अनुप्रयोग सुरक्षा: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(4 intermediate revisions by 3 users not shown)
Line 2: Line 2:
{{Information security}}
{{Information security}}


अनुप्रयोग सुरक्षा (संक्षिप्त ऐपसेक) में वे सभी कार्य सम्मिलित हैं जो विकास समूहों के लिए एक सुरक्षित सॉफ़्टवेयर विकास जीवन चक्र प्रस्तुत करते हैं। इसका अंतिम लक्ष्य सुरक्षा प्रथाओं में संशोधन करना है और इसके माध्यम से अनुप्रयोगों के भीतर सुरक्षा समस्याओं को ढूंढना, ठीक करना और अधिमानतः रोकना है। यह आवश्यकताओं के विश्लेषण, डिजाइन, कार्यान्वयन, सत्यापन के साथ-साथ रखरखाव से पूरे अनुप्रयोग जीवन चक्र को सम्मिलित करता है।<ref>{{Cite web|last=Happe|first=Andreas|date=3 June 2021|title=What is AppSec anyways?|url=https://snikt.net/blog/2021/06/03/what-is-appsec-anyways/|website=snikt.net}}</ref>
अनुप्रयोग सुरक्षा (संक्षिप्त ऐपसेक) में वे सभी कार्य सम्मिलित हैं जो विकास समूहों के लिए एक सुरक्षित सॉफ़्टवेयर विकास जीवन चक्र प्रस्तुत करते हैं। इसका अंतिम लक्ष्य सुरक्षा प्रथाओं में संशोधन करना है और इसके माध्यम से अनुप्रयोगों के भीतर सुरक्षा समस्याओं को ढूंढना, ठीक करना और अधिमानतः रोकना है। यह आवश्यकताओं के विश्लेषण, डिजाइन, कार्यान्वयन, सत्यापन के साथ-साथ रखरखाव से पूरे अनुप्रयोग जीवन चक्र को सम्मिलित करते है।<ref>{{Cite web|last=Happe|first=Andreas|date=3 June 2021|title=What is AppSec anyways?|url=https://snikt.net/blog/2021/06/03/what-is-appsec-anyways/|website=snikt.net}}</ref>




Line 8: Line 8:
अलग-अलग दृष्टिकोण सुरक्षा भेद्यता के विभिन्न उपसमुच्चयों को एक अनुप्रयोग में छिपा हुआ पाएंगे और सॉफ्टवेयर जीवनचक्र में अलग-अलग समय पर सबसे प्रभावी होते हैं। वे प्रत्येक पाए गए समय, प्रयास, लागत और भेद्यता के विभिन्न व्यापार का प्रतिनिधित्व करते हैं।
अलग-अलग दृष्टिकोण सुरक्षा भेद्यता के विभिन्न उपसमुच्चयों को एक अनुप्रयोग में छिपा हुआ पाएंगे और सॉफ्टवेयर जीवनचक्र में अलग-अलग समय पर सबसे प्रभावी होते हैं। वे प्रत्येक पाए गए समय, प्रयास, लागत और भेद्यता के विभिन्न व्यापार का प्रतिनिधित्व करते हैं।


* [[डिजाइन की समीक्षा]]. कोड लिखे जाने से पहले सुरक्षा समस्याओं के लिए अनुप्रयोग की संरचना और डिज़ाइन की समीक्षा की जा सकती है। इस चरण में एक सामान्य तकनीक एक [[ खतरा मॉडल |संकट मॉडल]] का निर्माण है।
* [[डिजाइन की समीक्षा]]. कोड लिखे जाने से पहले सुरक्षा समस्याओं के लिए अनुप्रयोग की संरचना और डिज़ाइन की समीक्षा की जा सकती है। इस चरण में सामान्य तकनीक एक [[ खतरा मॉडल |संकट मॉडल]] का निर्माण है।
* व्हाइटबॉक्स सुरक्षा समीक्षा, या कोड समीक्षा. यह एक सुरक्षा इंजीनियर है जो स्रोत कोड की हस्तचालन से समीक्षा करके और सुरक्षा कमियों को ध्यान में रखते हुए अनुप्रयोग को गहराई से समझता है। अनुप्रयोग की समझ के माध्यम से, अनुप्रयोग के लिए अद्वितीय भेद्यता पाई जा सकती है।
* व्हाइटबॉक्स सुरक्षा समीक्षा, या कोड समीक्षा. यह एक सुरक्षा इंजीनियर है जो स्रोत कोड की हस्तचालन से समीक्षा करके और सुरक्षा कमियों को ध्यान में रखते हुए अनुप्रयोग को गहराई से समझता है। अनुप्रयोग की समझ के माध्यम से, अनुप्रयोग के लिए अद्वितीय भेद्यता पाई जा सकती है।
* ब्लैकबॉक्स [[सूचना सुरक्षा ऑडिट|सूचना सुरक्षा अंकेक्षण]]. यह मात्र सुरक्षा भेद्यता के लिए परीक्षण करने वाले अनुप्रयोग के उपयोग के माध्यम से है, किसी स्रोत कोड की आवश्यकता नहीं है।
* ब्लैकबॉक्स [[सूचना सुरक्षा ऑडिट|सूचना सुरक्षा अंकेक्षण]]. यह मात्र सुरक्षा भेद्यता के लिए परीक्षण करने वाले अनुप्रयोग के उपयोग के माध्यम से है, किसी स्रोत कोड की आवश्यकता नहीं है।
Line 22: Line 22:
=== सुरक्षा थ्रेट ===
=== सुरक्षा थ्रेट ===


