Bezbednost veb aplikacija

Bezbednost veb sajtova je grana bezbednosti informacija koja se bavi bezbednošću veb sajtova, veb aplikacija i veb servisa. Bezbednost veb aplikacija se oslanja na principe bezbednosti aplikacija uopšte, ali ih primenjuje specifično za internet i veb sisteme. Obično se veb aplikacije razvijaju korišćenjem programskih jezika kao sto su PHP, Java, Python , Rubi, ASP.NET, C Sharp, ASP.

Bezbednosne pretnje[уреди | уреди извор]

Sa pojavom Veb 2.0, povećanjem deljenja informacija preko socijalnih mreža i korišćenjem veba kao sredstva poslovanja i pružanja različitih informacija, sajtovi često bivaju direktno napadnuti. Hakeri ili nastoje da kompromituju korporativnu mrežu ili navode krajnje korisnike koji pristupaju mreži ka preuzimanju sadržaja čijeg rizika nisu svesni (virusi).^[1]^[2]

Kao rezultat toga, industrija^[3] obraća veliku pažnju na bezbednost samih veb aplikacija^[4], pored bezbednosti osnovne računarske mreže i operativnih sistema. Većina napada na veb aplikacije se dešava kroz kros-sajt skriptovanje (XSS) i SQL injekcije^[5] koje su obično rezultat pogrešnog kodiranja i neuspešnog dobijanja izlaza iz veb aplikacije. Oni su u 2009. godini rangirani na CWE/SANS Top 25 najopasnijih programerskih grešaka^[6]. U 2012, vrhunske ranjivosti uključuju: ^[7]

Kros-sajt skriptovanje, 37%
SQL injekcije, 16%
Izvršavanje koda, 4%
Korupcija memorije, 4%
Falsifikovanje kros-sajt zahteva, 4%
Otkriće informacija, 3%
Arbitraža datoteka, 3%
Uključivanje lokalnih datoteka, 2%
Uključivanje udaljenih datoteka, 1%
Prekoračenje bafera, 1%
Ostalo (PHP injekcije, Javascript injekcije, itd.), 15%

Bezbednosni standardi[уреди | уреди извор]

OWASP je projekat bezbednosti veb aplikacija slobodnog koda. Posebno je značajan OWASP TOP 10 koji detaljno objavljuje glavne pretnje veb aplikacijama. Konzorcijum za bezbednost veb aplikacija (WASC) je kreirao bazu u kojoj se čuvaju svi propusti koji su se desili (Web Hacking Incident Database) ^[8], kao i projekte otvorenog koda koji na najbolji način dokumentuju sigurnost veb aplikacija.

Bezbednosne tehnologije[уреди | уреди извор]

Dok se bezbednost u osnovi zasniva na ljudima i procesima, postoji veliki broj tehničkih rešenja uzetih u obzir prilikom projektovanja, izgradnje i testiranja sigurnosti veb aplikacija. Na visokom nivou, ova rešenja uključuju:

Crna kutija (alatke za testiranje kao sto su skeneri sigurnosti veb aplikacija ^[9], softveri za pronalaženje propusta u sistemu )
Bela kutija (alatke za testiranje kao sto su statički analizatori izvornog koda ^[10])
Alati koji se koriste za testiranje ulaza^[11]
Zaštitni zid ^[12] za veb aplikacije
Alati za testiranje jačine lozinke

Vidi još[уреди | уреди извор]

Reference[уреди | уреди извор]

^ „The Ghost in the Browser” (PDF). Niels Provos et al. maj 2007.
^ „All Your iFrames Point to Us” (PDF). Niels Provos et al. februar 2008.
^ „Improving Web Application Security: Threats and Countermeasures”. Microsoft Corporation. jun 2003.
^ „Microsoft fortifies IE8 against new XSS exploits”. Dan Goodin, The Register. februar 2009.
^ „Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and XSS Attacks” (PDF). Fonseca, J.; Vieira, M.; Madeira, H., Dependable Computing, IEEE. decembar 2007.
^ „CWE/SANS Top 25 Most Dangerous Programming Errors”. CWE/SANS. maj 2009.
^ „2012 Trends Report: Application Security Risks”. Cenzic, Inc. 11. 3. 2012. Архивирано из оригинала 17. 12. 2012. г. Приступљено 9. 7. 2012.
^ „The Web Hacking Incidents Database”. WASC. januar 2010.
^ „Web Application Vulnerability Scanners”. NIST.
^ „Source Code Security Analyzers”. NIST.
^ „Fuzzing”. OWASP.
^ „Web application firewalls for security and regulatory compliance”. Secure Computing Magazine. februar 2008. Архивирано из оригинала 13. 10. 2008. г. Приступљено 27. 5. 2014.

[1] „The Ghost in the Browser” (PDF). Niels Provos et al. maj 2007.

[2] „All Your iFrames Point to Us” (PDF). Niels Provos et al. februar 2008.

[3] „Improving Web Application Security: Threats and Countermeasures”. Microsoft Corporation. jun 2003.

[4] „Microsoft fortifies IE8 against new XSS exploits”. Dan Goodin, The Register. februar 2009.

[5] „Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and XSS Attacks” (PDF). Fonseca, J.; Vieira, M.; Madeira, H., Dependable Computing, IEEE. decembar 2007.

[6] „CWE/SANS Top 25 Most Dangerous Programming Errors”. CWE/SANS. maj 2009.

[7] „2012 Trends Report: Application Security Risks”. Cenzic, Inc. 11. 3. 2012. Архивирано из оригинала 17. 12. 2012. г. Приступљено 9. 7. 2012.

[8] „The Web Hacking Incidents Database”. WASC. januar 2010.

[9] „Web Application Vulnerability Scanners”. NIST.

[10] „Source Code Security Analyzers”. NIST.

[11] „Fuzzing”. OWASP.

[12] „Web application firewalls for security and regulatory compliance”. Secure Computing Magazine. februar 2008. Архивирано из оригинала 13. 10. 2008. г. Приступљено 27. 5. 2014.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]