En vakthund för webbapplikationer

Gustav Lindroth December 26, 2015 Elektronisk 1 0
FONT SIZE:
fontsize_dec
fontsize_inc
Chansen att hacka som nu verkar öka. Antalet säkerhetsincidenter och sårbarheter som ska rapporteras i nyheterna verkligen ökar. Vad gör du när dina webbapplikationer utsatta för angrepp och det finns ingen tid och pengar för att justera alla programkoden?

Historien om webbapplikationer

De första vettiga internet webbapplikationer har utvecklats sedan 1995 när Netscape gick javascript stöd i de första webbläsarna. Utvecklingen accelererade från 1999, då Java Servlets infördes. Från den tiden finns det en hel del kod som utvecklats för webbapplikationer. Företag med tillräckligt med intresse, budget och synlighet kommer förmodligen har kunnat följa den växande listan av säkerhetsåtgärder. Dessutom har stora delar av koden justerats eftersom dagens säkerhetskrav är mer omfattande än de någonsin kunnat ana i förväg.

OWASP TOP 10

Ett fint exempel på moderna säkerhetskrav för webbapplikationer är OWASP TOP 10. Detta är en lista över säkerhetsåtgärder som åtminstone bör beaktas vid utveckling av webbapplikationer. Till exempel är det varnas för att alltid kontrollera alla indata. Detta är annars webbapplikationen kan vara känslig för en tvär sida scripting attack. OWASP går längre och rekommenderar att även överväga andra frågor som systemet igång din webbapplikation körs. Ett exempel på säkerhets felkonfiguration är att du installerar en applikationsserver och standardkontot inte stämmer, så att praktiskt taget hela världen kan logga in på din ansökan servern som det här kontot i installationsanvisningarna med användarnamn och lösenord är känd och spårbar för alla.

Nödvändigt ont

I de flesta fall hade äldre webbapplikationer eller till och med hela plattformar inte ta hänsyn till de moderna säkerhetskraven i OWASP TOP 10 ändrar också denna lista med några års mellanrum för att få använda alla kloka lärdomar av praktiken. Tyvärr händer det att man ignorerar dessa kloka lektioner. Företagen är ibland upptagen nog med det funktionella underhåll av sina webbapplikationer. Självklart behöver företagen inte köpa dem här så länge ingen frågar. Vissa företag kanske inte ens är medveten om alla de risker och märker bara det att något är på gång när saker går fel.

Kostnader och fördelar

Företag ser oftast på vad den direkta nyttan är att vinna när man utvecklar webbapplikationer. Detta får till följd att endast tid och pengar för att lägga till nya funktioner, till exempel för att bygga nya sociala nätverksfunktioner. Kostnaderna för säkerhets underhåll kan dock lägga upp snabbt. En genomsnittlig webbapplikation består snabbt av 100.000 till 500.000 rader kod där över 30% av behoven som måste lösas för att bygga i indatavalideringsfel reglerna. Och inte bara anpassa koden tar tid och pengar, webbapplikationen kommer även efter justering måste gå igenom en fullständig regression test för att bekräfta att allt fungerar som det ska. Insåg säkerhetsföretaget ger en funktionell ingenting omedelbart. Faktum är att applikationens egenskaper uppdateras inte och det finns inga nya funktioner. Det är därför förståeligt att företagen äger problemet snarare ignorera och även en bit av spel en hacker sin IP-intervall, och TCP / IP utskovsluckor. De vill verkligen göra något åt ​​det men företrädesvis till lägsta möjliga kostnad och tid.

Applikation Watchdog

Lyckligtvis har branschen också erkänt detta problem. En av de lösningar vi har utvecklat Web Application Firewall eller helt enkelt WAF. WAF är mellan den befintliga brandväggen och applikationsservern och ser därmed sätta alla inkommande och utgående trafik. Medelst mönsterigenkännings WAF kan känna igen vissa attacker. Ett exempel är upptäckten av SQL-satser i webbadressen som en parameter, eller om POST-data. WAF kan automatiskt stoppa attacken eller endast ett omnämnande av försöket via ett meddelande. Det finns alltid en chans att WAF ett mönster erkänna vad som är rätt är inte en attack. Till exempel när SELECT och INSERT som ord i inmatnings är tillåtna. I det fallet handlade det om ett falskt positivt. Utökat WAF utrustning har oftast förmågan att lära sig vilka mönster är tillåtet inom webbapplikationen. Således en WAF kan spåra alla typer av webbadresser i samband med webbapplikationen i "normal" användning. När det då ett undantag kommer vid WAF kan ingripa. I denna inlärningsfas är det möjligt att medge undantag som ordet INSERT tillståndet vid en specifik URL eftersom det är känt att strukturen är då inte ett angrepp på respektive webbapplikation.

Web Application Brandväggar

Web Application Brandväggar finns nu i många smaker och varianter. Vi visar här några av öppen källkod och professionell domän. Här är de i den öppna källdomänen, helt gratis men ibland begränsad funktionalitet och enkel hantering.
  • Apache - mod säkerhet
  • AQTRONIX WebKnight
  • ESAPI WAF
  • WebCastellum
  • Binarysec
  • OpenWAF

Och dessa är några möjliga leverantörer av betald lösning. Vanligtvis lösningen säljs som en apparat. Ofta fördel är i underhållskontrakt som automatiskt alla nya mönster och linjer läggs till. Dessutom säkerställer leverantören ofta OWASP TOP 10 efterlevnad.
  • Barracuda
  • Citrix NetScaler
  • Cisco
  • F5
  • Fortinet - FortiWeb
  • Radware
  • Rapid7
  • Zeus Application Firewall

Slutligen

Information Security verkar vara viktigare när det inte finns tid och pengar finns att skriva äldre webbapplikationer. Branschen har reagerat på detta slag och en ny typ av brandvägg som utvecklats kan se trafiken. WAF ingriper då så fort en attack upptäcks. En WAF kan laddas ner från open source-domänen, eller så kan du köpa en enhet från en preferred supplier. Valet i vilken form och storlek du ska tillämpa en WAF beror mycket på budget som organisationen gör tillgängliga för informationssäkerhet. En WAF kan vara en lösning om det finns en hel del kod utvecklades med liten hänsyn till alla informations säkerhetsåtgärder. Det är dock viktigt, WAF rätt inställd, testa och hantera. Det är också klokt att tänka på framtiden och webbapplikationer såsom OWASP Top 10 och ta en utgångspunkt, eftersom en WAF verkligen inte en 100% garanti kan alltid ge det all attackmönster redovisas i tid.
  Like 0   Dislike 0
Tidigare artikel Den irländska staden Dublin
Nästa artikel Vad luktar som en häst?
Kommentarer (0)
Inga kommentarer

Lägg till en kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Tecken kvar: 3000
captcha