ओपन वेब अनुप्रयोग सिक्योरिटी प्रोजेक्ट ([[OWASP|ओडब्ल्यूएएसपी]]) निःशुल्क और विवृत संसाधन प्रदान करता है। इसका नेतृत्व ओडब्ल्यूएएसपी संस्था नामक एक गैर-लाभकारी संस्था द्वारा किया जाता है। ओडब्ल्यूएएसपी शीर्ष 10 - 2017 40 से अधिक सहयोगी संगठनों से संकलित व्यापक डेटा के आधार पर वर्तमान शोध के परिणाम हैं। इस डेटा ने 50,000 से अधिक अनुप्रयोगों में लगभग 2.3 मिलियन भेद्यता को प्रकाशित किया।<ref>{{Cite journal|last=Korolov|first=Maria|date=Apr 27, 2017|title=Latest OWASP Top 10 looks at APIs, web apps: The new OWASP Top 10 list is out, and while most of it remains the same, there are new additions focusing on web applications and APIs|journal=CSO|id={{ProQuest|1892694046}}}}</ref> ओडब्ल्यूएएसपी टॉप 10 - 2021 के अनुसार, दस सबसे महत्वपूर्ण वेब अनुप्रयोग सुरक्षा संकटों में सम्मिलित हैं:<ref>{{Cite web|date=2021|title=OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks|url=https://owasp.org/Top10/|access-date=January 11, 2022|website=Open Web Application Security Project}}</ref>
विवृत वेब अनुप्रयोग सुरक्षा परियोजना ([[OWASP|ओडब्ल्यूएएसपी]]) निःशुल्क और विवृत संसाधन प्रदान करते है। इसका नेतृत्व ओडब्ल्यूएएसपी संस्था नामक एक गैर-लाभकारी संस्था द्वारा किया जाता है। ओडब्ल्यूएएसपी शीर्ष 10 - 2017 40 से अधिक सहयोगी संगठनों से संकलित व्यापक डेटा के आधार पर वर्तमान शोध के परिणाम हैं। इस डेटा ने 50,000 से अधिक अनुप्रयोगों में लगभग 2.3 मिलियन भेद्यता को प्रकाशित किया।<ref>{{Cite journal|last=Korolov|first=Maria|date=Apr 27, 2017|title=Latest OWASP Top 10 looks at APIs, web apps: The new OWASP Top 10 list is out, and while most of it remains the same, there are new additions focusing on web applications and APIs|journal=CSO|id={{ProQuest|1892694046}}}}</ref> ओडब्ल्यूएएसपी टॉप 10 - 2021 के अनुसार, दस सबसे महत्वपूर्ण वेब अनुप्रयोग सुरक्षा संकटों में सम्मिलित हैं:<ref>{{Cite web|date=2021|title=OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks|url=https://owasp.org/Top10/|access-date=January 11, 2022|website=Open Web Application Security Project}}</ref>
# विच्छिन्न अभिगम नियंत्रण
# विच्छिन्न अभिगम नियंत्रण
# गूढ़लेखिकी विफलताएँ
# गूढ़लेखिकी विफलताएँ
Line 32: Line 32:
# सॉफ्टवेयर और डेटा अखंडता विफलता
# सॉफ्टवेयर और डेटा अखंडता विफलता
# सुरक्षा लॉगिंग और अनुवीक्षण विफलता
# सुरक्षा लॉगिंग और अनुवीक्षण विफलता
# सर्वर-साइड अनुरोध जालसाजी (एसएसआरएफ)
# सर्वर-साइड अनुरोध जालसाजी (एसएसआरएफ)  


