EITC/IS/WASF Web Applications Security Fundamentals ایک یورپی IT سرٹیفیکیشن پروگرام ہے جس میں ورلڈ وائڈ ویب سروسز کی سیکورٹی کے نظریاتی اور عملی پہلوؤں پر بنیادی ویب پروٹوکول کی سیکورٹی سے لے کر رازداری، خطرات اور ویب ٹریفک نیٹ ورک کمیونیکیشن کی مختلف پرتوں پر حملوں کے ذریعے شامل ہیں۔ سرورز کی حفاظت، اعلیٰ تہوں میں سیکیورٹی، بشمول ویب براؤزرز اور ویب ایپلیکیشنز، نیز تصدیق، سرٹیفکیٹ اور فزنگ۔
EITC/IS/WASF ویب ایپلیکیشنز سیکیورٹی کے بنیادی اصولوں کا نصاب ایچ ٹی ایم ایل اور جاوا اسکرپٹ ویب سیکیورٹی کے پہلوؤں، DNS، HTTP، کوکیز، سیشنز، کوکیز اور سیشن حملوں، ایک ہی اصل کی پالیسی، کراس سائٹ کی درخواست کی جعلسازی، اسی کے استثناء کا احاطہ کرتا ہے۔ اصل پالیسی، کراس سائٹ اسکرپٹنگ (XSS)، کراس سائٹ اسکرپٹنگ دفاع، ویب فنگر پرنٹنگ، ویب پر رازداری، DoS، فشنگ اور سائیڈ چینلز، ڈینیئل آف سروس، فشنگ اور سائیڈ چینلز، انجیکشن حملے، کوڈ انجیکشن، ٹرانسپورٹ پرت سیکیورٹی (TLS) اور حملے، حقیقی دنیا میں HTTPS، تصدیق، WebAuthn، ویب سیکیورٹی کا انتظام، Node.js پروجیکٹ میں سیکیورٹی خدشات، سرور سیکیورٹی، محفوظ کوڈنگ کے طریقے، مقامی HTTP سرور سیکیورٹی، DNS ری بائنڈنگ حملے، براؤزر حملے، براؤزر اس EITC سرٹیفیکیشن کے حوالے کے طور پر جامع ویڈیو ڈیڈیکٹک مواد کو شامل کرتے ہوئے، مندرجہ ذیل ڈھانچے میں محفوظ براؤزر کوڈ لکھنے کے ساتھ ساتھ فن تعمیر۔
ویب ایپلیکیشن سیکیورٹی انفارمیشن سیکیورٹی کا ایک ذیلی سیٹ ہے جو ویب سائٹ، ویب ایپلیکیشن، اور ویب سروس سیکیورٹی پر مرکوز ہے۔ ویب ایپلیکیشن سیکیورٹی، اپنی سب سے بنیادی سطح پر، ایپلی کیشن سیکیورٹی کے اصولوں پر مبنی ہے، لیکن یہ ان کا اطلاق خاص طور پر انٹرنیٹ اور ویب پلیٹ فارمز پر ہوتا ہے۔ ویب ایپلیکیشن سیکیورٹی ٹیکنالوجیز، جیسے ویب ایپلیکیشن فائر والز، HTTP ٹریفک کے ساتھ کام کرنے کے لیے خصوصی ٹولز ہیں۔
اوپن ویب ایپلیکیشن سیکیورٹی پروجیکٹ (OWASP) ایسے وسائل پیش کرتا ہے جو مفت اور کھلے دونوں طرح کے ہیں۔ ایک غیر منافع بخش OWASP فاؤنڈیشن اس کا انچارج ہے۔ 2017 OWASP ٹاپ 10 40 سے زیادہ پارٹنر تنظیموں سے جمع کیے گئے وسیع ڈیٹا پر مبنی موجودہ مطالعہ کا نتیجہ ہے۔ اس ڈیٹا کا استعمال کرتے ہوئے 2.3 سے زیادہ ایپلی کیشنز میں تقریباً 50,000 ملین کمزوریوں کا پتہ چلا۔ OWASP ٹاپ 10 - 2017 کے مطابق، سب سے اہم آن لائن ایپلیکیشن سیکیورٹی خدشات یہ ہیں:
- انجکشن
- تصدیق کے مسائل
- بے نقاب حساس ڈیٹا XML بیرونی اداروں (XXE)
- رسائی کنٹرول جو کام نہیں کر رہا ہے۔
- سیکیورٹی کی غلط ترتیب
- سائٹ سے سائٹ اسکرپٹنگ (XSS)
- ڈی سیریلائزیشن جو محفوظ نہیں ہے۔
- ایسے اجزاء کا استعمال کرنا جن میں خامیاں معلوم ہوں۔
- لاگنگ اور نگرانی ناکافی ہے۔
اس لیے ویب سائٹس اور آن لائن خدمات کو مختلف حفاظتی خطرات کے خلاف دفاع کرنے کی مشق جو کسی ایپلیکیشن کے کوڈ میں کمزوریوں کا فائدہ اٹھاتی ہے اسے ویب ایپلیکیشن سیکیورٹی کہا جاتا ہے۔ مواد کے انتظام کے نظام (مثال کے طور پر، ورڈپریس)، ڈیٹا بیس ایڈمنسٹریشن ٹولز (مثال کے طور پر، phpMyAdmin)، اور SaaS ایپس آن لائن ایپلیکیشن حملوں کے لیے عام اہداف ہیں۔
ویب ایپلیکیشنز کو مجرموں کی طرف سے اعلی ترجیحی اہداف سمجھا جاتا ہے کیونکہ:
- ان کے سورس کوڈ کی پیچیدگی کی وجہ سے، غیر توجہ شدہ خطرات اور کوڈ میں بدنیتی پر مبنی ترمیم کا زیادہ امکان ہے۔
- اعلیٰ قیمت والے انعامات، جیسے مؤثر ذریعہ کوڈ چھیڑ چھاڑ کے ذریعے حاصل کردہ حساس ذاتی معلومات۔
- عملدرآمد میں آسانی، کیونکہ زیادہ تر حملوں کو آسانی سے خودکار کیا جا سکتا ہے اور ہزاروں، دسیوں، یا یہاں تک کہ سیکڑوں ہزاروں اہداف کے خلاف ایک ساتھ اندھا دھند تعینات کیا جا سکتا ہے۔
- وہ تنظیمیں جو اپنی ویب ایپلیکیشنز کی حفاظت کرنے میں ناکام رہتی ہیں ان پر حملے کا خطرہ ہوتا ہے۔ یہ دیگر چیزوں کے علاوہ ڈیٹا کی چوری، کلائنٹ کے کشیدہ تعلقات، منسوخ شدہ لائسنس اور قانونی کارروائی کا باعث بن سکتا ہے۔
ویب سائٹس میں کمزوریاں
ویب ایپلیکیشنز میں ان پٹ/آؤٹ پٹ سینیٹائزیشن کی خامیاں عام ہیں، اور ان کا اکثر یا تو سورس کوڈ تبدیل کرنے یا غیر مجاز رسائی حاصل کرنے کے لیے استحصال کیا جاتا ہے۔
یہ خامیاں مختلف قسم کے اٹیک ویکٹرز کے استحصال کی اجازت دیتی ہیں، بشمول:
- ایس کیو ایل انجیکشن - جب کوئی مجرم نقصان دہ ایس کیو ایل کوڈ کے ساتھ بیک اینڈ ڈیٹا بیس میں ہیرا پھیری کرتا ہے تو معلومات سامنے آتی ہیں۔ غیر قانونی فہرست براؤزنگ، ٹیبل کو حذف کرنا، اور غیر مجاز منتظم تک رسائی اس کے نتائج میں شامل ہیں۔
