EITC/IS/WASF ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸਿਕਿਓਰਿਟੀ ਫੰਡਾਮੈਂਟਲਜ਼ ਮੂਲ ਵੈੱਬ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਸੁਰੱਖਿਆ ਤੋਂ ਲੈ ਕੇ, ਗੋਪਨੀਯਤਾ, ਧਮਕੀਆਂ ਅਤੇ ਵੈਬ ਟ੍ਰੈਫਿਕ ਨੈਟਵਰਕ ਸੰਚਾਰ ਦੀਆਂ ਵੱਖ-ਵੱਖ ਪਰਤਾਂ 'ਤੇ ਹਮਲਿਆਂ ਦੁਆਰਾ ਵਰਲਡ ਵਾਈਡ ਵੈੱਬ ਸੇਵਾਵਾਂ ਦੀ ਸੁਰੱਖਿਆ ਦੇ ਸਿਧਾਂਤਕ ਅਤੇ ਵਿਹਾਰਕ ਪਹਿਲੂਆਂ 'ਤੇ ਯੂਰਪੀਅਨ ਆਈਟੀ ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰੋਗਰਾਮ ਹੈ। ਸਰਵਰ ਸੁਰੱਖਿਆ, ਉੱਚ ਪਰਤਾਂ ਵਿੱਚ ਸੁਰੱਖਿਆ, ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ ਅਤੇ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਪ੍ਰਮਾਣੀਕਰਨ, ਸਰਟੀਫਿਕੇਟ ਅਤੇ ਫਿਸਿੰਗ ਸਮੇਤ।
EITC/IS/WASF ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਫੰਡਾਮੈਂਟਲ ਦੇ ਪਾਠਕ੍ਰਮ ਵਿੱਚ HTML ਅਤੇ JavaScript ਵੈੱਬ ਸੁਰੱਖਿਆ ਪਹਿਲੂਆਂ, DNS, HTTP, ਕੂਕੀਜ਼, ਸੈਸ਼ਨ, ਕੂਕੀ ਅਤੇ ਸੈਸ਼ਨ ਹਮਲੇ, ਸਮਾਨ ਮੂਲ ਨੀਤੀ, ਕਰਾਸ-ਸਾਈਟ ਬੇਨਤੀ ਜਾਅਲਸਾਜ਼ੀ, ਉਸੇ ਦੇ ਅਪਵਾਦਾਂ ਦੀ ਜਾਣ-ਪਛਾਣ ਸ਼ਾਮਲ ਹੈ। ਮੂਲ ਨੀਤੀ, ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS), ਕ੍ਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ ਬਚਾਅ, ਵੈੱਬ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ, ਵੈੱਬ 'ਤੇ ਗੋਪਨੀਯਤਾ, DoS, ਫਿਸ਼ਿੰਗ ਅਤੇ ਸਾਈਡ ਚੈਨਲ, ਡਿਨਾਇਲ-ਆਫ-ਸਰਵਿਸ, ਫਿਸ਼ਿੰਗ ਅਤੇ ਸਾਈਡ ਚੈਨਲ, ਇੰਜੈਕਸ਼ਨ ਹਮਲੇ, ਕੋਡ ਇੰਜੈਕਸ਼ਨ, ਟ੍ਰਾਂਸਪੋਰਟ ਲੇਅਰ ਸੁਰੱਖਿਆ (TLS) ਅਤੇ ਹਮਲੇ, ਅਸਲ ਸੰਸਾਰ ਵਿੱਚ HTTPS, ਪ੍ਰਮਾਣਿਕਤਾ, WebAuthn, ਵੈਬ ਸੁਰੱਖਿਆ ਦਾ ਪ੍ਰਬੰਧਨ, Node.js ਪ੍ਰੋਜੈਕਟ ਵਿੱਚ ਸੁਰੱਖਿਆ ਚਿੰਤਾਵਾਂ, ਸਰਵਰ ਸੁਰੱਖਿਆ, ਸੁਰੱਖਿਅਤ ਕੋਡਿੰਗ ਅਭਿਆਸ, ਸਥਾਨਕ HTTP ਸਰਵਰ ਸੁਰੱਖਿਆ, DNS ਰੀਬਾਈਡਿੰਗ ਹਮਲੇ, ਬ੍ਰਾਊਜ਼ਰ ਹਮਲੇ, ਬ੍ਰਾਊਜ਼ਰ ਆਰਕੀਟੈਕਚਰ, ਅਤੇ ਨਾਲ ਹੀ ਸੁਰੱਖਿਅਤ ਬ੍ਰਾਊਜ਼ਰ ਕੋਡ ਲਿਖਣਾ, ਹੇਠਾਂ ਦਿੱਤੇ ਢਾਂਚੇ ਦੇ ਅੰਦਰ, ਇਸ EITC ਸਰਟੀਫਿਕੇਸ਼ਨ ਲਈ ਇੱਕ ਸੰਦਰਭ ਦੇ ਤੌਰ 'ਤੇ ਵਿਆਪਕ ਵੀਡੀਓ ਡਿਡੈਕਟਿਕ ਸਮੱਗਰੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ।
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਜਾਣਕਾਰੀ ਸੁਰੱਖਿਆ ਦਾ ਇੱਕ ਉਪ ਸਮੂਹ ਹੈ ਜੋ ਵੈੱਬਸਾਈਟ, ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ, ਅਤੇ ਵੈੱਬ ਸੇਵਾ ਸੁਰੱਖਿਆ 'ਤੇ ਕੇਂਦਰਿਤ ਹੈ। ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ, ਇਸਦੇ ਸਭ ਤੋਂ ਬੁਨਿਆਦੀ ਪੱਧਰ 'ਤੇ, ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਸਿਧਾਂਤਾਂ 'ਤੇ ਅਧਾਰਤ ਹੈ, ਪਰ ਇਹ ਉਹਨਾਂ ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਇੰਟਰਨੈਟ ਅਤੇ ਵੈਬ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਲਾਗੂ ਕਰਦੀ ਹੈ। ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਤਕਨਾਲੋਜੀਆਂ, ਜਿਵੇਂ ਕਿ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਫਾਇਰਵਾਲ, HTTP ਟ੍ਰੈਫਿਕ ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ ਵਿਸ਼ੇਸ਼ ਸਾਧਨ ਹਨ।
ਓਪਨ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸਿਕਿਓਰਿਟੀ ਪ੍ਰੋਜੈਕਟ (OWASP) ਉਹਨਾਂ ਸਰੋਤਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ ਜੋ ਮੁਫਤ ਅਤੇ ਖੁੱਲੇ ਦੋਵੇਂ ਹਨ। ਇੱਕ ਗੈਰ-ਮੁਨਾਫ਼ਾ OWASP ਫਾਊਂਡੇਸ਼ਨ ਇਸਦਾ ਇੰਚਾਰਜ ਹੈ। 2017 OWASP ਸਿਖਰ 10 40 ਤੋਂ ਵੱਧ ਭਾਈਵਾਲ ਸੰਸਥਾਵਾਂ ਤੋਂ ਇਕੱਤਰ ਕੀਤੇ ਗਏ ਵਿਆਪਕ ਡੇਟਾ ਦੇ ਅਧਾਰ ਤੇ ਮੌਜੂਦਾ ਅਧਿਐਨ ਦਾ ਨਤੀਜਾ ਹੈ। ਇਸ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ 2.3 ਤੋਂ ਵੱਧ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਲਗਭਗ 50,000 ਮਿਲੀਅਨ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਸੀ। OWASP ਸਿਖਰ 10 - 2017 ਦੇ ਅਨੁਸਾਰ, ਸਿਖਰਲੇ ਦਸ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਔਨਲਾਈਨ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਚਿੰਤਾਵਾਂ ਹਨ:
- ਇੰਜੈਕਸ਼ਨ
- ਪ੍ਰਮਾਣੀਕਰਨ ਮੁੱਦੇ
- ਐਕਸਪੋਜ਼ਡ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ XML ਬਾਹਰੀ ਇਕਾਈਆਂ (XXE)
- ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਜੋ ਕੰਮ ਨਹੀਂ ਕਰ ਰਿਹਾ ਹੈ
- ਸੁਰੱਖਿਆ ਦੀ ਗਲਤ ਸੰਰਚਨਾ
- ਸਾਈਟ-ਟੂ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS)
- ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਜੋ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਹੈ
- ਉਹਨਾਂ ਭਾਗਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਜਿਹਨਾਂ ਵਿੱਚ ਕਮੀਆਂ ਹਨ
- ਲੌਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ ਨਾਕਾਫ਼ੀ ਹਨ।
ਇਸ ਲਈ ਵੱਖ-ਵੱਖ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਦੇ ਵਿਰੁੱਧ ਵੈੱਬਸਾਈਟਾਂ ਅਤੇ ਔਨਲਾਈਨ ਸੇਵਾਵਾਂ ਦਾ ਬਚਾਅ ਕਰਨ ਦੇ ਅਭਿਆਸ ਨੂੰ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਸਮਗਰੀ ਪ੍ਰਬੰਧਨ ਪ੍ਰਣਾਲੀਆਂ (ਉਦਾਹਰਨ ਲਈ, ਵਰਡਪਰੈਸ), ਡੇਟਾਬੇਸ ਪ੍ਰਬੰਧਨ ਸਾਧਨ (ਉਦਾਹਰਨ ਲਈ, phpMyAdmin), ਅਤੇ SaaS ਐਪਸ ਔਨਲਾਈਨ ਐਪਲੀਕੇਸ਼ਨ ਹਮਲਿਆਂ ਲਈ ਸਾਰੇ ਆਮ ਨਿਸ਼ਾਨੇ ਹਨ।