== सुरक्षा परीक्षण के लिए उपकरण ==
== सुरक्षा परीक्षण के लिए उपकरण ==


सुरक्षा परीक्षण तकनीकें अनुप्रयोगों में भेद्यता या सुरक्षा छिद्र के लिए परिमार्जन करती हैं। ये भेद्यताएं अनुप्रयोगों को [[शोषण (कंप्यूटर सुरक्षा)]] के लिए विवृत छोड़ देती हैं। आदर्श रूप से, सुरक्षा परीक्षण पूरे सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) में लागू किया जाता है ताकि भेद्यता को समय पर और पूर्ण रूप से संबोधित किया जा सके।
सुरक्षा परीक्षण तकनीकें अनुप्रयोगों में भेद्यता या सुरक्षा छिद्र के लिए परिमार्जन करती हैं। ये भेद्यताएं अनुप्रयोगों को [[शोषण (कंप्यूटर सुरक्षा)|शोषण (कंप्यूटर सुरक्षा]]) के लिए विवृत छोड़ देती हैं। आदर्श रूप से, सुरक्षा परीक्षण पूरे सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) में लागू किया जाता है ताकि भेद्यता को समय पर और पूर्ण रूप से संबोधित किया जा सके।


अनुप्रयोगों में भेद्यता की अभिज्ञान करने के लिए कई प्रकार के स्वचालित उपकरण हैं। अनुप्रयोग भेद्यता की अभिज्ञान करने के लिए उपयोग की जाने वाली सामान्य उपकरण श्रेणियों में सम्मिलित हैं:
अनुप्रयोगों में भेद्यता की अभिज्ञान करने के लिए कई प्रकार के स्वचालित उपकरण हैं। अनुप्रयोग भेद्यता की अभिज्ञान करने के लिए उपयोग की जाने वाली सामान्य उपकरण श्रेणियों में सम्मिलित हैं:
* [[स्थैतिक अनुप्रयोग सुरक्षा परीक्षण]] (एसएएसटी) किसी अनुप्रयोग के विकास के समय सुरक्षा भेद्यता के लिए स्रोत कोड का विश्लेषण करता है। डीएएसटी की तुलना में, एसएएसटी का उपयोग तब भी किया जा सकता है जब अनुप्रयोग निष्पादन योग्य स्थिति में हो। चूंकि एसएएसटी के समीप पूर्ण स्रोत कोड तक पहुंच है, यह एक व्हाइट-बॉक्स दृष्टिकोण है। यह अधिक विस्तृत परिणाम प्राप्त कर सकता है परन्तु इसके परिणामस्वरूप कई अनुचित सकारात्मक परिणाम हो सकते हैं जिन्हें हस्तचालन से सत्यापित करने की आवश्यकता होती है।
* [[स्थैतिक अनुप्रयोग सुरक्षा परीक्षण]] (एसएएसटी) किसी अनुप्रयोग के विकास के समय सुरक्षा भेद्यता के लिए स्रोत कोड का विश्लेषण करते है। डीएएसटी की तुलना में, एसएएसटी का उपयोग तब भी किया जा सकता है जब अनुप्रयोग निष्पादन योग्य स्थिति में हो। चूंकि एसएएसटी के समीप पूर्ण स्रोत कोड तक पहुंच है, यह एक व्हाइट-बॉक्स दृष्टिकोण है। यह अधिक विस्तृत परिणाम प्राप्त कर सकते है परन्तु इसके परिणामस्वरूप कई अनुचित धनात्मक परिणाम हो सकते हैं जिन्हें हस्तचालन से सत्यापित करने की आवश्यकता होती है।
* गतिशील अनुप्रयोग सुरक्षा परीक्षण (डीएएसटी, जिसे प्रायः [[भेद्यता स्कैनर|भेद्यता क्रमवीक्षक]] कहा जाता है) वेबसाइटों को रिंगण और विश्लेषण करके स्वचालित रूप से भेद्यता का पता लगाता है। यह विधि अत्यधिक मापनीय, सरलता से एकीकृत और त्वरित है। डीएएसटी उपकरण निम्न-स्तरीय आक्षेपों जैसे अंतःक्षेप की कमियों से निपटने के लिए ठीक रूप से अनुकूल हैं, परन्तु उच्च-स्तरीय कमियों, जैसे तर्क या व्यावसायिक तर्क की कमियों का पता लगाने के लिए ठीक रूप से अनुकूल नहीं हैं।<ref>{{cite news | title= वेब अनुप्रयोग भेद्यता स्कैनर| publisher=NIST |url= http://samate.nist.gov/index.php/Web_Application_Vulnerability_Scanners.html}}</ref> [[फज़िंग]] उपकरण का उपयोग सामान्यतः निविष्ट परीक्षण के लिए किया जाता है।<ref>{{cite news | title= फज़िंग| publisher=OWASP |url=https://owasp.org/www-community/Fuzzing}}</ref>
