अनुप्रयोग सुरक्षा: Difference between revisions

From Vigyanwiki
No edit summary
Line 2: Line 2:
{{Information security}}
{{Information security}}


अनुप्रयोग सुरक्षा (संक्षिप्त AppSec) में वे सभी कार्य शामिल हैं जो विकास टीमों के लिए एक सुरक्षित सॉफ़्टवेयर विकास जीवन चक्र पेश करते हैं। इसका अंतिम लक्ष्य सुरक्षा प्रथाओं में सुधार करना है और इसके माध्यम से अनुप्रयोगों के भीतर सुरक्षा मुद्दों को ढूंढना, ठीक करना और अधिमानतः रोकना है। यह आवश्यकताओं के विश्लेषण, डिजाइन, कार्यान्वयन, सत्यापन के साथ-साथ रखरखाव से पूरे आवेदन जीवन चक्र को शामिल करता है।<ref>{{Cite web|last=Happe|first=Andreas|date=3 June 2021|title=What is AppSec anyways?|url=https://snikt.net/blog/2021/06/03/what-is-appsec-anyways/|website=snikt.net}}</ref>
अनुप्रयोग सुरक्षा (संक्षिप्त ऐपसेक) में वे सभी कार्य सम्मिलित हैं जो विकास समूहों के लिए एक सुरक्षित सॉफ़्टवेयर विकास जीवन चक्र प्रस्तुत करते हैं। इसका अंतिम लक्ष्य सुरक्षा प्रथाओं में संशोधन करना है और इसके माध्यम से अनुप्रयोगों के भीतर सुरक्षा समस्याओं को ढूंढना, ठीक करना और अधिमानतः रोकना है। यह आवश्यकताओं के विश्लेषण, डिजाइन, कार्यान्वयन, सत्यापन के साथ-साथ रखरखाव से पूरे अनुप्रयोग जीवन चक्र को सम्मिलित करता है।<ref>{{Cite web|last=Happe|first=Andreas|date=3 June 2021|title=What is AppSec anyways?|url=https://snikt.net/blog/2021/06/03/what-is-appsec-anyways/|website=snikt.net}}</ref>




== दृष्टिकोण ==
== दृष्टिकोण ==
अलग-अलग दृष्टिकोण सुरक्षा भेद्यता के विभिन्न उपसमुच्चयों को एक अनुप्रयोग में छिपा हुआ पाएंगे और सॉफ्टवेयर जीवनचक्र में अलग-अलग समय पर सबसे प्रभावी होते हैं। वे प्रत्येक पाए गए समय, प्रयास, लागत और कमजोरियों के विभिन्न व्यापार का प्रतिनिधित्व करते हैं।
अलग-अलग दृष्टिकोण सुरक्षा भेद्यता के विभिन्न उपसमुच्चयों को एक अनुप्रयोग में छिपा हुआ पाएंगे और सॉफ्टवेयर जीवनचक्र में अलग-अलग समय पर सबसे प्रभावी होते हैं। वे प्रत्येक पाए गए समय, प्रयास, लागत और भेद्यता के विभिन्न व्यापार का प्रतिनिधित्व करते हैं।


