Dib u eegid
Miisaanka, halabuurka, iyo ka kooban hanjabaadaha internetka ee codsiyada ayaa si degdeg ah u kobcaya. Sannado badan, isticmaalayaashu waxay ka heleen codsiyada shabakada internetka iyagoo isticmaalaya daalacashada shabakada caanka ah. Waxay ahayd lagama maarmaan in la taageero 2-5 daalacashada mareegta wakhti kasta, iyo jaangooyooyinka horumarinta iyo tijaabinta codsiyada shabakada waxay ahaayeen kuwo xadidan. Tusaale ahaan, ku dhawaad ββdhammaan xog-ururinta waxa la dhisay iyadoo la isticmaalayo SQL. Nasiib darro, wakhti yar ka dib, tuugadu waxay barteen isticmaalka codsiyada webka si ay u xadaan, u tirtiraan ama u beddelaan xogta. Waxay heleen sifo sharci darro ah oo ay ku takri falaan awoodaha codsiga iyagoo isticmaalaya farsamooyin kala duwan, oo ay ku jiraan khiyaanada isticmaalayaasha codsiyada, duritaanka, iyo fulinta koodka fog. Wax yar ka dib, aaladaha badbaadada codsiga mareegaha ganacsiga ee loo yaqaan Web Application Firewalls (WAFs) ayaa suuqa soo galay, bulshaduna waxay kaga jawaabtay abuurista mashruuc badbaado oo codsi shabakad furan ah, Mashruuca Badbaadada Codsiga Mareegta Furan (OWASP), si loo qeexo loona ilaaliyo heerarka horumarka iyo hababka codsiyo sugan
Ilaalinta codsiga aasaasiga ah
waa meesha laga bilaabo sugida codsiyada waxayna ka kooban tahay liiska hanjabaadaha ugu khatarta badan iyo qaabaynta khaldan ee u horseedi karta nuglaanta codsiga, iyo sidoo kale tabaha lagu ogaado lagana adkaado weerarada. 10ka ugu sarreeya OWASP waa halbeeg la aqoonsan yahay oo ku jira warshadaha amniga internetka ee codsiga adduunka oo dhan wuxuuna qeexayaa liiska xudunta u ah awoodaha nidaamka amniga codsiga shabakadda (WAF) uu leeyahay.
Intaa waxaa dheer, shaqeynta WAF waa in ay xisaabta ku dartaa weerarrada kale ee caadiga ah ee codsiyada webka, oo ay ku jiraan codsiga been-abuurka ah ee goobta (CSRF), guji-jacking, xoqitaanka shabakada, iyo ku darida faylka (RFI/LFI).
Hanjabaadaha iyo caqabadaha hubinta amniga codsiyada casriga ah
Maanta, dhammaan codsiyada laguma fuliyo nooca shabakad. Waxaa jira abka daruuraha, apps mobaylada, API-yada, iyo qaab-dhismeedyadii ugu dambeeyay, xataa hawlaha software ee gaarka ah. Dhammaan noocyada codsiyadan waxay u baahan yihiin in la iswaafajiyo oo la xakameeyo marka ay abuuraan, wax ka beddelaan, oo habeeyaan xogtayada. Marka ay timaado tignoolajiyada cusub iyo jaangooyooyinka, kakanaanta cusub iyo caqabadaha ayaa ka soo baxa dhammaan marxaladaha nolosha wareegtada codsiga. Tan waxaa ka mid ah horumarinta iyo isdhexgalka hawlgallada (DevOps), weelasha, Internet of Things (IoT), aaladaha il furan, API-yada, iyo in ka badan.
Qaybinta codsiyada iyo kala duwanaanta tignoolajiyada waxay abuurtaa caqabado adag oo adag ma aha oo kaliya xirfadlayaasha amniga macluumaadka, laakiin sidoo kale iibiyayaasha xalalka amniga kuwaas oo aan ku tiirsanaan karin hab midaysan. Tallaabooyinka amniga codsigu waa inay ku xisaabtamaan ganacsiga gaarka ah si ay uga hortagaan wanaagga beenta ah iyo carqaladaynta tayada adeegyada isticmaaleyaasha.
Hadafka kama dambaysta ah ee haakarisku inta badan waa inay xadaan xogta ama carqaladeeyaan helitaanka adeegyada. Weeraryahannadu waxay sidoo kale ka faa'iidaystaan ββhorumarka tignoolajiyada. Marka hore, horumarinta tignoolajiyada cusub waxay abuurtaa nusqaan iyo baylahooyin badan oo suurtagal ah. Marka labaad, waxay haystaan ββqalab iyo aqoon dheeraad ah oo ku jira hubkooda si ay uga gudbaan tallaabooyinka amniga ee soo jireenka ah. Tani waxay si weyn u kordhinaysaa waxa loogu yeero "oogada weerarka" iyo soo-gaadhista ururada khataraha cusub. Siyaasadaha ammaanku waa inay si joogto ah isu beddelaan iyagoo ka jawaabaya isbeddellada tignoolajiyada iyo codsiyada.