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਉੱਚ-ਪ੍ਰਾਥਮਿਕਤਾ ਵਾਲੇ ਟੀਚੇ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿਉਂਕਿ:
- ਉਹਨਾਂ ਦੇ ਸਰੋਤ ਕੋਡ ਦੀ ਪੇਚੀਦਗੀ ਦੇ ਕਾਰਨ, ਅਣਜਾਣ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਖਤਰਨਾਕ ਕੋਡ ਸੋਧਾਂ ਦੀ ਸੰਭਾਵਨਾ ਵਧੇਰੇ ਹੁੰਦੀ ਹੈ।
- ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਇਨਾਮ, ਜਿਵੇਂ ਕਿ ਪ੍ਰਭਾਵੀ ਸਰੋਤ ਕੋਡ ਨਾਲ ਛੇੜਛਾੜ ਰਾਹੀਂ ਪ੍ਰਾਪਤ ਕੀਤੀ ਸੰਵੇਦਨਸ਼ੀਲ ਨਿੱਜੀ ਜਾਣਕਾਰੀ।
- ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਸੌਖ, ਕਿਉਂਕਿ ਜ਼ਿਆਦਾਤਰ ਹਮਲਿਆਂ ਨੂੰ ਆਸਾਨੀ ਨਾਲ ਸਵੈਚਲਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਅਤੇ ਇੱਕ ਵਾਰ ਵਿੱਚ ਹਜ਼ਾਰਾਂ, ਦਸਾਂ, ਜਾਂ ਇੱਥੋਂ ਤੱਕ ਕਿ ਲੱਖਾਂ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਅੰਨ੍ਹੇਵਾਹ ਤੈਨਾਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
- ਉਹ ਸੰਸਥਾਵਾਂ ਜੋ ਆਪਣੀਆਂ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਸੁਰੱਖਿਆ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੀਆਂ ਹਨ, ਹਮਲੇ ਲਈ ਕਮਜ਼ੋਰ ਹੁੰਦੀਆਂ ਹਨ। ਇਸ ਨਾਲ ਡਾਟਾ ਚੋਰੀ ਹੋ ਸਕਦਾ ਹੈ, ਗਾਹਕਾਂ ਦੇ ਸਬੰਧਾਂ ਵਿੱਚ ਤਣਾਅ, ਰੱਦ ਕੀਤੇ ਲਾਇਸੰਸ ਅਤੇ ਕਾਨੂੰਨੀ ਕਾਰਵਾਈ ਹੋ ਸਕਦੀ ਹੈ।
ਵੈੱਬਸਾਈਟਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਇਨਪੁਟ/ਆਊਟਪੁੱਟ ਸੈਨੀਟਾਈਜ਼ੇਸ਼ਨ ਖਾਮੀਆਂ ਆਮ ਹਨ, ਅਤੇ ਉਹਨਾਂ ਦਾ ਸਰੋਤ ਕੋਡ ਬਦਲਣ ਜਾਂ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਅਕਸਰ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਇਹ ਖਾਮੀਆਂ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਅਟੈਕ ਵੈਕਟਰਾਂ ਦੇ ਸ਼ੋਸ਼ਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- SQL ਇੰਜੈਕਸ਼ਨ - ਜਦੋਂ ਇੱਕ ਅਪਰਾਧੀ ਖਤਰਨਾਕ SQL ਕੋਡ ਨਾਲ ਇੱਕ ਬੈਕਐਂਡ ਡੇਟਾਬੇਸ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਦਾ ਹੈ, ਤਾਂ ਜਾਣਕਾਰੀ ਪ੍ਰਗਟ ਹੁੰਦੀ ਹੈ। ਗੈਰ-ਕਾਨੂੰਨੀ ਸੂਚੀ ਬ੍ਰਾਊਜ਼ਿੰਗ, ਸਾਰਣੀ ਨੂੰ ਮਿਟਾਉਣਾ, ਅਤੇ ਅਣਅਧਿਕਾਰਤ ਪ੍ਰਸ਼ਾਸਕ ਪਹੁੰਚ ਨਤੀਜਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਹਨ।