* [[डिजाइन की समीक्षा]]कोड लिखे जाने से पहले सुरक्षा समस्याओं के लिए एप्लिकेशन के आर्किटेक्चर और डिज़ाइन की समीक्षा की जा सकती है। इस चरण में एक सामान्य तकनीक एक [[ खतरा मॉडल ]] का निर्माण है।
* [[डिजाइन की समीक्षा]]. कोड लिखे जाने से पहले सुरक्षा समस्याओं के लिए अनुप्रयोग की संरचना और डिज़ाइन की समीक्षा की जा सकती है। इस चरण में एक सामान्य तकनीक एक [[ खतरा मॉडल |संकट मॉडल]] का निर्माण है।
* व्हाइटबॉक्स सुरक्षा समीक्षा, या कोड समीक्षा। यह एक सुरक्षा इंजीनियर है जो स्रोत कोड की मैन्युअल रूप से समीक्षा करके और सुरक्षा खामियों को ध्यान में रखते हुए एप्लिकेशन को गहराई से समझता है। आवेदन की समझ के माध्यम से, आवेदन के लिए अद्वितीय भेद्यता पाई जा सकती है।
* व्हाइटबॉक्स सुरक्षा समीक्षा, या कोड समीक्षा. यह एक सुरक्षा इंजीनियर है जो स्रोत कोड की हस्तचालन से समीक्षा करके और सुरक्षा कमियों को ध्यान में रखते हुए अनुप्रयोग को गहराई से समझता है। अनुप्रयोग की समझ के माध्यम से, अनुप्रयोग के लिए अद्वितीय भेद्यता पाई जा सकती है।
* ब्लैकबॉक्स [[सूचना सुरक्षा ऑडिट]]यह केवल सुरक्षा कमजोरियों के लिए परीक्षण करने वाले एप्लिकेशन के उपयोग के माध्यम से है, किसी स्रोत कोड की आवश्यकता नहीं है।
* ब्लैकबॉक्स [[सूचना सुरक्षा ऑडिट|सूचना सुरक्षा अंकेक्षण]]. यह मात्र सुरक्षा भेद्यता के लिए परीक्षण करने वाले अनुप्रयोग के उपयोग के माध्यम से है, किसी स्रोत कोड की आवश्यकता नहीं है।
* स्वचालित टूलींग। कई सुरक्षा उपकरणों को विकास या परीक्षण परिवेश में शामिल करके स्वचालित किया जा सकता है। इसके उदाहरण स्वचालित DAST/SAST उपकरण हैं जो कोड संपादक या CI/CD प्लेटफॉर्म में एकीकृत हैं।
* स्वचालित उपकरण . कई सुरक्षा उपकरणों को विकास या परीक्षण परिवेश में सम्मिलित करके स्वचालित किया जा सकता है। इसके उदाहरण स्वचालित डीएएसटी/एसएएसटी उपकरण हैं जो कोड संपादक या सीआई/सीडी प्लेटफॉर्म में एकीकृत हैं।
* [[बग बाउंटी प्रोग्राम]]ये हैकर-संचालित एप्लिकेशन सुरक्षा समाधान हैं जो कई वेबसाइटों और सॉफ़्टवेयर डेवलपर्स द्वारा पेश किए जाते हैं जिनके द्वारा व्यक्ति रिपोर्टिंग बग के लिए मान्यता और मुआवजा प्राप्त कर सकते हैं।
* [[बग बाउंटी प्रोग्राम]]. ये हैकर-संचालित अनुप्रयोग सुरक्षा हल हैं जो कई वेबसाइटों और सॉफ़्टवेयर विकासक द्वारा प्रस्तुत किए जाते हैं जिनके द्वारा व्यक्ति प्रतिवेदन बग के लिए मान्यता और प्रतिकर प्राप्त कर सकते हैं।


== [[वेब अनुप्रयोग]] सुरक्षा ==
== [[वेब अनुप्रयोग]] सुरक्षा ==


वेब एप्लिकेशन सुरक्षा [[सूचना सुरक्षा]] की एक शाखा है जो विशेष रूप से [[वेबसाइट]], वेब एप्लिकेशन और [[वेब सेवा]] की सुरक्षा से संबंधित है। उच्च स्तर पर, वेब एप्लिकेशन सुरक्षा एप्लिकेशन सुरक्षा के सिद्धांतों पर आधारित है, लेकिन उन्हें विशेष रूप से [[इंटरनेट]] और [[वर्ल्ड वाइड वेब]] सिस्टम पर लागू करती है।<ref>{{cite web |url=https://msdn.microsoft.com/en-us/library/ff648636.aspx |title= वेब अनुप्रयोग सुरक्षा अवलोकन|date=2015-10-23}}</ref><ref>{{Cite journal|title = वेब अनुप्रयोग सुरक्षा विकास मॉडल की व्यवस्थित समीक्षा|journal = Artificial Intelligence Review|date = 2013-01-17|issn = 0269-2821|pages = 259–276|volume = 43|issue = 2|doi = 10.1007/s10462-012-9375-6|first1 = Bala Musa|last1 = Shuaibu|first2 = Norita Md|last2 = Norwawi|first3 = Mohd Hasan|last3 = Selamat|first4 = Abdulkareem|last4 = Al-Alwani|s2cid = 15221613}}</ref>
वेब अनुप्रयोग सुरक्षा [[सूचना सुरक्षा]] की एक शाखा है जो विशेष रूप से [[वेबसाइट]], वेब अनुप्रयोग और [[वेब सेवा]] की सुरक्षा से संबंधित है। उच्च स्तर पर, वेब अनुप्रयोग सुरक्षा अनुप्रयोग सुरक्षा के सिद्धांतों पर आधारित है, परन्तु उन्हें विशेष रूप से [[इंटरनेट]] और [[वर्ल्ड वाइड वेब]] प्रणाली पर लागू करती है।<ref>{{cite web |url=https://msdn.microsoft.com/en-us/library/ff648636.aspx |title= वेब अनुप्रयोग सुरक्षा अवलोकन|date=2015-10-23}}</ref><ref>{{Cite journal|title = वेब अनुप्रयोग सुरक्षा विकास मॉडल की व्यवस्थित समीक्षा|journal = Artificial Intelligence Review|date = 2013-01-17|issn = 0269-2821|pages = 259–276|volume = 43|issue = 2|doi = 10.1007/s10462-012-9375-6|first1 = Bala Musa|last1 = Shuaibu|first2 = Norita Md|last2 = Norwawi|first3 = Mohd Hasan|last3 = Selamat|first4 = Abdulkareem|last4 = Al-Alwani|s2cid = 15221613}}</ref>
वेब एप्लिकेशन सुरक्षा उपकरण HTTP ट्रैफ़िक के साथ काम करने के लिए विशेष उपकरण हैं, उदाहरण के लिए, [[वेब अनुप्रयोग फ़ायरवॉल]]