- XSS (کراس سائٹ اسکرپٹنگ) ایک انجیکشن حملہ ہے جو صارفین کو اکاؤنٹس تک رسائی حاصل کرنے، ٹروجن کو فعال کرنے، یا صفحہ کے مواد کو تبدیل کرنے کے لیے نشانہ بناتا ہے۔ جب بدنیتی پر مبنی کوڈ براہ راست کسی ایپلیکیشن میں داخل کیا جاتا ہے، تو اسے اسٹورڈ XSS کہا جاتا ہے۔ جب نقصان دہ اسکرپٹ کو کسی ایپلیکیشن سے صارف کے براؤزر پر منعکس کیا جاتا ہے، تو اسے منعکس شدہ XSS کہا جاتا ہے۔
- ڈسٹنٹ فائل انکلوژن - حملے کی یہ شکل ہیکر کو ایک فائل کو دور دراز کے مقام سے ویب ایپلیکیشن سرور میں انجیکشن کرنے کی اجازت دیتی ہے۔ یہ ایپ کے اندر خطرناک اسکرپٹس یا کوڈ کے ساتھ ساتھ ڈیٹا کی چوری یا ترمیم کا باعث بن سکتا ہے۔
- کراس سائٹ ریکوسٹ فورجری (CSRF) - ایک قسم کا حملہ جس کے نتیجے میں نقدی کی غیر ارادی منتقلی، پاس ورڈ کی تبدیلی، یا ڈیٹا کی چوری ہو سکتی ہے۔ یہ اس وقت ہوتا ہے جب ایک بدنیتی پر مبنی ویب پروگرام صارف کے براؤزر کو کسی ایسی ویب سائٹ پر ناپسندیدہ کارروائی کرنے کی ہدایت کرتا ہے جس میں وہ لاگ ان ہیں۔
اصولی طور پر، مؤثر ان پٹ/آؤٹ پٹ سینیٹائزیشن تمام کمزوریوں کو ختم کر سکتی ہے، جس سے کسی ایپلیکیشن کو غیر مجاز ترمیم سے متاثر کیا جا سکتا ہے۔
تاہم، چونکہ زیادہ تر پروگرام ترقی کی مستقل حالت میں ہیں، اس لیے جامع صفائی شاذ و نادر ہی ایک قابل عمل آپشن ہے۔ مزید برآں، ایپس عام طور پر ایک دوسرے کے ساتھ مربوط ہوتی ہیں، جس کے نتیجے میں ایک کوڈڈ ماحول ہوتا ہے جو تیزی سے پیچیدہ ہوتا جا رہا ہے۔
اس طرح کے خطرات سے بچنے کے لیے، ویب ایپلیکیشن سیکیورٹی سلوشنز اور پروسیسز، جیسے PCI ڈیٹا سیکیورٹی سٹینڈرڈ (PCI DSS) سرٹیفیکیشن کو لاگو کیا جانا چاہیے۔
ویب ایپلیکیشنز کے لیے فائر وال (WAF)
WAFs (ویب ایپلیکیشن فائر والز) ہارڈ ویئر اور سافٹ ویئر کے حل ہیں جو ایپلی کیشنز کو حفاظتی خطرات سے بچاتے ہیں۔ یہ حل آنے والے ٹریفک کا معائنہ کرنے کے لیے بنائے گئے ہیں تاکہ حملے کی کوششوں کا پتہ لگایا جا سکے اور ان کو روکا جا سکے، کوڈ کی صفائی کی خامیوں کی تلافی کی جا سکے۔
WAF کی تعیناتی PCI DSS سرٹیفیکیشن کے لیے ڈیٹا کو چوری اور ترمیم کے خلاف تحفظ فراہم کرتے ہوئے ایک اہم معیار کو پورا کرتی ہے۔ ضرورت 6.6 کے مطابق، ڈیٹا بیس میں رکھے گئے تمام کریڈٹ اور ڈیبٹ کارڈ ہولڈر کے ڈیٹا کو محفوظ کیا جانا چاہیے۔