- XSS (ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ) ਇੱਕ ਇੰਜੈਕਸ਼ਨ ਹਮਲਾ ਹੈ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਖਾਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ, ਟ੍ਰੋਜਨ ਨੂੰ ਸਰਗਰਮ ਕਰਨ, ਜਾਂ ਪੰਨਾ ਸਮੱਗਰੀ ਨੂੰ ਬਦਲਣ ਲਈ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਜਦੋਂ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਕਿਸੇ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਸਿੱਧਾ ਟੀਕਾ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਸਨੂੰ ਸਟੋਰ ਕੀਤੇ XSS ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਜਦੋਂ ਕਿਸੇ ਉਪਯੋਗਕਰਤਾ ਦੇ ਬ੍ਰਾਊਜ਼ਰ 'ਤੇ ਕਿਸੇ ਐਪਲੀਕੇਸ਼ਨ ਤੋਂ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟ ਨੂੰ ਪ੍ਰਤੀਬਿੰਬਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਸ ਨੂੰ ਪ੍ਰਤੀਬਿੰਬਿਤ XSS ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
- ਡਿਸਟੈਂਟ ਫਾਈਲ ਇਨਕਲੂਸ਼ਨ - ਹਮਲੇ ਦਾ ਇਹ ਰੂਪ ਇੱਕ ਹੈਕਰ ਨੂੰ ਇੱਕ ਰਿਮੋਟ ਟਿਕਾਣੇ ਤੋਂ ਇੱਕ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਸਰਵਰ ਵਿੱਚ ਇੱਕ ਫਾਈਲ ਇੰਜੈਕਟ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇਸ ਨਾਲ ਐਪ ਦੇ ਅੰਦਰ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਜਾਂ ਕੋਡ ਨੂੰ ਲਾਗੂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਨਾਲ ਹੀ ਡਾਟਾ ਚੋਰੀ ਜਾਂ ਸੋਧ ਵੀ ਹੋ ਸਕਦੀ ਹੈ।
- ਕਰਾਸ-ਸਾਈਟ ਬੇਨਤੀ ਜਾਅਲਸਾਜ਼ੀ (CSRF) - ਇੱਕ ਕਿਸਮ ਦਾ ਹਮਲਾ ਜਿਸ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਨਕਦੀ, ਪਾਸਵਰਡ ਤਬਦੀਲੀਆਂ, ਜਾਂ ਡੇਟਾ ਚੋਰੀ ਦਾ ਅਣਇੱਛਤ ਤਬਾਦਲਾ ਹੋ ਸਕਦਾ ਹੈ। ਇਹ ਉਦੋਂ ਵਾਪਰਦਾ ਹੈ ਜਦੋਂ ਇੱਕ ਖਤਰਨਾਕ ਵੈਬ ਪ੍ਰੋਗਰਾਮ ਇੱਕ ਉਪਭੋਗਤਾ ਦੇ ਬ੍ਰਾਉਜ਼ਰ ਨੂੰ ਇੱਕ ਅਜਿਹੀ ਵੈਬਸਾਈਟ 'ਤੇ ਅਣਚਾਹੀ ਕਾਰਵਾਈ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਉਹ ਲੌਗਇਨ ਕੀਤੇ ਹੋਏ ਹਨ।
ਸਿਧਾਂਤਕ ਤੌਰ 'ਤੇ, ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਇਨਪੁਟ/ਆਊਟਪੁੱਟ ਸੈਨੀਟਾਈਜ਼ੇਸ਼ਨ ਸਾਰੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਖਤਮ ਕਰ ਸਕਦੀ ਹੈ, ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਅਣਅਧਿਕਾਰਤ ਸੋਧ ਲਈ ਅਭੇਦ ਬਣਾ ਸਕਦੀ ਹੈ।
ਹਾਲਾਂਕਿ, ਕਿਉਂਕਿ ਜ਼ਿਆਦਾਤਰ ਪ੍ਰੋਗਰਾਮ ਵਿਕਾਸ ਦੀ ਇੱਕ ਸਦੀਵੀ ਸਥਿਤੀ ਵਿੱਚ ਹੁੰਦੇ ਹਨ, ਵਿਆਪਕ ਰੋਗਾਣੂ-ਮੁਕਤ ਕਰਨਾ ਘੱਟ ਹੀ ਇੱਕ ਵਿਹਾਰਕ ਵਿਕਲਪ ਹੁੰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਐਪਸ ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਦੂਜੇ ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਹੁੰਦੇ ਹਨ, ਨਤੀਜੇ ਵਜੋਂ ਇੱਕ ਕੋਡਡ ਵਾਤਾਵਰਣ ਹੁੰਦਾ ਹੈ ਜੋ ਤੇਜ਼ੀ ਨਾਲ ਗੁੰਝਲਦਾਰ ਹੁੰਦਾ ਜਾ ਰਿਹਾ ਹੈ।