=== सुरक्षा खतरे ===
वेब अनुप्रयोग सुरक्षा उपकरण एचटीटीपी ट्रैफ़िक के साथ काम करने के लिए विशेष उपकरण हैं, उदाहरण के लिए, [[वेब अनुप्रयोग फ़ायरवॉल]]


ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट ([[OWASP]]) मुफ्त और खुले संसाधन प्रदान करता है। इसका नेतृत्व ओडब्ल्यूएएसपी फाउंडेशन नामक एक गैर-लाभकारी संस्था द्वारा किया जाता है। ओडब्ल्यूएएसपी शीर्ष 10 - 2017 40 से अधिक सहयोगी संगठनों से संकलित व्यापक डेटा के आधार पर हालिया शोध के परिणाम हैं। इस डेटा ने 50,000 से अधिक अनुप्रयोगों में लगभग 2.3 मिलियन कमजोरियों का खुलासा किया।<ref>{{Cite journal|last=Korolov|first=Maria|date=Apr 27, 2017|title=Latest OWASP Top 10 looks at APIs, web apps: The new OWASP Top 10 list is out, and while most of it remains the same, there are new additions focusing on web applications and APIs|journal=CSO|id={{ProQuest|1892694046}}}}</ref> OWASP टॉप 10 - 2021 के अनुसार, दस सबसे महत्वपूर्ण वेब एप्लिकेशन सुरक्षा जोखिमों में शामिल हैं:<ref>{{Cite web|date=2021|title=OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks|url=https://owasp.org/Top10/|access-date=January 11, 2022|website=Open Web Application Security Project}}</ref>
=== सुरक्षा थ्रेट ===
 
ओपन वेब अनुप्रयोग सिक्योरिटी प्रोजेक्ट ([[OWASP|ओडब्ल्यूएएसपी]]) निःशुल्क और विवृत संसाधन प्रदान करता है। इसका नेतृत्व ओडब्ल्यूएएसपी फाउंडेशन नामक एक गैर-लाभकारी संस्था द्वारा किया जाता है। ओडब्ल्यूएएसपी शीर्ष 10 - 2017 40 से अधिक सहयोगी संगठनों से संकलित व्यापक डेटा के आधार पर हालिया शोध के परिणाम हैं। इस डेटा ने 50,000 से अधिक अनुप्रयोगों में लगभग 2.3 मिलियन भेद्यता का खुलासा किया।<ref>{{Cite journal|last=Korolov|first=Maria|date=Apr 27, 2017|title=Latest OWASP Top 10 looks at APIs, web apps: The new OWASP Top 10 list is out, and while most of it remains the same, there are new additions focusing on web applications and APIs|journal=CSO|id={{ProQuest|1892694046}}}}</ref> ओडब्ल्यूएएसपी टॉप 10 - 2021 के अनुसार, दस सबसे महत्वपूर्ण वेब अनुप्रयोग सुरक्षा जोखिमों में सम्मिलित हैं:<ref>{{Cite web|date=2021|title=OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks|url=https://owasp.org/Top10/|access-date=January 11, 2022|website=Open Web Application Security Project}}</ref>
# टूटा हुआ अभिगम नियंत्रण # कंप्यूटर सुरक्षा
# टूटा हुआ अभिगम नियंत्रण # कंप्यूटर सुरक्षा
# क्रिप्टोग्राफ़िक विफलताएँ
# क्रिप्टोग्राफ़िक विफलताएँ
Line 35: Line 36:
== सुरक्षा परीक्षण के लिए टूलिंग ==
== सुरक्षा परीक्षण के लिए टूलिंग ==


सुरक्षा परीक्षण तकनीकें अनुप्रयोगों में कमजोरियों या सुरक्षा छेदों के लिए परिमार्जन करती हैं। ये भेद्यताएं अनुप्रयोगों को [[शोषण (कंप्यूटर सुरक्षा)]] के लिए खुला छोड़ देती हैं। आदर्श रूप से, सुरक्षा परीक्षण पूरे सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) में लागू किया जाता है ताकि कमजोरियों को समय पर और पूरी तरह से संबोधित किया जा सके।
सुरक्षा परीक्षण तकनीकें अनुप्रयोगों में भेद्यता या सुरक्षा छेदों के लिए परिमार्जन करती हैं। ये भेद्यताएं अनुप्रयोगों को [[शोषण (कंप्यूटर सुरक्षा)]] के लिए खुला छोड़ देती हैं। आदर्श रूप से, सुरक्षा परीक्षण पूरे सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) में लागू किया जाता है ताकि भेद्यता को समय पर और पूरी तरह से संबोधित किया जा सके।