Sidaa darteed, codsiyada waa in laga ilaaliyaa qaabab iyo ilo weerar oo kala duwan oo sii kordhaya oo werarada tooska ah waa in laga hortago wakhtiga dhabta ah iyadoo lagu salaynayo go'aamo xog ogaal ah. Natiijadu waa korodhka kharashka wax kala iibsiga iyo shaqada gacanta, oo ay weheliso fadhiid ammaan oo daciif ah.
Hawsha #1: Maaraynta bots
In ka badan 60% taraafikada intarneedka waxaa soo saara bots, kuwaas oo kala bar ay yihiin taraafikada "xun" (sida uu qabo ). Ururadu waxay maalgashadaan kordhinta awooda shabakada, asal ahaan u adeegaya culays mala awaal ah. Si sax ah u kala soocida taraafikada dhabta ah ee isticmaalaha iyo taraafikada bot, iyo sidoo kale bots "wanaagsan" (tusaale ahaan, makiinadaha raadinta iyo adeegyada isbarbardhigga qiimaha) iyo bots "xun" waxay keeni karaan kayd qiimo badan iyo tayada adeegga ee dadka isticmaala.
Bots-ku maaha inay hawshan fududeeyaan, waxayna ku dayan karaan hab-dhaqanka isticmaalayaasha dhabta ah, way dhaafaan CAPTCHAs iyo caqabadaha kale. Waxaa intaa dheer, marka laga hadlayo weerarrada la isticmaalayo cinwaannada IP-ga ee firfircoon, ilaalinta ku saleysan shaandhaynta cinwaanka IP-ga waxay noqotaa mid aan waxtar lahayn. Inta badan, agabka horumarinta il furan (tusaale, Phantom JS) oo xamili kara JavaScript-ka dhinaca macmiilka ah ayaa loo isticmaalaa in lagu bilaabo weerarrada xoog-fudud, weerarrada wax-ka-soo-saarka aqoonsiga, weerarrada DDoS, iyo weerarrada bot otomaatiga ah.
Si si wax ku ool ah loo maareeyo taraafikada bot, aqoonsi gaar ah oo isha laga keenay (sida faraha) ayaa loo baahan yahay. Maaddaama weerarka bot uu soo saaro diiwaanno badan, fartiisu waxay u oggolaanaysaa inay aqoonsato hawlaha laga shakiyo oo ay u qoondayso buundooyinka, taas oo ku salaysan nidaamka ilaalinta codsigu uu gaaro go'aan xog-ogaal ah - xannibaad / oggolow - oo leh heerka ugu yar ee been-abuurka.
Caqabadda #2: Ilaalinta API
Codsiyo badan ayaa aruuriya macluumaadka iyo xogta adeegyada ay la falgalaan API-yada. Marka xogta xasaasiga ah lagu gudbiyo API-yada, in ka badan 50% ururadu ma ansaxiyaan mana hubiyaan API-yada si loo ogaado weerarrada internetka.
Tusaalooyinka isticmaalka API:
- Is dhexgalka Internet of Things (IoT).
- Isgaarsiinta mashiinka-mashiinka
- Deegaannada aan Server-ka lahayn
- Codsiyada Mobilada
- Codsiyada-Driven
Nuglaanta API waxay la mid tahay dayacanka codsiga waxaana ka mid ah cirbadeynta, weerarrada borotokoolka, khalkhalgelinta cabbirka, jiheynta, iyo weerarada bot. Albaabada API ee u go'ay waxay gacan ka geystaan ββhubinta waafaqid ka dhexeeya adeegyada dalabka ee is dhex gala API-yada. Si kastaba ha ahaatee, ma bixiyaan amniga codsiga dhamaadka-ilaa-dhamaadka ah sida WAF oo wata qalabyada muhiimka ah ee amniga sida HTTP header parsing, Layer 7 list control list (ACL), JSON/XML mushaar bixinta iyo kormeerka, iyo ilaalinta dhammaan baylahda Liiska 10ka sare ee OWASP. Tan waxaa lagu gaaraa iyadoo la baarayo qiyamka API ee muhiimka ah iyadoo la adeegsanayo moodallo togan iyo kuwa taban.