ਅਜਿਹੇ ਖ਼ਤਰਿਆਂ ਤੋਂ ਬਚਣ ਲਈ, ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਹੱਲ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਜਿਵੇਂ ਕਿ PCI ਡਾਟਾ ਸੁਰੱਖਿਆ ਸਟੈਂਡਰਡ (PCI DSS) ਪ੍ਰਮਾਣੀਕਰਣ, ਨੂੰ ਲਾਗੂ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਫਾਇਰਵਾਲ (WAF)
WAFs (ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਫਾਇਰਵਾਲ) ਹਾਰਡਵੇਅਰ ਅਤੇ ਸਾਫਟਵੇਅਰ ਹੱਲ ਹਨ ਜੋ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਤੋਂ ਬਚਾਉਂਦੇ ਹਨ। ਇਹ ਹੱਲ ਆਉਣ ਵਾਲੇ ਟ੍ਰੈਫਿਕ ਦਾ ਮੁਆਇਨਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ ਤਾਂ ਜੋ ਹਮਲੇ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਖੋਜਿਆ ਜਾ ਸਕੇ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਰੋਕਿਆ ਜਾ ਸਕੇ, ਕਿਸੇ ਵੀ ਕੋਡ ਸੈਨੀਟਾਈਜ਼ੇਸ਼ਨ ਖਾਮੀਆਂ ਲਈ ਮੁਆਵਜ਼ਾ ਦਿੱਤਾ ਜਾ ਸਕੇ।
WAF ਤੈਨਾਤੀ PCI DSS ਪ੍ਰਮਾਣੀਕਰਣ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਮਾਪਦੰਡ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦੀ ਹੈ ਚੋਰੀ ਅਤੇ ਸੋਧ ਦੇ ਵਿਰੁੱਧ ਡੇਟਾ ਦੀ ਰੱਖਿਆ ਕਰਕੇ। ਲੋੜ 6.6 ਦੇ ਅਨੁਸਾਰ, ਡੇਟਾਬੇਸ ਵਿੱਚ ਰੱਖੇ ਸਾਰੇ ਕ੍ਰੈਡਿਟ ਅਤੇ ਡੈਬਿਟ ਕਾਰਡ ਧਾਰਕ ਡੇਟਾ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਕਿਉਂਕਿ ਇਸਨੂੰ ਨੈੱਟਵਰਕ ਦੇ ਕਿਨਾਰੇ 'ਤੇ ਇਸ ਦੇ DMZ ਤੋਂ ਅੱਗੇ ਰੱਖਿਆ ਗਿਆ ਹੈ, ਇੱਕ WAF ਸਥਾਪਤ ਕਰਨ ਲਈ ਆਮ ਤੌਰ 'ਤੇ ਕਿਸੇ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਕਿਸੇ ਬਦਲਾਅ ਦੀ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ ਹੈ। ਇਹ ਫਿਰ ਸਾਰੇ ਆਉਣ ਵਾਲੇ ਟ੍ਰੈਫਿਕ ਲਈ ਇੱਕ ਗੇਟਵੇ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਕਿਸੇ ਐਪਲੀਕੇਸ਼ਨ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਖਤਰਨਾਕ ਬੇਨਤੀਆਂ ਨੂੰ ਫਿਲਟਰ ਕਰਦਾ ਹੈ।
ਇਹ ਮੁਲਾਂਕਣ ਕਰਨ ਲਈ ਕਿ ਕਿਸ ਟ੍ਰੈਫਿਕ ਨੂੰ ਕਿਸੇ ਐਪਲੀਕੇਸ਼ਨ ਤੱਕ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਹੈ ਅਤੇ ਕਿਸ ਨੂੰ ਖਤਮ ਕਰਨਾ ਹੈ, WAFs ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਹਿਉਰਿਸਟਿਕਸ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੇ ਹਨ। ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਅੱਪਡੇਟ ਕੀਤੇ ਦਸਤਖਤ ਪੂਲ ਦੇ ਕਾਰਨ ਉਹ ਖਤਰਨਾਕ ਅਦਾਕਾਰਾਂ ਅਤੇ ਜਾਣੇ-ਪਛਾਣੇ ਅਟੈਕ ਵੈਕਟਰਾਂ ਦੀ ਤੇਜ਼ੀ ਨਾਲ ਪਛਾਣ ਕਰ ਸਕਦੇ ਹਨ।