अनुप्रयोगों में कमजोरियों की पहचान करने के लिए कई प्रकार के स्वचालित उपकरण हैं। एप्लिकेशन कमजोरियों की पहचान करने के लिए उपयोग की जाने वाली सामान्य टूल श्रेणियों में शामिल हैं:
अनुप्रयोगों में भेद्यता की पहचान करने के लिए कई प्रकार के स्वचालित उपकरण हैं। अनुप्रयोग भेद्यता की पहचान करने के लिए उपयोग की जाने वाली सामान्य टूल श्रेणियों में सम्मिलित हैं:
* [[स्थैतिक अनुप्रयोग सुरक्षा परीक्षण]] (SAST) किसी अनुप्रयोग के विकास के दौरान सुरक्षा कमजोरियों के लिए स्रोत कोड का विश्लेषण करता है। DAST की तुलना में, SAST का उपयोग तब भी किया जा सकता है जब एप्लिकेशन निष्पादन योग्य स्थिति में हो। चूंकि एसएएसटी के पास पूर्ण स्रोत कोड तक पहुंच है, यह एक सफेद-बॉक्स दृष्टिकोण है। यह अधिक विस्तृत परिणाम प्राप्त कर सकता है लेकिन इसके परिणामस्वरूप कई गलत सकारात्मक परिणाम हो सकते हैं जिन्हें मैन्युअल रूप से सत्यापित करने की आवश्यकता होती है।
* [[स्थैतिक अनुप्रयोग सुरक्षा परीक्षण]] (एसएएसटी) किसी अनुप्रयोग के विकास के दौरान सुरक्षा भेद्यता के लिए स्रोत कोड का विश्लेषण करता है। डीएएसटी की तुलना में, एसएएसटी का उपयोग तब भी किया जा सकता है जब अनुप्रयोग निष्पादन योग्य स्थिति में हो। चूंकि एसएएसटी के पास पूर्ण स्रोत कोड तक पहुंच है, यह एक सफेद-बॉक्स दृष्टिकोण है। यह अधिक विस्तृत परिणाम प्राप्त कर सकता है परन्तु इसके परिणामस्वरूप कई गलत सकारात्मक परिणाम हो सकते हैं जिन्हें हस्तचालन से सत्यापित करने की आवश्यकता होती है।
* डायनेमिक एप्लिकेशन सुरक्षा परीक्षण (DAST, जिसे अक्सर [[भेद्यता स्कैनर]] कहा जाता है) वेबसाइटों को क्रॉल और विश्लेषण करके स्वचालित रूप से कमजोरियों का पता लगाता है। यह विधि अत्यधिक स्केलेबल, आसानी से एकीकृत और त्वरित है। DAST उपकरण निम्न-स्तरीय हमलों जैसे इंजेक्शन की खामियों से निपटने के लिए अच्छी तरह से अनुकूल हैं, लेकिन उच्च-स्तरीय खामियों, जैसे तर्क या व्यावसायिक तर्क की खामियों का पता लगाने के लिए अच्छी तरह से अनुकूल नहीं हैं।<ref>{{cite news | title= वेब अनुप्रयोग भेद्यता स्कैनर| publisher=NIST |url= http://samate.nist.gov/index.php/Web_Application_Vulnerability_Scanners.html}}</ref> [[फज़िंग]] टूल का उपयोग आमतौर पर इनपुट परीक्षण के लिए किया जाता है।<ref>{{cite news | title= फज़िंग| publisher=OWASP |url=https://owasp.org/www-community/Fuzzing}}</ref>
* डायनेमिक अनुप्रयोग सुरक्षा परीक्षण (डीएएसटी, जिसे अक्सर [[भेद्यता स्कैनर]] कहा जाता है) वेबसाइटों को क्रॉल और विश्लेषण करके स्वचालित रूप से भेद्यता का पता लगाता है। यह विधि अत्यधिक स्केलेबल, आसानी से एकीकृत और त्वरित है। डीएएसटी उपकरण निम्न-स्तरीय हमलों जैसे इंजेक्शन की कमियों से निपटने के लिए अच्छी तरह से अनुकूल हैं, परन्तु उच्च-स्तरीय कमियों, जैसे तर्क या व्यावसायिक तर्क की कमियों का पता लगाने के लिए अच्छी तरह से अनुकूल नहीं हैं।<ref>{{cite news | title= वेब अनुप्रयोग भेद्यता स्कैनर| publisher=NIST |url= http://samate.nist.gov/index.php/Web_Application_Vulnerability_Scanners.html}}</ref> [[फज़िंग]] टूल का उपयोग आमतौर पर इनपुट परीक्षण के लिए किया जाता है।<ref>{{cite news | title= फज़िंग| publisher=OWASP |url=https://owasp.org/www-community/Fuzzing}}</ref>
* इंटरएक्टिव एप्लिकेशन सिक्योरिटी टेस्टिंग (IAST) [[ सॉफ्टवेयर उपकरण ]] का उपयोग करके एप्लिकेशन का आकलन करता है। यह एसएएसटी और डीएएसटी दोनों तरीकों की ताकत के साथ-साथ कोड, एचटीटीपी ट्रैफिक, लाइब्रेरी जानकारी, बैकएंड कनेक्शन और कॉन्फ़िगरेशन जानकारी तक पहुंच प्रदान करता है।<ref>{{cite web| url= https://www.contrastsecurity.com/security-influencers/question-i-understand-sast-and-dast-and-how-to-use-them-but-what-is-iast-and-why-does-it-matter| title=I Understand SAST and DAST But What is an IAST and Why Does it Matter?