* गतिशील अनुप्रयोग सुरक्षा परीक्षण (डीएएसटी, जिसे प्रायः [[भेद्यता स्कैनर|भेद्यता क्रमवीक्षक]] कहा जाता है) वेबसाइटों को रिंगण और विश्लेषण करके स्वचालित रूप से भेद्यता का पता लगाता है। यह विधि अत्यधिक मापनीय, सरलता से एकीकृत और त्वरित है। डीएएसटी उपकरण निम्न-स्तरीय आक्षेपों जैसे अंतःक्षेप की कमियों से निपटने के लिए ठीक रूप से अनुकूल हैं, परन्तु उच्च-स्तरीय कमियों, जैसे तर्क या व्यावसायिक तर्क की कमियों का पता लगाने के लिए ठीक रूप से अनुकूल नहीं हैं।<ref>{{cite news | title= वेब अनुप्रयोग भेद्यता स्कैनर| publisher=NIST |url= http://samate.nist.gov/index.php/Web_Application_Vulnerability_Scanners.html}}</ref> [[फज़िंग]] उपकरण का उपयोग सामान्यतः निविष्ट परीक्षण के लिए किया जाता है।<ref>{{cite news | title= फज़िंग| publisher=OWASP |url=https://owasp.org/www-community/Fuzzing}}</ref>
* इंटरएक्टिव अनुप्रयोग सिक्योरिटी टेस्टिंग (आईएएसटी) [[ सॉफ्टवेयर उपकरण |सॉफ्टवेयर उपकरण]] का उपयोग करके अनुप्रयोग का आकलन करता है। यह एसएएसटी और डीएएसटी दोनों विधियों की दृढ़ता के साथ-साथ कोड, एचटीटीपी ट्रैफिक, लाइब्रेरी सूचना, बैकएंड संपर्क और कॉन्फ़िगरेशन सूचना तक पहुंच प्रदान करता है।<ref>{{cite web| url= https://www.contrastsecurity.com/security-influencers/question-i-understand-sast-and-dast-and-how-to-use-them-but-what-is-iast-and-why-does-it-matter| title=I Understand SAST and DAST But What is an IAST and Why Does it Matter?| publisher=Contrast Security| first=Jeff| last=Williams|date=2 July 2015|access-date=10 April 2018}}</ref><ref>{{cite web| url= https://hdivsecurity.com/bornsecure/what-is-iast-interactive-application-security-testing/| title=What is IAST? All About Interactive Application Security Testing| publisher=Hdiv Security| first=Roberto| last=Velasco|date=7 May 2020|access-date=7 May 2020}}</ref> कुछ आईएएसटी उत्पादों को अनुप्रयोग पर आक्षेप करने की आवश्यकता होती है, जबकि अन्य का उपयोग सामान्य गुणवत्ता आश्वासन परीक्षण के समय किया जा सकता है।<ref>{{cite web|url= http://www.quotium.com/resources/interactive-application-security-testing/ |title=इंटरएक्टिव एप्लिकेशन सुरक्षा परीक्षण का परिचय|publisher=Quotium|first=Irene |last=Abezgauz|date=February 17, 2014}}</ref>{{promotional source|date=December 2018}}<ref>{{cite web|url=https://blog.secodis.com/2015/11/26/the-emerge-of-iast/|title=IAST: A New Approach For Agile Security Testing| publisher=Secodis| first=Matthias |last=Rohr|date=November 26, 2015}}</ref>{{promotional source|date=December 2018}}
* अन्योन्य क्रियात्मक अनुप्रयोग सुरक्षा परीक्षण (आईएएसटी) [[ सॉफ्टवेयर उपकरण |सॉफ्टवेयर उपकरण]] का उपयोग करके अनुप्रयोग का आकलन करते है। यह एसएएसटी और डीएएसटी दोनों विधियों की दृढ़ता के साथ-साथ कोड, एचटीटीपी ट्रैफिक, लाइब्रेरी सूचना, बैकएंड संपर्क और कॉन्फ़िगरेशन सूचना तक पहुंच प्रदान करते है।<ref>{{cite web| url= https://www.contrastsecurity.com/security-influencers/question-i-understand-sast-and-dast-and-how-to-use-them-but-what-is-iast-and-why-does-it-matter| title=I Understand SAST and DAST But What is an IAST and Why Does it Matter?