ਲਗਭਗ ਸਾਰੇ WAFs ਵਿਅਕਤੀਗਤ ਵਰਤੋਂ ਦੇ ਕੇਸਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਨਿਯਮਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਉਭਰ ਰਹੇ (ਜ਼ੀਰੋ-ਡੇਅ ਵਜੋਂ ਵੀ ਜਾਣੇ ਜਾਂਦੇ) ਖਤਰਿਆਂ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ। ਅੰਤ ਵਿੱਚ, ਆਉਣ ਵਾਲੇ ਵਿਜ਼ਟਰਾਂ ਵਿੱਚ ਵਾਧੂ ਸਮਝ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ, ਜ਼ਿਆਦਾਤਰ ਆਧੁਨਿਕ ਹੱਲ ਪ੍ਰਤਿਸ਼ਠਾਤਮਕ ਅਤੇ ਵਿਵਹਾਰ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।
ਇੱਕ ਸੁਰੱਖਿਆ ਘੇਰਾ ਬਣਾਉਣ ਲਈ, WAFs ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਵਾਧੂ ਸੁਰੱਖਿਆ ਹੱਲਾਂ ਨਾਲ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ ਡਿਸਟਰੀਬਿਊਟਿਡ ਡਿਨਾਇਲ-ਆਫ-ਸਰਵਿਸ (DDoS) ਰੋਕਥਾਮ ਸੇਵਾਵਾਂ ਸ਼ਾਮਲ ਹੋ ਸਕਦੀਆਂ ਹਨ, ਜੋ ਉੱਚ-ਆਵਾਜ਼ ਦੇ ਹਮਲਿਆਂ ਨੂੰ ਰੋਕਣ ਲਈ ਲੋੜੀਂਦੀ ਵਾਧੂ ਮਾਪਯੋਗਤਾ ਦਿੰਦੀਆਂ ਹਨ।
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਲਈ ਚੈੱਕਲਿਸਟ
WAFs ਤੋਂ ਇਲਾਵਾ ਵੈੱਬ ਐਪਸ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਤਰੀਕੇ ਹਨ। ਕਿਸੇ ਵੀ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਚੈਕਲਿਸਟ ਵਿੱਚ ਹੇਠ ਲਿਖੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਸ਼ਾਮਲ ਹੋਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ:
- ਡਾਟਾ ਇਕੱਠਾ ਕਰਨਾ — ਐਂਟਰੀ ਪੁਆਇੰਟਾਂ ਅਤੇ ਕਲਾਇੰਟ-ਸਾਈਡ ਕੋਡਾਂ ਦੀ ਭਾਲ ਕਰਦੇ ਹੋਏ, ਹੱਥ ਨਾਲ ਐਪਲੀਕੇਸ਼ਨ 'ਤੇ ਜਾਓ। ਕਿਸੇ ਤੀਜੀ ਧਿਰ ਦੁਆਰਾ ਹੋਸਟ ਕੀਤੀ ਗਈ ਸਮੱਗਰੀ ਦਾ ਵਰਗੀਕਰਨ ਕਰੋ।
- ਅਥਾਰਾਈਜ਼ੇਸ਼ਨ - ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਜਾਂਚ ਕਰਦੇ ਸਮੇਂ ਪਾਥ ਟ੍ਰਾਵਰਸਲ, ਵਰਟੀਕਲ ਅਤੇ ਹਰੀਜੱਟਲ ਐਕਸੈਸ ਕੰਟਰੋਲ ਮੁੱਦਿਆਂ, ਗੁੰਮ ਅਧਿਕਾਰ, ਅਤੇ ਅਸੁਰੱਖਿਅਤ, ਸਿੱਧੇ ਆਬਜੈਕਟ ਹਵਾਲਿਆਂ ਦੀ ਭਾਲ ਕਰੋ।
- ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ ਦੇ ਨਾਲ ਸਾਰੇ ਡੇਟਾ ਟ੍ਰਾਂਸਮਿਸ਼ਨ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰੋ। ਕੀ ਕੋਈ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਐਨਕ੍ਰਿਪਟ ਕੀਤੀ ਗਈ ਹੈ? ਕੀ ਤੁਸੀਂ ਕੋਈ ਐਲਗੋਰਿਦਮ ਲਗਾਇਆ ਹੈ ਜੋ ਸੁੰਘਣ ਲਈ ਤਿਆਰ ਨਹੀਂ ਹਨ? ਕੀ ਇੱਥੇ ਕੋਈ ਬੇਤਰਤੀਬੇ ਗਲਤੀਆਂ ਹਨ?