| publisher=Contrast Security| first=Jeff| last=Williams|date=2 July 2015|access-date=10 April 2018}}</ref><ref>{{cite web| url= https://hdivsecurity.com/bornsecure/what-is-iast-interactive-application-security-testing/| title=What is IAST? All About Interactive Application Security Testing| publisher=Hdiv Security| first=Roberto| last=Velasco|date=7 May 2020|access-date=7 May 2020}}</ref> कुछ IAST उत्पादों को एप्लिकेशन पर हमला करने की आवश्यकता होती है, जबकि अन्य का उपयोग सामान्य गुणवत्ता आश्वासन परीक्षण के दौरान किया जा सकता है।<ref>{{cite web|url= http://www.quotium.com/resources/interactive-application-security-testing/ |title=इंटरएक्टिव एप्लिकेशन सुरक्षा परीक्षण का परिचय|publisher=Quotium|first=Irene |last=Abezgauz|date=February 17, 2014}}</ref>{{promotional source|date=December 2018}}<ref>{{cite web|url=https://blog.secodis.com/2015/11/26/the-emerge-of-iast/|title=IAST: A New Approach For Agile Security Testing| publisher=Secodis| first=Matthias |last=Rohr|date=November 26, 2015}}</ref>{{promotional source|date=December 2018}}
* इंटरएक्टिव अनुप्रयोग सिक्योरिटी टेस्टिंग (IAST) [[ सॉफ्टवेयर उपकरण |सॉफ्टवेयर उपकरण]] का उपयोग करके अनुप्रयोग का आकलन करता है। यह एसएएसटी और डीएएसटी दोनों तरीकों की ताकत के साथ-साथ कोड, एचटीटीपी ट्रैफिक, लाइब्रेरी जानकारी, बैकएंड कनेक्शन और कॉन्फ़िगरेशन जानकारी तक पहुंच प्रदान करता है।<ref>{{cite web| url= https://www.contrastsecurity.com/security-influencers/question-i-understand-sast-and-dast-and-how-to-use-them-but-what-is-iast-and-why-does-it-matter| title=I Understand SAST and DAST But What is an IAST and Why Does it Matter?| publisher=Contrast Security| first=Jeff| last=Williams|date=2 July 2015|access-date=10 April 2018}}</ref><ref>{{cite web| url= https://hdivsecurity.com/bornsecure/what-is-iast-interactive-application-security-testing/| title=What is IAST? All About Interactive Application Security Testing| publisher=Hdiv Security| first=Roberto| last=Velasco|date=7 May 2020|access-date=7 May 2020}}</ref> कुछ IAST उत्पादों को अनुप्रयोग पर हमला करने की आवश्यकता होती है, जबकि अन्य का उपयोग सामान्य गुणवत्ता आश्वासन परीक्षण के दौरान किया जा सकता है।<ref>{{cite web|url= http://www.quotium.com/resources/interactive-application-security-testing/ |title=इंटरएक्टिव एप्लिकेशन सुरक्षा परीक्षण का परिचय|publisher=Quotium|first=Irene |last=Abezgauz|date=February 17, 2014}}</ref>{{promotional source|date=December 2018}}<ref>{{cite web|url=https://blog.secodis.com/2015/11/26/the-emerge-of-iast/|title=IAST: A New Approach For Agile Security Testing| publisher=Secodis| first=Matthias |last=Rohr|date=November 26, 2015}}</ref>{{promotional source|date=December 2018}}
* [[रनटाइम एप्लिकेशन सेल्फ-प्रोटेक्शन]] एक एप्लिकेशन रनटाइम के भीतर घुसपैठ का पता लगाने और रोकथाम प्रदान करने के लिए मौजूदा एप्लिकेशन को बढ़ाता है।
* [[रनटाइम एप्लिकेशन सेल्फ-प्रोटेक्शन|रनटाइम अनुप्रयोग सेल्फ-प्रोटेक्शन]] एक अनुप्रयोग रनटाइम के भीतर घुसपैठ का पता लगाने और रोकथाम प्रदान करने के लिए मौजूदा अनुप्रयोग को बढ़ाता है।
* निर्भरता स्कैनर (जिसे सॉफ़्टवेयर संरचना विश्लेषण भी कहा जाता है) ज्ञात कमजोरियों वाले सॉफ़्टवेयर घटकों के उपयोग का पता लगाने का प्रयास करते हैं। ये उपकरण या तो ऑन-डिमांड काम कर सकते हैं, उदाहरण के लिए, स्रोत कोड निर्माण प्रक्रिया के दौरान या समय-समय पर।
* निर्भरता स्कैनर (जिसे सॉफ़्टवेयर संरचना विश्लेषण भी कहा जाता है) ज्ञात भेद्यता वाले सॉफ़्टवेयर घटकों के उपयोग का पता लगाने का प्रयास करते हैं। ये उपकरण या तो ऑन-डिमांड काम कर सकते हैं, उदाहरण के लिए, स्रोत कोड निर्माण प्रक्रिया के दौरान या समय-समय पर।
*अमूर्तता अधिक जटिल चीजों को कम जटिल बनाने का विचार है।
*अमूर्तता अधिक जटिल चीजों को कम जटिल बनाने का विचार है।


