## Основы безопасности веб-приложений
::: info
- Основные понятия
- Важность организации безопасности
- Основные угрозы
- Концепция безопасности web-приложений
:::
## Основные понятия
::: warning
Обычно выбираются на основе той области, где применяются. В большинстве случаев это просто термины разработки на английском языке.
В формальном описании берутся из нормативно-правовых актов.
:::
Пример - N 149-ФЗ, ГОСТ Р 56545-2015
`Информация` - сведения (сообщения, данные) независимо от формы их представления;
`Конфиденциальность информации` - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
`Защита информации` представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
`Уязвимость`- Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.
## Важность организации безопасности
Обеспечение безопасности веб-приложения необходимо:
1. Потеря прибыли организации
2. Потеря репутации организации
3. Штрафы со стороны регуляторов
## Основные угрозы
- Вредоносное программное обеспечение в зависимостях и библиотеках
- Целевые атаки (APT)
- Уязвимости в технологиях и самих приложениях
### Вредоносное программное обеспечение
djangounittest - пакет с инжектом. Ниже приведены примеры вредосного кода:
<img src="https://hackmd.io/_uploads/rkzm7ONq2.png" style="border: 1px solid black">
pygame_menu_loading - еще пример либы с инжектом
<img src="https://hackmd.io/_uploads/Sk1-BuV9h.png
" style="border: 1px solid black">
### Целевые атаки
https://attack.mitre.org/tactics/TA0001/
Основные [методы](https://attack.mitre.org/tactics/TA0001/) компрометации в реальных атаках на организации.
Наиболее актуальные:
- Получение доступа к валидным аккаунтам облачной среды
- Получение доступа к валидному аккаунту внутри веб-приложения
Основные атаки за первое полугодие 2022 года
Сравнение по классам атак за апрель 21-22:
Полный [отчет](https://www.akamai.com/site/en/documents/report/2022/akamai-web-application-and-api-threat-report.pdf).
## Концепция безопасности web-приложений
- Безопасность веб-приложений включает в себя совокупность методов и процессов, целью которых является создание такого приложения, которое будет работать именно так как задумано, несмотря на проводимые на него атаки.
- Львиную долю "безопасности" составляет набор активностей, который получил название Secure Development Life Cycle.
Как визуально можно разделить что является частью обеспечения безопасности в разработке:
Пример визуального представления SSDLC:
### Пример уязвимоcтей
### Дополнительные материалы:
- https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/
- https://www.microsoft.com/en-us/securityengineering/sdl/practices
- https://securityflow.io/roadmap/
Sign in with Wallet
Connect another wallet