چونکہ اسے نیٹ ورک کے کنارے پر اپنے DMZ سے آگے رکھا جاتا ہے، اس لیے WAF قائم کرنے کے لیے عام طور پر کسی ایپلیکیشن میں کسی تبدیلی کی ضرورت نہیں ہوتی ہے۔ اس کے بعد یہ تمام آنے والی ٹریفک کے لیے گیٹ وے کا کام کرتا ہے، خطرناک درخواستوں کو فلٹر کرنے سے پہلے وہ کسی ایپلیکیشن کے ساتھ بات چیت کر سکتے ہیں۔
اس بات کا اندازہ لگانے کے لیے کہ کس ٹریفک کو کسی ایپلیکیشن تک رسائی کی اجازت ہے اور کس کو ختم کرنا ہے، WAFs مختلف قسم کے ہیورسٹکس کا استعمال کرتے ہیں۔ باقاعدگی سے اپ ڈیٹ کیے گئے دستخطی پول کی بدولت وہ بدنیتی پر مبنی اداکاروں اور معروف اٹیک ویکٹرز کی تیزی سے شناخت کر سکتے ہیں۔
تقریباً تمام WAFs انفرادی استعمال کے معاملات اور حفاظتی ضوابط کے ساتھ ساتھ ابھرتے ہوئے (جنہیں صفر دن کے نام سے بھی جانا جاتا ہے) خطرات سے نمٹنے کے لیے تیار کیا جا سکتا ہے۔ آخر میں، آنے والے مہمانوں کے بارے میں اضافی بصیرت حاصل کرنے کے لیے، زیادہ تر جدید حل شہرت اور برتاؤ کے ڈیٹا کا استعمال کرتے ہیں۔
حفاظتی دائرہ بنانے کے لیے، WAFs کو عام طور پر اضافی حفاظتی حل کے ساتھ ملایا جاتا ہے۔ ان میں ڈسٹری بیوٹڈ ڈینیئل آف سروس (DDoS) کی روک تھام کی خدمات شامل ہو سکتی ہیں، جو زیادہ مقدار کے حملوں کو روکنے کے لیے درکار اضافی اسکیل ایبلٹی فراہم کرتی ہیں۔
ویب ایپلیکیشن سیکیورٹی کے لیے چیک لسٹ
WAFs کے علاوہ ویب ایپس کی حفاظت کے لیے مختلف طریقے ہیں۔ کسی بھی ویب ایپلیکیشن سیکیورٹی چیک لسٹ میں درج ذیل طریقہ کار کو شامل کرنا چاہیے:
- ڈیٹا اکٹھا کرنا — درخواست کو ہاتھ سے دیکھیں، انٹری پوائنٹس اور کلائنٹ سائیڈ کوڈز تلاش کریں۔ ایسے مواد کی درجہ بندی کریں جس کی میزبانی کسی فریق ثالث نے کی ہو۔
- اجازت - درخواست کی جانچ کرتے وقت راستے سے گزرنے والے راستے، عمودی اور افقی رسائی کنٹرول کے مسائل، گمشدہ اجازت، اور غیر محفوظ، براہ راست آبجیکٹ کے حوالہ جات تلاش کریں۔
- خفیہ نگاری کے ساتھ تمام ڈیٹا کی ترسیل کو محفوظ بنائیں۔ کیا کوئی حساس معلومات کو خفیہ کیا گیا ہے؟ کیا آپ نے کوئی الگورتھم استعمال کیا ہے جو سنف کے قابل نہیں ہے؟ کیا کوئی بے ترتیب غلطیاں ہیں؟
