EITC/IS/WASF ওয়েব অ্যাপ্লিকেশন সিকিউরিটি ফান্ডামেন্টাল হল একটি ইউরোপীয় আইটি সার্টিফিকেশন প্রোগ্রাম যা ওয়ার্ল্ড ওয়াইড ওয়েব পরিষেবার নিরাপত্তার তাত্ত্বিক এবং ব্যবহারিক দিকগুলির উপর ভিত্তি করে ওয়েব প্রোটোকলের নিরাপত্তা থেকে শুরু করে, গোপনীয়তা, হুমকি এবং ওয়েব ট্রাফিক নেটওয়ার্ক যোগাযোগের বিভিন্ন স্তরে আক্রমণের মাধ্যমে, ওয়েব সার্ভার নিরাপত্তা, ওয়েব ব্রাউজার এবং ওয়েব অ্যাপ্লিকেশন সহ উচ্চ স্তরের নিরাপত্তা, সেইসাথে প্রমাণীকরণ, শংসাপত্র এবং ফিসিং।
EITC/IS/WASF ওয়েব অ্যাপ্লিকেশন সিকিউরিটি ফান্ডামেন্টালের পাঠ্যক্রম এইচটিএমএল এবং জাভাস্ক্রিপ্ট ওয়েব নিরাপত্তা দিক, ডিএনএস, এইচটিটিপি, কুকি, সেশন, কুকি এবং সেশন অ্যাটাক, একই মূল নীতি, ক্রস-সাইট অনুরোধ জালিয়াতি, একই ব্যতিক্রমগুলির পরিচিতি কভার করে। অরিজিন পলিসি, ক্রস-সাইট স্ক্রিপ্টিং (XSS), ক্রস-সাইট স্ক্রিপ্টিং প্রতিরক্ষা, ওয়েব ফিঙ্গারপ্রিন্টিং, ওয়েবে গোপনীয়তা, DoS, ফিশিং এবং সাইড চ্যানেল, ডিনায়াল-অফ-সার্ভিস, ফিশিং এবং সাইড চ্যানেল, ইনজেকশন আক্রমণ, কোড ইনজেকশন, পরিবহন লেয়ার সিকিউরিটি (TLS) এবং অ্যাটাক, বাস্তব জগতে HTTPS, প্রমাণীকরণ, WebAuthn, ওয়েব সিকিউরিটি ম্যানেজ করা, Node.js প্রোজেক্টে নিরাপত্তা সংক্রান্ত উদ্বেগ, সার্ভার সিকিউরিটি, নিরাপদ কোডিং প্র্যাকটিস, লোকাল HTTP সার্ভার সিকিউরিটি, DNS রিবাইন্ডিং অ্যাটাক, ব্রাউজার অ্যাটাক, ব্রাউজার আর্কিটেকচার, সেইসাথে নিরাপদ ব্রাউজার কোড লেখা, নিম্নলিখিত কাঠামোর মধ্যে, এই EITC সার্টিফিকেশনের জন্য একটি রেফারেন্স হিসাবে ব্যাপক ভিডিও শিক্ষামূলক বিষয়বস্তু অন্তর্ভুক্ত করে।
ওয়েব অ্যাপ্লিকেশন নিরাপত্তা হল তথ্য নিরাপত্তার একটি উপসেট যা ওয়েবসাইট, ওয়েব অ্যাপ্লিকেশন এবং ওয়েব পরিষেবা নিরাপত্তার উপর ফোকাস করে। ওয়েব অ্যাপ্লিকেশন নিরাপত্তা, তার সবচেয়ে মৌলিক স্তরে, অ্যাপ্লিকেশন নিরাপত্তা নীতির উপর ভিত্তি করে, কিন্তু এটি বিশেষ করে ইন্টারনেট এবং ওয়েব প্ল্যাটফর্মগুলিতে প্রযোজ্য। ওয়েব অ্যাপ্লিকেশন নিরাপত্তা প্রযুক্তি, যেমন ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল, HTTP ট্র্যাফিকের সাথে কাজ করার জন্য বিশেষ সরঞ্জাম।
ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট (OWASP) বিনামূল্যে এবং উন্মুক্ত উভয় সংস্থান সরবরাহ করে। একটি অলাভজনক OWASP ফাউন্ডেশন এটির দায়িত্বে রয়েছে। 2017 OWASP শীর্ষ 10 হল বর্তমান অধ্যয়নের ফলাফল যা 40 টিরও বেশি অংশীদার সংস্থা থেকে সংগ্রহ করা বিস্তৃত ডেটার উপর ভিত্তি করে। এই ডেটা ব্যবহার করে 2.3 টিরও বেশি অ্যাপ্লিকেশন জুড়ে প্রায় 50,000 মিলিয়ন দুর্বলতা সনাক্ত করা হয়েছে। OWASP শীর্ষ 10 - 2017 অনুযায়ী শীর্ষ দশটি সবচেয়ে গুরুত্বপূর্ণ অনলাইন অ্যাপ্লিকেশন নিরাপত্তা উদ্বেগ হল:
- ইনজেকশন
- প্রমাণীকরণ সমস্যা
- উন্মুক্ত সংবেদনশীল ডেটা এক্সএমএল বাহ্যিক সত্তা (এক্সএক্সই)
- অ্যাক্সেস নিয়ন্ত্রণ যা কাজ করছে না
- নিরাপত্তার ভুল কনফিগারেশন
- সাইট-টু-সাইট স্ক্রিপ্টিং (XSS)
- ডিসিরিয়ালাইজেশন যা নিরাপদ নয়
- পরিচিত ত্রুটি আছে এমন উপাদান ব্যবহার করে
- লগিং এবং পর্যবেক্ষণ অপর্যাপ্ত.
তাই বিভিন্ন নিরাপত্তা হুমকির বিরুদ্ধে ওয়েবসাইট এবং অনলাইন পরিষেবাগুলিকে রক্ষা করার অভ্যাস যা একটি অ্যাপ্লিকেশনের কোডের দুর্বলতাকে কাজে লাগিয়ে ওয়েব অ্যাপ্লিকেশন নিরাপত্তা নামে পরিচিত। কন্টেন্ট ম্যানেজমেন্ট সিস্টেম (যেমন, ওয়ার্ডপ্রেস), ডাটাবেস অ্যাডমিনিস্ট্রেশন টুলস (যেমন, phpMyAdmin), এবং SaaS অ্যাপ হল অনলাইন অ্যাপ্লিকেশান আক্রমণের জন্য সাধারণ লক্ষ্য।
ওয়েব অ্যাপ্লিকেশনগুলিকে অপরাধীদের দ্বারা উচ্চ-অগ্রাধিকার লক্ষ্য হিসাবে বিবেচনা করা হয় কারণ:
- তাদের সোর্স কোডের জটিলতার কারণে, অযৌক্তিক দুর্বলতা এবং দূষিত কোড পরিবর্তনের সম্ভাবনা বেশি।
- উচ্চ-মূল্যের পুরস্কার, যেমন কার্যকর সোর্স কোড টেম্পারিংয়ের মাধ্যমে প্রাপ্ত সংবেদনশীল ব্যক্তিগত তথ্য।
- মৃত্যুদন্ড কার্যকর করা সহজ, কারণ বেশিরভাগ আক্রমণই সহজেই স্বয়ংক্রিয় এবং নির্বিচারে হাজার, দশ, এমনকি কয়েক লক্ষ লক্ষ্যের বিরুদ্ধে একযোগে মোতায়েন করা যেতে পারে।
- যে সংস্থাগুলি তাদের ওয়েব অ্যাপ্লিকেশনগুলিকে সুরক্ষিত রাখতে ব্যর্থ হয় তারা আক্রমণের ঝুঁকিতে থাকে৷ এটি অন্যান্য জিনিসগুলির মধ্যে ডেটা চুরি, ক্লায়েন্টের সম্পর্কের টানাপোড়েন, বাতিল লাইসেন্স এবং আইনি পদক্ষেপের দিকে নিয়ে যেতে পারে।
ওয়েবসাইটের দুর্বলতা
ইনপুট/আউটপুট স্যানিটাইজেশন ত্রুটিগুলি ওয়েব অ্যাপ্লিকেশনগুলিতে সাধারণ, এবং সেগুলি প্রায়শই সোর্স কোড পরিবর্তন করতে বা অননুমোদিত অ্যাক্সেস পেতে শোষিত হয়।
এই ত্রুটিগুলি বিভিন্ন আক্রমণ ভেক্টরের শোষণের অনুমতি দেয়, যার মধ্যে রয়েছে:
- SQL ইনজেকশন - যখন একজন অপরাধী দূষিত SQL কোডের সাথে একটি ব্যাকএন্ড ডাটাবেস ম্যানিপুলেট করে, তথ্য প্রকাশ করা হয়। অবৈধ তালিকা ব্রাউজিং, টেবিল মুছে ফেলা, এবং অননুমোদিত প্রশাসক অ্যাক্সেস পরিণতিগুলির মধ্যে রয়েছে৷
