SWA – Predavanje 1

Uvod. Zašto je bitna SWA?

Na temelju analize 7 milijuna web stranica u 2022. godini, SiteLock izvještava da web stranice trenutno doživljavaju prosječno 94 napada svaki dan, a botovi ih posjećuju otprilike 2608 puta tjedno.

Prema nedavnom istraživanju Verizona, napadi na web aplikacije uključeni su u 26% svih proboja, što je drugi najčešći obrazac napada.

Prema izvješću Radware-a, transakcije zlonamjernih web aplikacija i API-ja porasle su za 171% u 2023. godini u odnosu na prethodnu godinu. Ovaj dramatičan porast može se pripisati povećanju napada na sloj 7 (Layer 7) web aplikacija.

Dodatno, istraživanje pokazuje da napadi na web aplikacije čine značajan dio ukupnih cyber napada. Na primjer, sektor maloprodaje i transporta bio je najviše pogođen, s tim da je maloprodaja zabilježila 37% svih napada na web aplikacije.

Statistički podaci iz 2024. pokazuju da napadi na web aplikacije postaju sve češći i sofisticiraniji.

Ovi podaci ukazuju na potrebu za boljom zaštitom i proaktivnim mjerama sigurnosti kako bi se smanjio rizik od ovih napada, koji mogu imati ozbiljne posljedice za organizacije u smislu financijskih gubitaka, narušavanja ugleda i gubitka podataka​.

Otkrivanje napada na web aplikacije izuzetno je bitno iz nekoliko ključnih razloga:

1. Zaštita osjetljivih podataka: Web aplikacije često obrađuju i pohranjuju osjetljive podatke poput osobnih informacija, financijskih podataka i poslovnih tajni. Napadi mogu dovesti do krađe tih podataka, što može uzrokovati ozbiljne štete, uključujući financijske gubitke i narušavanje ugleda.
2. Prevencija financijskih gubitaka: Napadi na web aplikacije mogu dovesti do značajnih financijskih gubitaka za organizacije. To uključuje troškove vezane uz sanaciju napada, potencijalne pravne troškove, kao i gubitak prihoda zbog narušenog povjerenja korisnika.
3. Održavanje kontinuiteta poslovanja: Napadi mogu uzrokovati prekid rada web aplikacija, što može ozbiljno poremetiti poslovanje. Otkrivanje napada omogućuje brzu reakciju i minimiziranje prekida u radu.
4. Sukladnost s propisima: Mnoge industrije i zemlje imaju stroge propise o zaštiti podataka i sigurnosti informacija. Organizacije koje ne uspiju zaštititi svoje web aplikacije mogu se suočiti s visokim kaznama i pravnim posljedicama.
5. Održavanje povjerenja korisnika: Sigurnost web aplikacija ključna je za održavanje povjerenja korisnika. Ako korisnici izgube povjerenje u sigurnost aplikacije, to može dovesti do gubitka poslovanja i dugoročnog narušavanja reputacije brenda.
6. Zaštita od reputacijskih šteta: Javnost često reagira negativno na vijesti o probojima sigurnosti, što može narušiti ugled organizacije. Brzo otkrivanje i reagiranje na napade može pomoći u smanjenju potencijalne reputacijske štete.

ISHODI:

1. Procijeniti sigurnosne rizike web aplikacija primjenom odgovarajuće metodologije. 
2. Simulirati i analizirati napade i ranjivosti web aplikacija koristeći odabrane alate.
3. Sastaviti prijedlog prikladnih zaštitnih mehanizama web aplikacije na temelju detektiranih ranjivosti i prijetnji.
4. Analizirati aspekte sigurnosti web servisa.

Alati koji će vam biti potrebni za izvođenje vježbi: 

– Kali Linux, Damn Vulnerable Web Application (DVWA) i projekt:OWASP Web Goat 

Alat za ispitivanje sigurnosti web servisa WSSAT – Web Service Security Assessment Toolhttps://github.com/YalcinYolalan/WSSAT

• OWASP Project 
  https://owasp.org
  OWASP Risk Methodology 
  https://owasp.org/www-community/OWASP_Risk_Rating_Methodology
  https://owasp.org/www-pdf-archive//Riskratingmanagement-170615172835.pdf
  OWASP Risk Calculator
  https://owasp-risk-rating.com
  OWASP Top 10
  https://owasp.org/Top10/

OWASP (Open Web Application Security Project) je globalna neprofitna organizacija koja se fokusira na poboljšanje sigurnosti softvera. OWASP pruža slobodno dostupne resurse, alate i dokumentaciju koji pomažu organizacijama, programerima i sigurnosnim stručnjacima u prepoznavanju, prevenciji i popravljanju sigurnosnih propusta u web aplikacijama.