| publisher=Contrast Security| first=Jeff| last=Williams|date=2 July 2015|access-date=10 April 2018}}</ref><ref>{{cite web| url= https://hdivsecurity.com/bornsecure/what-is-iast-interactive-application-security-testing/| title=What is IAST? All About Interactive Application Security Testing| publisher=Hdiv Security| first=Roberto| last=Velasco|date=7 May 2020|access-date=7 May 2020}}</ref> कुछ आईएएसटी उत्पादों को अनुप्रयोग पर आक्षेप करने की आवश्यकता होती है, जबकि अन्य का उपयोग सामान्य गुणवत्ता आश्वासन परीक्षण के समय किया जा सकता है।<ref>{{cite web|url= http://www.quotium.com/resources/interactive-application-security-testing/ |title=इंटरएक्टिव एप्लिकेशन सुरक्षा परीक्षण का परिचय|publisher=Quotium|first=Irene |last=Abezgauz|date=February 17, 2014}}</ref>{{promotional source|date=December 2018}}<ref>{{cite web|url=https://blog.secodis.com/2015/11/26/the-emerge-of-iast/|title=IAST: A New Approach For Agile Security Testing| publisher=Secodis| first=Matthias |last=Rohr|date=November 26, 2015}}</ref>{{promotional source|date=December 2018}}
* [[रनटाइम एप्लिकेशन सेल्फ-प्रोटेक्शन|कार्यावधि अनुप्रयोग सेल्फ-प्रोटेक्शन]] एक अनुप्रयोग कार्यावधि के भीतर अतिक्रमण का पता लगाने और रोकथाम प्रदान करने के लिए वर्तमान अनुप्रयोग को बढ़ाता है।
* [[रनटाइम एप्लिकेशन सेल्फ-प्रोटेक्शन|कार्यावधि अनुप्रयोग आत्मरक्षा]] एक अनुप्रयोग कार्यावधि के भीतर अतिक्रमण का पता लगाने और रोकथाम प्रदान करने के लिए वर्तमान अनुप्रयोग को बढ़ाता है।
* निर्भरता क्रमवीक्षक (जिसे सॉफ़्टवेयर संरचना विश्लेषण भी कहा जाता है) ज्ञात भेद्यता वाले सॉफ़्टवेयर घटकों के उपयोग का पता लगाने का प्रयास करते हैं। ये उपकरण या तो मांग सापेक्ष काम कर सकते हैं, उदाहरण के लिए, स्रोत कोड निर्माण प्रक्रिया के समय या समय-समय पर।
* निर्भरता क्रमवीक्षक (जिसे सॉफ़्टवेयर संरचना विश्लेषण भी कहा जाता है) ज्ञात भेद्यता वाले सॉफ़्टवेयर घटकों के उपयोग का पता लगाने का प्रयास करते हैं। ये उपकरण या तो मांग सापेक्ष काम कर सकते हैं, उदाहरण के लिए, स्रोत कोड निर्माण प्रक्रिया के समय या समय-समय पर।
*अमूर्तता अधिक जटिल वस्तुओं को कम जटिल बनाने का विचार है।
*अमूर्तता अधिक जटिल वस्तुओं को कम जटिल बनाने का विचार है।
Line 49: Line 49:
* [[सीईआरटी सी कोडिंग मानक|सीईआरटी सी कोडन मानक]]
* [[सीईआरटी सी कोडिंग मानक|सीईआरटी सी कोडन मानक]]
* आईएसओ/आईईसी 27034-1:2011 सूचना प्रौद्योगिकी — सुरक्षा तकनीक — अनुप्रयोग सुरक्षा — भाग 1: अवलोकन और अवधारणाएँ
* आईएसओ/आईईसी 27034-1:2011 सूचना प्रौद्योगिकी — सुरक्षा तकनीक — अनुप्रयोग सुरक्षा — भाग 1: अवलोकन और अवधारणाएँ
* आईएसओ/आईईसी TR 24772:2013 सूचना प्रौद्योगिकी - प्रोग्रामिंग भाषाएँ - भाषा चयन और उपयोग के माध्यम से प्रोग्रामिंग भाषाओं में भेद्यता से बचने के लिए मार्गदर्शन
* आईएसओ/आईईसी टीआर 24772:2013 सूचना प्रौद्योगिकी - प्रोग्रामिंग भाषाएँ - भाषा चयन और उपयोग के माध्यम से प्रोग्रामिंग भाषाओं में भेद्यता से बचने के लिए निर्देशन
* [[एनआईएसटी विशेष प्रकाशन 800-53]]
* [[एनआईएसटी विशेष प्रकाशन 800-53]]
* ओडब्ल्यूएएसपी एएसवीएस: वेब अनुप्रयोग सुरक्षा सत्यापन मानक<ref>{{cite web|url=https://owasp.org/www-project-application-security-verification-standard/|title=OWASP Application Security Verification Standard}}</ref>
* ओडब्ल्यूएएसपी एएसवीएस: वेब अनुप्रयोग सुरक्षा सत्यापन मानक<ref>{{cite web|url=https://owasp.org/www-project-application-security-verification-standard/|title=OWASP Application Security Verification Standard}}</ref>
Line 55: Line 55:


== यह भी देखें ==
== यह भी देखें ==
* [[ अनुप्रयोग सेवा वास्तुकला | नुप्रयोग सेवा संरचना]] (एएसए)
* [[ अनुप्रयोग सेवा वास्तुकला |अनुप्रयोग सेवा संरचना]] (एएसए)  
* [[सामान्य कमजोरियों की गणना|सामान्य भेद्यता की गणना]]
* [[सामान्य कमजोरियों की गणना|सामान्य भेद्यता की गणना]]
* [[डाटा सुरक्षा]]
* [[डाटा सुरक्षा]]
Line 70: Line 70:
-->
-->


{{DEFAULTSORT:Application Security}}[[Category: मोबाइल सुरक्षा]] [[Category: डाटा सुरक्षा]]
{{DEFAULTSORT:Application Security}}


 
[[Category:All articles lacking reliable references|Application Security]]
 
[[Category:Articles lacking reliable references from December 2018|Application Security]]
[[Category: Machine Translated Page]]
[[Category:Created On 11/05/2023|Application Security]]
[[Category:Created On 11/05/2023]]
[[Category:Lua-based templates|Application Security]]
[[Category:Machine Translated Page|Application Security]]
[[Category:Pages with script errors|Application Security]]
[[Category:Templates Vigyan Ready|Application Security]]
[[Category:Templates that add a tracking category|Application Security]]
[[Category:Templates that generate short descriptions|Application Security]]
[[Category:Templates using TemplateData|Application Security]]
[[Category:डाटा सुरक्षा|Application Security]]
[[Category:मोबाइल सुरक्षा|Application Security]]

Latest revision as of 16:37, 18 May 2023

अनुप्रयोग सुरक्षा (संक्षिप्त ऐपसेक) में वे सभी कार्य सम्मिलित हैं जो विकास समूहों के लिए एक सुरक्षित सॉफ़्टवेयर विकास जीवन चक्र प्रस्तुत करते हैं। इसका अंतिम लक्ष्य सुरक्षा प्रथाओं में संशोधन करना है और इसके माध्यम से अनुप्रयोगों के भीतर सुरक्षा समस्याओं को ढूंढना, ठीक करना और अधिमानतः रोकना है। यह आवश्यकताओं के विश्लेषण, डिजाइन, कार्यान्वयन, सत्यापन के साथ-साथ रखरखाव से पूरे अनुप्रयोग जीवन चक्र को सम्मिलित करते है।[1]


दृष्टिकोण

अलग-अलग दृष्टिकोण सुरक्षा भेद्यता के विभिन्न उपसमुच्चयों को एक अनुप्रयोग में छिपा हुआ पाएंगे और सॉफ्टवेयर जीवनचक्र में अलग-अलग समय पर सबसे प्रभावी होते हैं। वे प्रत्येक पाए गए समय, प्रयास, लागत और भेद्यता के विभिन्न व्यापार का प्रतिनिधित्व करते हैं।

  • डिजाइन की समीक्षा. कोड लिखे जाने से पहले सुरक्षा समस्याओं के लिए अनुप्रयोग की संरचना और डिज़ाइन की समीक्षा की जा सकती है। इस चरण में सामान्य तकनीक एक संकट मॉडल का निर्माण है।
  • व्हाइटबॉक्स सुरक्षा समीक्षा, या कोड समीक्षा. यह एक सुरक्षा इंजीनियर है जो स्रोत कोड की हस्तचालन से समीक्षा करके और सुरक्षा कमियों को ध्यान में रखते हुए अनुप्रयोग को गहराई से समझता है। अनुप्रयोग की समझ के माध्यम से, अनुप्रयोग के लिए अद्वितीय भेद्यता पाई जा सकती है।
  • ब्लैकबॉक्स सूचना सुरक्षा अंकेक्षण. यह मात्र सुरक्षा भेद्यता के लिए परीक्षण करने वाले अनुप्रयोग के उपयोग के माध्यम से है, किसी स्रोत कोड की आवश्यकता नहीं है।
  • स्वचालित उपकरण . कई सुरक्षा उपकरणों को विकास या परीक्षण परिवेश में सम्मिलित करके स्वचालित किया जा सकता है। इसके उदाहरण स्वचालित डीएएसटी/एसएएसटी उपकरण हैं जो कोड संपादक या सीआई/सीडी प्लेटफॉर्म में एकीकृत हैं।
  • बग बाउंटी प्रोग्राम. ये हैकर-संचालित अनुप्रयोग सुरक्षा हल हैं जो कई वेबसाइटों और सॉफ़्टवेयर विकासक द्वारा प्रस्तुत किए जाते हैं जिनके द्वारा व्यक्ति प्रतिवेदन बग के लिए मान्यता और प्रतिकर प्राप्त कर सकते हैं।