- ਸੇਵਾ ਤੋਂ ਇਨਕਾਰ — ਸੇਵਾ ਹਮਲਿਆਂ ਤੋਂ ਇਨਕਾਰ ਕਰਨ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਲਚਕਤਾ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਲਈ ਐਂਟੀ-ਆਟੋਮੇਸ਼ਨ, ਖਾਤਾ ਲਾਕਆਉਟ, HTTP ਪ੍ਰੋਟੋਕੋਲ DoS, ਅਤੇ SQL ਵਾਈਲਡਕਾਰਡ DoS ਲਈ ਟੈਸਟ ਕਰੋ। ਇਸ ਵਿੱਚ ਉੱਚ-ਵਾਲੀਅਮ DoS ਅਤੇ DDoS ਹਮਲਿਆਂ ਦੇ ਵਿਰੁੱਧ ਸੁਰੱਖਿਆ ਸ਼ਾਮਲ ਨਹੀਂ ਹੈ, ਜਿਸਦਾ ਵਿਰੋਧ ਕਰਨ ਲਈ ਫਿਲਟਰਿੰਗ ਤਕਨਾਲੋਜੀਆਂ ਅਤੇ ਸਕੇਲੇਬਲ ਸਰੋਤਾਂ ਦੇ ਮਿਸ਼ਰਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
ਹੋਰ ਵੇਰਵਿਆਂ ਲਈ, ਕੋਈ ਵੀ OWASP ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਟੈਸਟਿੰਗ ਚੀਟ ਸ਼ੀਟ ਦੀ ਜਾਂਚ ਕਰ ਸਕਦਾ ਹੈ (ਇਹ ਹੋਰ ਸੁਰੱਖਿਆ-ਸਬੰਧਤ ਵਿਸ਼ਿਆਂ ਲਈ ਵੀ ਇੱਕ ਵਧੀਆ ਸਰੋਤ ਹੈ)।
DDoS ਸੁਰੱਖਿਆ
DDoS ਹਮਲੇ, ਜਾਂ ਡਿਸਟਰੀਬਿਊਟਿਡ ਡਿਨਾਇਲ-ਆਫ-ਸਰਵਿਸ ਹਮਲੇ, ਇੱਕ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਵਿਘਨ ਪਾਉਣ ਦਾ ਇੱਕ ਆਮ ਤਰੀਕਾ ਹੈ। DDoS ਹਮਲਿਆਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਬਹੁਤ ਸਾਰੇ ਤਰੀਕੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਕੰਟੈਂਟ ਡਿਲੀਵਰੀ ਨੈੱਟਵਰਕ (CDNs) 'ਤੇ ਵੌਲਯੂਮੇਟ੍ਰਿਕ ਅਟੈਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੱਦ ਕਰਨਾ ਅਤੇ ਸੇਵਾ ਵਿੱਚ ਰੁਕਾਵਟ ਪੈਦਾ ਕੀਤੇ ਬਿਨਾਂ ਸਹੀ ਬੇਨਤੀਆਂ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਰੂਟ ਕਰਨ ਲਈ ਬਾਹਰੀ ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।
DNSSEC (ਡੋਮੇਨ ਨਾਮ ਸਿਸਟਮ ਸੁਰੱਖਿਆ ਐਕਸਟੈਂਸ਼ਨ) ਸੁਰੱਖਿਆ