- سروس سے انکار — سروس حملوں سے انکار کے خلاف ایپلی کیشن کی لچک کو بہتر بنانے کے لیے اینٹی آٹومیشن، اکاؤنٹ لاک آؤٹ، HTTP پروٹوکول DoS، اور SQL وائلڈ کارڈ DoS کے لیے ٹیسٹ کریں۔ اس میں اعلیٰ حجم کے DoS اور DDoS حملوں کے خلاف سیکیورٹی شامل نہیں ہے، جس میں مزاحمت کرنے کے لیے فلٹرنگ ٹیکنالوجیز اور توسیع پذیر وسائل کی ضرورت ہوتی ہے۔
مزید تفصیلات کے لیے، کوئی OWASP ویب ایپلیکیشن سیکیورٹی ٹیسٹنگ چیٹ شیٹ کو دیکھ سکتا ہے (یہ سیکیورٹی سے متعلق دیگر موضوعات کے لیے بھی ایک بہترین ذریعہ ہے)۔
DDoS تحفظ
DDoS حملے، یا تقسیم شدہ انکار-آف-سروس حملے، ویب ایپلیکیشن میں خلل ڈالنے کا ایک عام طریقہ ہے۔ DDoS حملوں کو کم کرنے کے لیے بہت سے طریقے ہیں، بشمول Content Delivery Networks (CDNs) پر والیومیٹرک اٹیک ٹریفک کو ترک کرنا اور سروس میں رکاوٹ پیدا کیے بغیر حقیقی درخواستوں کو مناسب طریقے سے روٹ کرنے کے لیے بیرونی نیٹ ورکس کو ملازمت دینا۔
DNSSEC (ڈومین نیم سسٹم سیکیورٹی ایکسٹینشنز) تحفظ
ڈومین نام کا نظام، یا DNS، انٹرنیٹ کی فون بک ہے، اور یہ اس بات کی عکاسی کرتا ہے کہ انٹرنیٹ ٹول، جیسے کہ ویب براؤزر، متعلقہ سرور کو کیسے تلاش کرتا ہے۔ DNS کیش پوائزننگ، آن پاتھ اٹیک، اور DNS تلاش لائف سائیکل میں مداخلت کرنے کے دیگر ذرائع کو برے اداکار اس DNS درخواست کے عمل کو ہائی جیک کرنے کے لیے استعمال کریں گے۔ اگر DNS انٹرنیٹ کی فون بک ہے تو DNSSEC ناقابل شناخت کالر ID ہے۔ DNS تلاش کرنے کی درخواست کو DNSSEC ٹیکنالوجی کا استعمال کرتے ہوئے محفوظ کیا جا سکتا ہے۔
سرٹیفیکیشن کے نصاب سے اپنے آپ کو تفصیل سے آشنا کرنے کے لیے آپ نیچے دی گئی جدول کو بڑھا سکتے ہیں اور اس کا تجزیہ کر سکتے ہیں۔
EITC/IS/WASF ویب ایپلیکیشنز سیکیورٹی فنڈامینٹلز سرٹیفیکیشن نصاب ایک ویڈیو فارم میں کھلی رسائی کے تدریسی مواد کا حوالہ دیتا ہے۔ سیکھنے کے عمل کو مرحلہ وار ڈھانچے (پروگرام -> اسباق -> عنوانات) میں تقسیم کیا گیا ہے جس میں نصاب کے متعلقہ حصوں کا احاطہ کیا گیا ہے۔ ڈومین کے ماہرین کے ساتھ لامحدود مشاورت بھی فراہم کی جاتی ہے۔
سرٹیفیکیشن کے طریقہ کار کی تفصیلات کے لیے چیک کریں۔ یہ کیسے کام کرتا ہے.
EITC/IS/WASF ویب ایپلیکیشنز سیکیورٹی فنڈامینٹلز پروگرام کے لیے مکمل آف لائن خود سیکھنے کی تیاری کا مواد پی ڈی ایف فائل میں ڈاؤن لوڈ کریں۔
EITC/IS/WASF تیاری کا مواد – معیاری ورژن
EITC/IS/WASF تیاری کا مواد - جائزہ سوالات کے ساتھ توسیع شدہ ورژن