- XSS (ক্রস-সাইট স্ক্রিপ্টিং) হল একটি ইনজেকশন আক্রমণ যা অ্যাকাউন্টগুলিতে অ্যাক্সেস পেতে, ট্রোজান সক্রিয় করতে বা পৃষ্ঠার বিষয়বস্তু পরিবর্তন করার জন্য ব্যবহারকারীদের লক্ষ্য করে। যখন দূষিত কোড সরাসরি একটি অ্যাপ্লিকেশনে ইনজেক্ট করা হয়, তখন এটি সংরক্ষিত XSS নামে পরিচিত। যখন ক্ষতিকারক স্ক্রিপ্ট একটি অ্যাপ্লিকেশন থেকে ব্যবহারকারীর ব্রাউজারে মিরর করা হয়, তখন এটি প্রতিফলিত XSS নামে পরিচিত।
- দূরবর্তী ফাইল অন্তর্ভুক্তি - আক্রমণের এই ফর্মটি একটি হ্যাকারকে একটি দূরবর্তী অবস্থান থেকে একটি ওয়েব অ্যাপ্লিকেশন সার্ভারে একটি ফাইল ইনজেক্ট করার অনুমতি দেয়। এর ফলে অ্যাপের মধ্যে বিপজ্জনক স্ক্রিপ্ট বা কোড চালানোর পাশাপাশি ডেটা চুরি বা পরিবর্তন হতে পারে।
- ক্রস-সাইট রিকোয়েস্ট ফোরজি (CSRF) - এক ধরনের আক্রমণ যার ফলে নগদ, পাসওয়ার্ড পরিবর্তন বা ডেটা চুরির অনিচ্ছাকৃত স্থানান্তর হতে পারে। এটি ঘটে যখন একটি দূষিত ওয়েব প্রোগ্রাম ব্যবহারকারীর ব্রাউজারকে এমন একটি ওয়েবসাইটে একটি অবাঞ্ছিত ক্রিয়া পরিচালনা করার নির্দেশ দেয় যেখানে তারা লগ ইন করেছে৷
তাত্ত্বিকভাবে, কার্যকর ইনপুট/আউটপুট স্যানিটাইজেশন সমস্ত দুর্বলতা নির্মূল করতে পারে, একটি অ্যাপ্লিকেশনকে অননুমোদিত পরিবর্তনের জন্য অভেদ্য রেন্ডার করে।
যাইহোক, যেহেতু বেশিরভাগ প্রোগ্রামই উন্নয়নের চিরস্থায়ী অবস্থায় রয়েছে, তাই ব্যাপক স্যানিটাইজেশন খুব কমই একটি কার্যকর বিকল্প। উপরন্তু, অ্যাপগুলি সাধারণত একে অপরের সাথে একত্রিত হয়, যার ফলে একটি কোডেড পরিবেশ তৈরি হয় যা ক্রমশ জটিল হয়ে উঠছে।
এই ধরনের বিপদ এড়াতে, ওয়েব অ্যাপ্লিকেশন নিরাপত্তা সমাধান এবং প্রক্রিয়াগুলি, যেমন PCI ডেটা সিকিউরিটি স্ট্যান্ডার্ড (PCI DSS) সার্টিফিকেশন, প্রয়োগ করা উচিত।
ওয়েব অ্যাপ্লিকেশনের জন্য ফায়ারওয়াল (WAF)
WAFs (ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল) হল হার্ডওয়্যার এবং সফ্টওয়্যার সমাধান যা অ্যাপ্লিকেশনগুলিকে নিরাপত্তা হুমকি থেকে রক্ষা করে। এই সমাধানগুলি আগত ট্র্যাফিক পরিদর্শন করার জন্য ডিজাইন করা হয়েছে যাতে আক্রমণের প্রচেষ্টা সনাক্ত এবং ব্লক করা যায়, কোনও কোড স্যানিটাইজেশন ত্রুটির জন্য ক্ষতিপূরণ দেওয়া হয়।