ਡੋਮੇਨ ਨਾਮ ਸਿਸਟਮ, ਜਾਂ DNS, ਇੰਟਰਨੈਟ ਦੀ ਫ਼ੋਨਬੁੱਕ ਹੈ, ਅਤੇ ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕਿਵੇਂ ਇੱਕ ਇੰਟਰਨੈਟ ਟੂਲ, ਜਿਵੇਂ ਕਿ ਇੱਕ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ, ਸੰਬੰਧਿਤ ਸਰਵਰ ਨੂੰ ਲੱਭਦਾ ਹੈ। DNS ਕੈਸ਼ ਜ਼ਹਿਰ, ਆਨ-ਪਾਥ ਹਮਲੇ, ਅਤੇ DNS ਖੋਜ ਜੀਵਨ ਚੱਕਰ ਵਿੱਚ ਦਖਲ ਦੇਣ ਦੇ ਹੋਰ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਇਸ DNS ਬੇਨਤੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਲਈ ਬੁਰੇ ਕਲਾਕਾਰਾਂ ਦੁਆਰਾ ਕੀਤੀ ਜਾਵੇਗੀ। ਜੇਕਰ DNS ਇੰਟਰਨੈੱਟ ਦੀ ਫ਼ੋਨ ਬੁੱਕ ਹੈ, ਤਾਂ DNSSEC ਅਨਸਪੂਫ਼ੇਬਲ ਕਾਲਰ ID ਹੈ। ਇੱਕ DNS ਖੋਜ ਬੇਨਤੀ ਨੂੰ DNSSEC ਤਕਨਾਲੋਜੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਪ੍ਰਮਾਣੀਕਰਣ ਪਾਠਕ੍ਰਮ ਨਾਲ ਆਪਣੇ ਆਪ ਨੂੰ ਵਿਸਥਾਰ ਵਿੱਚ ਜਾਣੂ ਕਰਵਾਉਣ ਲਈ ਤੁਸੀਂ ਹੇਠਾਂ ਦਿੱਤੀ ਸਾਰਣੀ ਦਾ ਵਿਸਤਾਰ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰ ਸਕਦੇ ਹੋ।
EITC/IS/WASF ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸਕਿਓਰਿਟੀ ਫੰਡਾਮੈਂਟਲ ਸਰਟੀਫਿਕੇਸ਼ਨ ਪਾਠਕ੍ਰਮ ਇੱਕ ਵੀਡੀਓ ਰੂਪ ਵਿੱਚ ਓਪਨ-ਐਕਸੈਸ ਡਿਡੈਕਟਿਕ ਸਮੱਗਰੀ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹੈ। ਸਿੱਖਣ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਇੱਕ ਕਦਮ-ਦਰ-ਕਦਮ ਢਾਂਚੇ (ਪ੍ਰੋਗਰਾਮ -> ਪਾਠ -> ਵਿਸ਼ੇ) ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਹੈ ਜੋ ਪਾਠਕ੍ਰਮ ਦੇ ਸੰਬੰਧਿਤ ਹਿੱਸਿਆਂ ਨੂੰ ਕਵਰ ਕਰਦਾ ਹੈ। ਡੋਮੇਨ ਮਾਹਰਾਂ ਨਾਲ ਅਸੀਮਤ ਸਲਾਹ ਵੀ ਪ੍ਰਦਾਨ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਸਰਟੀਫਿਕੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦੇ ਵੇਰਵਿਆਂ ਲਈ ਜਾਂਚ ਕਰੋ ਕਿਦਾ ਚਲਦਾ.
EITC/IS/WASF ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸਕਿਓਰਿਟੀ ਫੰਡਾਮੈਂਟਲ ਪ੍ਰੋਗਰਾਮ ਲਈ ਪੂਰੀ ਔਫਲਾਈਨ ਸਵੈ-ਸਿੱਖਣ ਦੀ ਤਿਆਰੀ ਸਮੱਗਰੀ ਨੂੰ ਇੱਕ PDF ਫਾਈਲ ਵਿੱਚ ਡਾਊਨਲੋਡ ਕਰੋ
EITC/IS/WASF ਤਿਆਰੀ ਸਮੱਗਰੀ - ਮਿਆਰੀ ਸੰਸਕਰਣ
EITC/IS/WASF ਤਿਆਰੀ ਸਮੱਗਰੀ - ਸਮੀਖਿਆ ਪ੍ਰਸ਼ਨਾਂ ਦੇ ਨਾਲ ਵਿਸਤ੍ਰਿਤ ਸੰਸਕਰਣ