वेब अनुप्रयोग सुरक्षा

वेब अनुप्रयोग सुरक्षा सूचना सुरक्षा की एक शाखा है जो विशेष रूप से वेबसाइट, वेब अनुप्रयोग और वेब सेवा की सुरक्षा से संबंधित है। उच्च स्तर पर, वेब अनुप्रयोग सुरक्षा अनुप्रयोग सुरक्षा के सिद्धांतों पर आधारित है, परन्तु उन्हें विशेष रूप से इंटरनेट और वर्ल्ड वाइड वेब प्रणाली पर लागू करती है।[2][3]

वेब अनुप्रयोग सुरक्षा उपकरण एचटीटीपी ट्रैफ़िक के साथ काम करने के लिए विशेष उपकरण हैं, उदाहरण के लिए, वेब अनुप्रयोग फ़ायरवॉल

सुरक्षा थ्रेट

विवृत वेब अनुप्रयोग सुरक्षा परियोजना (ओडब्ल्यूएएसपी) निःशुल्क और विवृत संसाधन प्रदान करते है। इसका नेतृत्व ओडब्ल्यूएएसपी संस्था नामक एक गैर-लाभकारी संस्था द्वारा किया जाता है। ओडब्ल्यूएएसपी शीर्ष 10 - 2017 40 से अधिक सहयोगी संगठनों से संकलित व्यापक डेटा के आधार पर वर्तमान शोध के परिणाम हैं। इस डेटा ने 50,000 से अधिक अनुप्रयोगों में लगभग 2.3 मिलियन भेद्यता को प्रकाशित किया।[4] ओडब्ल्यूएएसपी टॉप 10 - 2021 के अनुसार, दस सबसे महत्वपूर्ण वेब अनुप्रयोग सुरक्षा संकटों में सम्मिलित हैं:[5]

  1. विच्छिन्न अभिगम नियंत्रण
  2. गूढ़लेखिकी विफलताएँ
  3. कोड अंतःक्षेप
  4. असुरक्षित डिजाइन
  5. सुरक्षा अनुचित कॉन्फ़िगरेशन
  6. सुभेद्य और अप्रचलित घटक
  7. अभिज्ञान और प्रमाणीकरण विफल
  8. सॉफ्टवेयर और डेटा अखंडता विफलता
  9. सुरक्षा लॉगिंग और अनुवीक्षण विफलता
  10. सर्वर-साइड अनुरोध जालसाजी (एसएसआरएफ)

सुरक्षा परीक्षण के लिए उपकरण

सुरक्षा परीक्षण तकनीकें अनुप्रयोगों में भेद्यता या सुरक्षा छिद्र के लिए परिमार्जन करती हैं। ये भेद्यताएं अनुप्रयोगों को शोषण (कंप्यूटर सुरक्षा) के लिए विवृत छोड़ देती हैं। आदर्श रूप से, सुरक्षा परीक्षण पूरे सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) में लागू किया जाता है ताकि भेद्यता को समय पर और पूर्ण रूप से संबोधित किया जा सके।

अनुप्रयोगों में भेद्यता की अभिज्ञान करने के लिए कई प्रकार के स्वचालित उपकरण हैं। अनुप्रयोग भेद्यता की अभिज्ञान करने के लिए उपयोग की जाने वाली सामान्य उपकरण श्रेणियों में सम्मिलित हैं:

  • स्थैतिक अनुप्रयोग सुरक्षा परीक्षण (एसएएसटी) किसी अनुप्रयोग के विकास के समय सुरक्षा भेद्यता के लिए स्रोत कोड का विश्लेषण करते है। डीएएसटी की तुलना में, एसएएसटी का उपयोग तब भी किया जा सकता है जब अनुप्रयोग निष्पादन योग्य स्थिति में हो। चूंकि एसएएसटी के समीप पूर्ण स्रोत कोड तक पहुंच है, यह एक व्हाइट-बॉक्स दृष्टिकोण है। यह अधिक विस्तृत परिणाम प्राप्त कर सकते है परन्तु इसके परिणामस्वरूप कई अनुचित धनात्मक परिणाम हो सकते हैं जिन्हें हस्तचालन से सत्यापित करने की आवश्यकता होती है।
  • गतिशील अनुप्रयोग सुरक्षा परीक्षण (डीएएसटी, जिसे प्रायः भेद्यता क्रमवीक्षक कहा जाता है) वेबसाइटों को रिंगण और विश्लेषण करके स्वचालित रूप से भेद्यता का पता लगाता है। यह विधि अत्यधिक मापनीय, सरलता से एकीकृत और त्वरित है। डीएएसटी उपकरण निम्न-स्तरीय आक्षेपों जैसे अंतःक्षेप की कमियों से निपटने के लिए ठीक रूप से अनुकूल हैं, परन्तु उच्च-स्तरीय कमियों, जैसे तर्क या व्यावसायिक तर्क की कमियों का पता लगाने के लिए ठीक रूप से अनुकूल नहीं हैं।[6] फज़िंग उपकरण का उपयोग सामान्यतः निविष्ट परीक्षण के लिए किया जाता है।[7]
  • अन्योन्य क्रियात्मक अनुप्रयोग सुरक्षा परीक्षण (आईएएसटी) सॉफ्टवेयर उपकरण का उपयोग करके अनुप्रयोग का आकलन करते है। यह एसएएसटी और डीएएसटी दोनों विधियों की दृढ़ता के साथ-साथ कोड, एचटीटीपी ट्रैफिक, लाइब्रेरी सूचना, बैकएंड संपर्क और कॉन्फ़िगरेशन सूचना तक पहुंच प्रदान करते है।[8][9] कुछ आईएएसटी उत्पादों को अनुप्रयोग पर आक्षेप करने की आवश्यकता होती है, जबकि अन्य का उपयोग सामान्य गुणवत्ता आश्वासन परीक्षण के समय किया जा सकता है।[10][promotional source?][11][promotional source?]
  • कार्यावधि अनुप्रयोग आत्मरक्षा एक अनुप्रयोग कार्यावधि के भीतर अतिक्रमण का पता लगाने और रोकथाम प्रदान करने के लिए वर्तमान अनुप्रयोग को बढ़ाता है।
  • निर्भरता क्रमवीक्षक (जिसे सॉफ़्टवेयर संरचना विश्लेषण भी कहा जाता है) ज्ञात भेद्यता वाले सॉफ़्टवेयर घटकों के उपयोग का पता लगाने का प्रयास करते हैं। ये उपकरण या तो मांग सापेक्ष काम कर सकते हैं, उदाहरण के लिए, स्रोत कोड निर्माण प्रक्रिया के समय या समय-समय पर।
  • अमूर्तता अधिक जटिल वस्तुओं को कम जटिल बनाने का विचार है।

सुरक्षा मानक और नियम

  • सीईआरटी सी कोडन मानक
  • आईएसओ/आईईसी 27034-1:2011 सूचना प्रौद्योगिकी — सुरक्षा तकनीक — अनुप्रयोग सुरक्षा — भाग 1: अवलोकन और अवधारणाएँ
  • आईएसओ/आईईसी टीआर 24772:2013 सूचना प्रौद्योगिकी - प्रोग्रामिंग भाषाएँ - भाषा चयन और उपयोग के माध्यम से प्रोग्रामिंग भाषाओं में भेद्यता से बचने के लिए निर्देशन
  • एनआईएसटी विशेष प्रकाशन 800-53
  • ओडब्ल्यूएएसपी एएसवीएस: वेब अनुप्रयोग सुरक्षा सत्यापन मानक[12]


यह भी देखें

संदर्भ

  1. Happe, Andreas (3 June 2021). "What is AppSec anyways?". snikt.net.
  2. "वेब अनुप्रयोग सुरक्षा अवलोकन". 2015-10-23.
  3. Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem (2013-01-17). "वेब अनुप्रयोग सुरक्षा विकास मॉडल की व्यवस्थित समीक्षा". Artificial Intelligence Review. 43 (2): 259–276. doi:10.1007/s10462-012-9375-6. ISSN 0269-2821. S2CID 15221613.
  4. Korolov, Maria (Apr 27, 2017). "Latest OWASP Top 10 looks at APIs, web apps: The new OWASP Top 10 list is out, and while most of it remains the same, there are new additions focusing on web applications and APIs". CSO. ProQuest 1892694046.
  5. "OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks". Open Web Application Security Project. 2021. Retrieved January 11, 2022.
  6. "वेब अनुप्रयोग भेद्यता स्कैनर". NIST.
  7. "फज़िंग". OWASP.
  8. Williams, Jeff (2 July 2015). "I Understand SAST and DAST But What is an IAST and Why Does it Matter?". Contrast Security. Retrieved 10 April 2018.
  9. Velasco, Roberto (7 May 2020). "What is IAST? All About Interactive Application Security Testing". Hdiv Security. Retrieved 7 May 2020.
  10. Abezgauz, Irene (February 17, 2014). "इंटरएक्टिव एप्लिकेशन सुरक्षा परीक्षण का परिचय". Quotium.
  11. Rohr, Matthias (November 26, 2015). "IAST: A New Approach For Agile Security Testing". Secodis.
  12. "OWASP Application Security Verification Standard".