Jedan od najpoznatijih projekata OWASP-a je “OWASP Top 10”, koji redovito objavljuje popis deset najkritičnijih sigurnosnih rizika za web aplikacije. Taj popis je postao de facto standard u industriji za razumijevanje i ublažavanje sigurnosnih ranjivosti u web aplikacijama.

Osim OWASP Top 10, organizacija nudi i brojne druge alate i projekte kao što su OWASP ZAP (Zed Attack Proxy), OWASP ASVS (Application Security Verification Standard), i OWASP SAMM (Software Assurance Maturity Model), koji pomažu u različitim aspektima sigurnosti softvera.

DVWA (Damn Vulnerable Web Application) je web aplikacija koja je namjerno dizajnirana s brojnim sigurnosnim ranjivostima kako bi se koristila u obrazovne svrhe. Glavna svrha DVWA-a je omogućiti sigurnosnim stručnjacima, studentima i programerima da vježbaju i poboljšaju svoje vještine u identificiranju i iskorištavanju sigurnosnih propusta u web aplikacijama.

DVWA uključuje različite vrste ranjivosti, kao što su SQL injekcija, XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), brute force napadi, i mnoge druge. Korisnici mogu mijenjati razinu sigurnosti aplikacije (npr. od niske do visoke) kako bi se prilagodili svom nivou znanja i složenosti napada koje žele vježbati.

Kao alat, DVWA je vrlo popularan među onima koji se bave sigurnošću aplikacija jer pruža sigurno okruženje za testiranje bez rizika za stvarne sustave ili podatke. Međutim, budući da je DVWA namjerno nesiguran, preporučuje se da se koristi u izoliranim i sigurnim okruženjima, kao što su lokalni virtualni strojevi ili sandbox okruženja, kako bi se spriječile eventualne štete.

WSSAT (Web Service Security Assessment Tool) je alat dizajniran za procjenu sigurnosti web servisa. Web servisi su aplikacije ili usluge koje omogućuju komunikaciju između različitih softverskih sustava putem mreže, najčešće koristeći protokole kao što su SOAP (Simple Object Access Protocol) ili REST (Representational State Transfer).

WSSAT je namijenjen za otkrivanje i analizu sigurnosnih ranjivosti u web servisima, uključujući ranjivosti kao što su neodgovarajuća autentifikacija, nešifrirani prijenos podataka, injekcije, te nedovoljna validacija unosa podataka. Ovaj alat može pomoći sigurnosnim stručnjacima i programerima u prepoznavanju potencijalnih sigurnosnih rizika i pružiti smjernice za njihovo ublažavanje.

WSSAT obično provodi niz automatskih testova i skeniranja na web servisu kako bi identificirao moguće sigurnosne slabosti. Nakon toga, generira izvješće s rezultatima testiranja i preporukama za poboljšanje sigurnosti.

Korištenje WSSAT-a može značajno doprinijeti osiguravanju da web servisi budu otporniji na napade, čime se smanjuje rizik od neovlaštenog pristupa, curenja podataka ili drugih sigurnosnih incidenata.

OWASP Risk Rating Calculator koristi metodologiju koja uključuje nekoliko ključnih faktora za određivanje rizika:

1. Vjerojatnost – Ocjenjuje se koliko je vjerojatno da će se ranjivost iskoristiti. To uključuje:
   • Lakoću iskorištavanja (koliko je jednostavno za napadača iskoristiti ranjivost).
   • Raspoloživost dokumenata o ranjivosti.
   • Pristup napadača cilju.
   • Vještine napadača.
2. Posljedice (Impact) – Procjenjuje se potencijalni utjecaj ranjivosti na organizaciju ako bi se iskoristila. To uključuje:
   • Tehničke posljedice (npr. gubitak integriteta podataka).
   • Poslovne posljedice (npr. financijski gubitak, ugrožavanje ugleda).

Kombinacijom ovih faktora, OWASP Risk Rating Calculator omogućuje korisnicima da dobiju kvantitativni rezultat rizika, obično izražen u kategorijama poput niskog, srednjeg, visokog ili kritičnog rizika. Ova procjena pomaže organizacijama u određivanju prioriteta pri rješavanju ranjivosti, odnosno u odlučivanju koje ranjivosti treba popraviti prvo na temelju njihove ozbiljnosti i utjecaja na organizaciju.

Ovaj alat je široko prihvaćen u industriji kao standardizirani pristup za procjenu rizika, čime se osigurava dosljednost u evaluaciji sigurnosnih prijetnji.