Line 50: Line 51:
* ISO/IEC TR 24772:2013 सूचना प्रौद्योगिकी - प्रोग्रामिंग भाषाएँ - भाषा चयन और उपयोग के माध्यम से प्रोग्रामिंग भाषाओं में भेद्यता से बचने के लिए मार्गदर्शन
* ISO/IEC TR 24772:2013 सूचना प्रौद्योगिकी - प्रोग्रामिंग भाषाएँ - भाषा चयन और उपयोग के माध्यम से प्रोग्रामिंग भाषाओं में भेद्यता से बचने के लिए मार्गदर्शन
* [[एनआईएसटी विशेष प्रकाशन 800-53]]
* [[एनआईएसटी विशेष प्रकाशन 800-53]]
* OWASP ASVS: वेब अनुप्रयोग सुरक्षा सत्यापन मानक<ref>{{cite web|url=https://owasp.org/www-project-application-security-verification-standard/|title=OWASP Application Security Verification Standard}}</ref>
* ओडब्ल्यूएएसपी ASVS: वेब अनुप्रयोग सुरक्षा सत्यापन मानक<ref>{{cite web|url=https://owasp.org/www-project-application-security-verification-standard/|title=OWASP Application Security Verification Standard}}</ref>




== यह भी देखें ==
== यह भी देखें ==
* [[ अनुप्रयोग सेवा वास्तुकला ]] (एएसए)
* [[ अनुप्रयोग सेवा वास्तुकला | अनुप्रयोग सेवा वास्तुकला]] (एएसए)
* [[सामान्य कमजोरियों की गणना]]
* [[सामान्य कमजोरियों की गणना|सामान्य भेद्यता की गणना]]
* [[डाटा सुरक्षा]]
* [[डाटा सुरक्षा]]
* [[मोबाइल सुरक्षा]]
* [[मोबाइल सुरक्षा]]

Revision as of 21:13, 13 May 2023

श्रृंखला का हिस्सा
सूचना सुरक्षा
vectorial version
सुरक्षा संबंधित श्रेणियां
थ्रेट्स
डिफेंसेस

अनुप्रयोग सुरक्षा (संक्षिप्त ऐपसेक) में वे सभी कार्य सम्मिलित हैं जो विकास समूहों के लिए एक सुरक्षित सॉफ़्टवेयर विकास जीवन चक्र प्रस्तुत करते हैं। इसका अंतिम लक्ष्य सुरक्षा प्रथाओं में संशोधन करना है और इसके माध्यम से अनुप्रयोगों के भीतर सुरक्षा समस्याओं को ढूंढना, ठीक करना और अधिमानतः रोकना है। यह आवश्यकताओं के विश्लेषण, डिजाइन, कार्यान्वयन, सत्यापन के साथ-साथ रखरखाव से पूरे अनुप्रयोग जीवन चक्र को सम्मिलित करता है।[1]


दृष्टिकोण

अलग-अलग दृष्टिकोण सुरक्षा भेद्यता के विभिन्न उपसमुच्चयों को एक अनुप्रयोग में छिपा हुआ पाएंगे और सॉफ्टवेयर जीवनचक्र में अलग-अलग समय पर सबसे प्रभावी होते हैं। वे प्रत्येक पाए गए समय, प्रयास, लागत और भेद्यता के विभिन्न व्यापार का प्रतिनिधित्व करते हैं।

  • डिजाइन की समीक्षा. कोड लिखे जाने से पहले सुरक्षा समस्याओं के लिए अनुप्रयोग की संरचना और डिज़ाइन की समीक्षा की जा सकती है। इस चरण में एक सामान्य तकनीक एक संकट मॉडल का निर्माण है।
  • व्हाइटबॉक्स सुरक्षा समीक्षा, या कोड समीक्षा. यह एक सुरक्षा इंजीनियर है जो स्रोत कोड की हस्तचालन से समीक्षा करके और सुरक्षा कमियों को ध्यान में रखते हुए अनुप्रयोग को गहराई से समझता है। अनुप्रयोग की समझ के माध्यम से, अनुप्रयोग के लिए अद्वितीय भेद्यता पाई जा सकती है।
  • ब्लैकबॉक्स सूचना सुरक्षा अंकेक्षण. यह मात्र सुरक्षा भेद्यता के लिए परीक्षण करने वाले अनुप्रयोग के उपयोग के माध्यम से है, किसी स्रोत कोड की आवश्यकता नहीं है।
  • स्वचालित उपकरण . कई सुरक्षा उपकरणों को विकास या परीक्षण परिवेश में सम्मिलित करके स्वचालित किया जा सकता है। इसके उदाहरण स्वचालित डीएएसटी/एसएएसटी उपकरण हैं जो कोड संपादक या सीआई/सीडी प्लेटफॉर्म में एकीकृत हैं।
  • बग बाउंटी प्रोग्राम. ये हैकर-संचालित अनुप्रयोग सुरक्षा हल हैं जो कई वेबसाइटों और सॉफ़्टवेयर विकासक द्वारा प्रस्तुत किए जाते हैं जिनके द्वारा व्यक्ति प्रतिवेदन बग के लिए मान्यता और प्रतिकर प्राप्त कर सकते हैं।