Caqabadda #3: Diidmada Adeegga
Vector-kii hore ee weerarka, diidmada adeegga (DoS), waxay sii waddaa inay caddayso waxtarkeeda weerarka codsiyada. Weeraryahanadu waxay leeyihiin farsamooyin badan oo guul leh si ay u carqaladeeyaan adeegyada codsiga, oo ay ku jiraan HTTP ama HTTPS daadadka, weerarrada hoose iyo kuwa gaabis ah (tusaale SlowLoris, LOIC, Torshammer), werarada isticmaalaya ciwaannada IP-ga firfircoon, qulqulka qulqulka, xoog-cudud -weerar, iyo kuwo kale oo badan . Iyadoo horumarinta internetka ee Waxyaabaha iyo soo ifbaxa soo socda ee IoT botnets, weerarrada codsiyada waxay noqdeen diiradda ugu weyn ee weerarrada DDoS. Inta badan WAF-yada gobolka waxay xamili karaan oo keliya xaddi xaddidan. Si kastaba ha ahaatee, waxay hubin karaan socodka taraafikada HTTP/S waxayna meesha ka saarayaan taraafikada weerarka iyo xidhiidhada xaasidnimada leh. Mar haddii weerar la ogaado, ma jirto wax faa'iido ah oo dib loogu soo celinayo gaadiidkan. Mar haddii awoodda WAF ay ku celinayso weerarrada ay xaddidan tahay, xal dheeraad ah ayaa looga baahan yahay wareegga shabakadda si si toos ah loo xannibo xirmooyinka "xun" ee xiga. Xaaladdan amniga, labada xal waa inay awoodaan inay wada xiriiraan midba midka kale si ay isu dhaafsadaan macluumaadka ku saabsan weerarrada.
Jaantuska 1. Ururka isku xidhka dhamaystiran iyo ilaalinta codsiga iyadoo la isticmaalayo tusaalaha xalalka Radware
Caqabadda #4: Ilaalinta Joogtada ah
Codsiyada ayaa si joogta ah isu beddela. Hababka horumarinta iyo hirgelinta sida dib-u-cusboonaysiinta rogiddu waxay ka dhigan tahay in wax-ka-beddelku dhaco iyada oo aan la helin faragelin ama xakameyn aadanaha. Deegaannada firfircoon ee noocaas ah, way adag tahay in la joogteeyo siyaasado ammaan oo si waafi ah u shaqeeya iyada oo aan tiro badan oo faa'iido been ah la helin. Codsiyada moobilka waxaa la cusboonaysiiyaa si ka badan codsiyada webka. Codsiyada dhinac saddexaad waxa laga yaabaa inay isbedelaan adiga oo aan ogayn. Ururada qaar ayaa raadinaya kontorool weyn iyo muuqaal si ay ugu sii jiraan khataraha iman kara. Si kastaba ha ahaatee, tani had iyo jeer ma aha mid la gaari karo, iyo ilaalinta codsiga la isku halleyn karo waa in ay isticmaashaa awoodda barashada mashiinka si ay u xisaabiso oo ay u aragto ilaha la heli karo, falanqaynta khataraha iman kara, iyo abuurista iyo hagaajinta siyaasadaha amniga haddii ay dhacdo wax ka beddelka codsiga.
natiijooyinka
Maadaama apps-ka ay door muhiim ah ka ciyaaraan nolol maalmeedka, waxay noqdeen bartilmaameedka koowaad ee haakariska. Abaalmarinta suurtagalka ah ee dambiilayaasha iyo khasaaraha ka iman kara ganacsigu waa mid aad u weyn. Kakanaanta hawsha amniga codsiga lama soo koobi karo marka la eego tirada iyo kala duwanaanta codsiyada iyo hanjabaadaha.
Nasiib wanaag, waxaan joognaa xilli ay sirdoon macmal ah noo soo caawin karaan. Algorithms-ku-saleysan barashada mashiinka waxay bixiyaan ilaalin la-qabsiga waqtiga-dhabta ah ee ka dhanka ah hanjabaadaha internetka ee aadka u horumarsan ee bar-tilmaameedka ah. Waxay sidoo kale si toos ah u cusbooneysiiyaan siyaasadaha amniga si ay u ilaaliyaan webka, moobilka, iyo codsiyada daruuraha-iyo APIs-iyada oo aan lahayn natiijooyin been ah.
Way adag tahay in si hubaal ah loo saadaaliyo waxa ay noqon doonaan jiilka soo socda ee hanjabaada internetka (laga yaabo inay sidoo kale ku saleysan tahay barashada mashiinka) Laakin ururadu xaqiiqdii waxay qaadi karaan tillaabooyin lagu ilaalinayo xogta macaamiisha, ilaalinta hantida caqliga, iyo hubinta helitaanka adeegga faa'iidooyinka ganacsi ee waaweyn.
Hababka iyo hababka wax ku oolka ah ee lagu hubinayo amniga codsiga, noocyada ugu muhiimsan iyo vectors ee weerarada, meelaha halista ah iyo nusqaamaha ilaalinta internetka ee codsiyada webka, iyo sidoo kale waayo-aragnimada caalamiga ah iyo hababka ugu wanaagsan ayaa lagu soo bandhigay daraasadda iyo warbixinta Radware "".
Source: www.habr.com