobijanja izlaza iz veb aplikacije. Oni su u 2009. godini rangirani na CWE/SANS Top 25 najopasnijih programerskih grešaka[6]. U 2012, vrhunske ranjivosti uključuju:[7]

Bezbednosni standardi

[уреди | уреди извор]

OWASP je projekat bezbednosti veb aplikacija slobodnog koda. Posebno je značajan OWASP TOP 10 koji detaljno objavljuje glavne pretnje veb aplikacijama. Konzorcijum za bezbednost veb aplikacija (WASC) je kreirao bazu u kojoj se čuvaju svi propusti koji su se desili (Web Hacking Incident Database)[8], kao i projekte otvorenog koda koji na najbolji način dokumentuju sigurnost veb aplikacija.

Bezbednosne tehnologije

[уреди | уреди извор]

Dok se bezbednost u osnovi zasniva na ljudima i procesima, postoji veliki broj tehničkih rešenja uzetih u obzir prilikom projektovanja, izgradnje i testiranja sigurnosti veb aplikacija. Na visokom nivou, ova rešenja uključuju:

  • Crna kutija (alatke za testiranje kao sto su skeneri sigurnosti veb aplikacija[9], softveri za pronalaženje propusta u sistemu )
  • Bela kutija (alatke za testiranje kao sto su statički analizatori izvornog koda[10])
  • Alati koji se koriste za testiranje ulaza[11]
  • Zaštitni zid[12] za veb aplikacije
  • Alati za testiranje jačine lozinke

Vidi još

[уреди | уреди извор]

Reference

[уреди | уреди извор]
  1. ^ „The Ghost in the Browser” (PDF). Niels Provos et al. maj 2007. 
  2. ^ „All Your iFrames Point to Us” (PDF). Niels Provos et al. februar 2008. 
  3. ^ „Improving Web Application Security: Threats and Countermeasures”. Microsoft Corporation. jun 2003. 
  4. ^ „Microsoft fortifies IE8 against new XSS exploits”. Dan Goodin, The Register. februar 2009. 
  5. ^ „Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and XSS Attacks” (PDF). Fonseca, J.; Vieira, M.; Madeira, H., Dependable Computing, IEEE. decembar 2007. 
  6. ^ „CWE/SANS Top 25 Most Dangerous Programming Errors”. CWE/SANS. maj 2009. 
  7. ^ „2012 Trends Report: Application Security Risks”. Cenzic, Inc. 11. 3. 2012. Архивирано из оригинала 17. 12. 2012. г. Приступљено 9. 7. 2012. 
  8. ^ „The Web Hacking Incidents Database”. WASC. januar 2010. 
  9. ^ „Web Application Vulnerability Scanners”. NIST. 
  10. ^ „Source Code Security Analyzers”. NIST. 
  11. ^ „Fuzzing”. OWASP. 
  12. ^ „Web application firewalls for security and regulatory compliance”. Secure Computing Magazine. februar 2008. Архивирано из оригинала 13. 10. 2008. г. Приступљено 27. 5. 2014.