वेब अनुप्रयोग सुरक्षा

वेब अनुप्रयोग सुरक्षा सूचना सुरक्षा की एक शाखा है जो विशेष रूप से वेबसाइट, वेब अनुप्रयोग और वेब सेवा की सुरक्षा से संबंधित है। उच्च स्तर पर, वेब अनुप्रयोग सुरक्षा अनुप्रयोग सुरक्षा के सिद्धांतों पर आधारित है, परन्तु उन्हें विशेष रूप से इंटरनेट और वर्ल्ड वाइड वेब प्रणाली पर लागू करती है।[2][3]

वेब अनुप्रयोग सुरक्षा उपकरण एचटीटीपी ट्रैफ़िक के साथ काम करने के लिए विशेष उपकरण हैं, उदाहरण के लिए, वेब अनुप्रयोग फ़ायरवॉल

सुरक्षा थ्रेट

ओपन वेब अनुप्रयोग सिक्योरिटी प्रोजेक्ट (ओडब्ल्यूएएसपी) निःशुल्क और विवृत संसाधन प्रदान करता है। इसका नेतृत्व ओडब्ल्यूएएसपी फाउंडेशन नामक एक गैर-लाभकारी संस्था द्वारा किया जाता है। ओडब्ल्यूएएसपी शीर्ष 10 - 2017 40 से अधिक सहयोगी संगठनों से संकलित व्यापक डेटा के आधार पर हालिया शोध के परिणाम हैं। इस डेटा ने 50,000 से अधिक अनुप्रयोगों में लगभग 2.3 मिलियन भेद्यता का खुलासा किया।[4] ओडब्ल्यूएएसपी टॉप 10 - 2021 के अनुसार, दस सबसे महत्वपूर्ण वेब अनुप्रयोग सुरक्षा जोखिमों में सम्मिलित हैं:[5]

  1. टूटा हुआ अभिगम नियंत्रण # कंप्यूटर सुरक्षा
  2. क्रिप्टोग्राफ़िक विफलताएँ
  3. कोड इंजेक्शन
  4. असुरक्षित डिजाइन
  5. सुरक्षा गलत कॉन्फ़िगरेशन
  6. कमजोर और पुराने घटक
  7. पहचान और प्रमाणीकरण विफल
  8. सॉफ्टवेयर और डेटा इंटीग्रिटी फेलियर
  9. सुरक्षा लॉगिंग और निगरानी विफलता*
  10. सर्वर-साइड अनुरोध जालसाजी (एसएसआरएफ)*

सुरक्षा परीक्षण के लिए टूलिंग

सुरक्षा परीक्षण तकनीकें अनुप्रयोगों में भेद्यता या सुरक्षा छेदों के लिए परिमार्जन करती हैं। ये भेद्यताएं अनुप्रयोगों को शोषण (कंप्यूटर सुरक्षा) के लिए खुला छोड़ देती हैं। आदर्श रूप से, सुरक्षा परीक्षण पूरे सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) में लागू किया जाता है ताकि भेद्यता को समय पर और पूरी तरह से संबोधित किया जा सके।

अनुप्रयोगों में भेद्यता की पहचान करने के लिए कई प्रकार के स्वचालित उपकरण हैं। अनुप्रयोग भेद्यता की पहचान करने के लिए उपयोग की जाने वाली सामान्य टूल श्रेणियों में सम्मिलित हैं:

  • स्थैतिक अनुप्रयोग सुरक्षा परीक्षण (एसएएसटी) किसी अनुप्रयोग के विकास के दौरान सुरक्षा भेद्यता के लिए स्रोत कोड का विश्लेषण करता है। डीएएसटी की तुलना में, एसएएसटी का उपयोग तब भी किया जा सकता है जब अनुप्रयोग निष्पादन योग्य स्थिति में हो। चूंकि एसएएसटी के पास पूर्ण स्रोत कोड तक पहुंच है, यह एक सफेद-बॉक्स दृष्टिकोण है। यह अधिक विस्तृत परिणाम प्राप्त कर सकता है परन्तु इसके परिणामस्वरूप कई गलत सकारात्मक परिणाम हो सकते हैं जिन्हें हस्तचालन से सत्यापित करने की आवश्यकता होती है।
  • डायनेमिक अनुप्रयोग सुरक्षा परीक्षण (डीएएसटी, जिसे अक्सर भेद्यता स्कैनर कहा जाता है) वेबसाइटों को क्रॉल और विश्लेषण करके स्वचालित रूप से भेद्यता का पता लगाता है। यह विधि अत्यधिक स्केलेबल, आसानी से एकीकृत और त्वरित है। डीएएसटी उपकरण निम्न-स्तरीय हमलों जैसे इंजेक्शन की कमियों से निपटने के लिए अच्छी तरह से अनुकूल हैं, परन्तु उच्च-स्तरीय कमियों, जैसे तर्क या व्यावसायिक तर्क की कमियों का पता लगाने के लिए अच्छी तरह से अनुकूल नहीं हैं।[6] फज़िंग टूल का उपयोग आमतौर पर इनपुट परीक्षण के लिए किया जाता है।[7]
  • इंटरएक्टिव अनुप्रयोग सिक्योरिटी टेस्टिंग (IAST) सॉफ्टवेयर उपकरण का उपयोग करके अनुप्रयोग का आकलन करता है। यह एसएएसटी और डीएएसटी दोनों तरीकों की ताकत के साथ-साथ कोड, एचटीटीपी ट्रैफिक, लाइब्रेरी जानकारी, बैकएंड कनेक्शन और कॉन्फ़िगरेशन जानकारी तक पहुंच प्रदान करता है।[8][9] कुछ IAST उत्पादों को अनुप्रयोग पर हमला करने की आवश्यकता होती है, जबकि अन्य का उपयोग सामान्य गुणवत्ता आश्वासन परीक्षण के दौरान किया जा सकता है।[10][promotional source?][11][promotional source?]
  • रनटाइम अनुप्रयोग सेल्फ-प्रोटेक्शन एक अनुप्रयोग रनटाइम के भीतर घुसपैठ का पता लगाने और रोकथाम प्रदान करने के लिए मौजूदा अनुप्रयोग को बढ़ाता है।
  • निर्भरता स्कैनर (जिसे सॉफ़्टवेयर संरचना विश्लेषण भी कहा जाता है) ज्ञात भेद्यता वाले सॉफ़्टवेयर घटकों के उपयोग का पता लगाने का प्रयास करते हैं। ये उपकरण या तो ऑन-डिमांड काम कर सकते हैं, उदाहरण के लिए, स्रोत कोड निर्माण प्रक्रिया के दौरान या समय-समय पर।
  • अमूर्तता अधिक जटिल चीजों को कम जटिल बनाने का विचार है।

सुरक्षा मानक और नियम

  • सीईआरटी सी कोडिंग मानक
  • ISO/IEC 27034-1:2011 सूचना प्रौद्योगिकी — सुरक्षा तकनीक — अनुप्रयोग सुरक्षा — भाग 1: सिंहावलोकन और अवधारणाएँ
  • ISO/IEC TR 24772:2013 सूचना प्रौद्योगिकी - प्रोग्रामिंग भाषाएँ - भाषा चयन और उपयोग के माध्यम से प्रोग्रामिंग भाषाओं में भेद्यता से बचने के लिए मार्गदर्शन
  • एनआईएसटी विशेष प्रकाशन 800-53
  • ओडब्ल्यूएएसपी ASVS: वेब अनुप्रयोग सुरक्षा सत्यापन मानक[12]


यह भी देखें

संदर्भ

  1. Happe, Andreas (3 June 2021). "What is AppSec anyways?". snikt.net.
  2. "वेब अनुप्रयोग सुरक्षा अवलोकन". 2015-10-23.
  3. Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem (2013-01-17). "वेब अनुप्रयोग सुरक्षा विकास मॉडल की व्यवस्थित समीक्षा". Artificial Intelligence Review. 43 (2): 259–276. doi:10.1007/s10462-012-9375-6. ISSN 0269-2821. S2CID 15221613.
  4. Korolov, Maria (Apr 27, 2017). "Latest OWASP Top 10 looks at APIs, web apps: The new OWASP Top 10 list is out, and while most of it remains the same, there are new additions focusing on web applications and APIs". CSO. ProQuest 1892694046.
  5. "OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks". Open Web Application Security Project. 2021. Retrieved January 11, 2022.
  6. "वेब अनुप्रयोग भेद्यता स्कैनर". NIST.
  7. "फज़िंग". OWASP.
  8. Williams, Jeff (2 July 2015). "I Understand SAST and DAST But What is an IAST and Why Does it Matter?". Contrast Security. Retrieved 10 April 2018.
  9. Velasco, Roberto (7 May 2020). "What is IAST? All About Interactive Application Security Testing". Hdiv Security. Retrieved 7 May 2020.
  10. Abezgauz, Irene (February 17, 2014). "इंटरएक्टिव एप्लिकेशन सुरक्षा परीक्षण का परिचय". Quotium.
  11. Rohr, Matthias (November 26, 2015). "IAST: A New Approach For Agile Security Testing". Secodis.
  12. "OWASP Application Security Verification Standard".
Retrieved from ‘https://www.vigyanwiki.in/index.php?title=अनुप्रयोग_सुरक्षा&oldid=162665