WAF স্থাপনা PCI DSS সার্টিফিকেশনের জন্য একটি গুরুত্বপূর্ণ মাপকাঠিকে সম্বোধন করে যা তথ্য চুরি এবং পরিবর্তনের বিরুদ্ধে রক্ষা করে। প্রয়োজনীয়তা 6.6 অনুসারে একটি ডাটাবেসে রক্ষণাবেক্ষণ করা সমস্ত ক্রেডিট এবং ডেবিট কার্ডধারীর ডেটা অবশ্যই সুরক্ষিত থাকতে হবে।
যেহেতু এটি নেটওয়ার্কের প্রান্তে এটির DMZ এর চেয়ে এগিয়ে রয়েছে, একটি WAF প্রতিষ্ঠার জন্য সাধারণত একটি অ্যাপ্লিকেশনে কোনো পরিবর্তনের প্রয়োজন হয় না। এটি তখন সমস্ত আগত ট্র্যাফিকের জন্য একটি গেটওয়ে হিসাবে কাজ করে, একটি অ্যাপ্লিকেশনের সাথে ইন্টারঅ্যাক্ট করার আগে বিপজ্জনক অনুরোধগুলিকে ফিল্টার করে।
কোন অ্যাপ্লিকেশানে কোন ট্র্যাফিক অ্যাক্সেসের অনুমতি দেওয়া হয়েছে এবং কোনটি আগাছা দূর করতে হবে তা মূল্যায়ন করতে, WAF বিভিন্ন ধরনের হিউরিস্টিক নিয়োগ করে। নিয়মিত আপডেট করা স্বাক্ষর পুলের জন্য তারা দ্রুত দূষিত অভিনেতা এবং পরিচিত আক্রমণ ভেক্টর সনাক্ত করতে পারে।
প্রায় সব WAFs ব্যক্তিগত ব্যবহারের ক্ষেত্রে এবং নিরাপত্তা প্রবিধান, সেইসাথে উদীয়মান (জিরো-ডে নামেও পরিচিত) হুমকির সাথে লড়াই করার জন্য তৈরি করা যেতে পারে। অবশেষে, আগত দর্শকদের অতিরিক্ত অন্তর্দৃষ্টি অর্জন করতে, বেশিরভাগ আধুনিক সমাধানগুলি সুনাম এবং আচরণের ডেটা ব্যবহার করে।
একটি নিরাপত্তা ঘের তৈরি করার জন্য, WAFs সাধারণত অতিরিক্ত নিরাপত্তা সমাধানের সাথে মিলিত হয়। এর মধ্যে ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) প্রতিরোধ পরিষেবা অন্তর্ভুক্ত থাকতে পারে, যা উচ্চ-ভলিউম আক্রমণ প্রতিরোধ করার জন্য প্রয়োজনীয় অতিরিক্ত মাপযোগ্যতা দেয়।
ওয়েব অ্যাপ্লিকেশন নিরাপত্তা জন্য চেকলিস্ট
WAFs ছাড়াও ওয়েব অ্যাপগুলিকে সুরক্ষিত করার জন্য বিভিন্ন পদ্ধতি রয়েছে৷ যেকোনো ওয়েব অ্যাপ্লিকেশন নিরাপত্তা চেকলিস্টে নিম্নলিখিত পদ্ধতিগুলি অন্তর্ভুক্ত করা উচিত:
- ডেটা সংগ্রহ করা — এন্ট্রি পয়েন্ট এবং ক্লায়েন্ট-সাইড কোডগুলি খুঁজতে হাত দিয়ে অ্যাপ্লিকেশনটির উপর যান। তৃতীয় পক্ষ দ্বারা হোস্ট করা বিষয়বস্তু শ্রেণীবদ্ধ করুন।
- অনুমোদন — অ্যাপ্লিকেশন পরীক্ষা করার সময় পাথ ট্রাভার্সাল, উল্লম্ব এবং অনুভূমিক অ্যাক্সেস নিয়ন্ত্রণ সমস্যা, অনুমোদন অনুপস্থিত, এবং অনিরাপদ, সরাসরি বস্তুর উল্লেখগুলি সন্ধান করুন।
- ক্রিপ্টোগ্রাফি দিয়ে সমস্ত ডেটা ট্রান্সমিশন সুরক্ষিত করুন। কোন সংবেদনশীল তথ্য এনক্রিপ্ট করা হয়েছে? আপনি কি এমন কোনো অ্যালগরিদম ব্যবহার করেছেন যা স্নাফের মতো নয়? কোন এলোমেলো ত্রুটি আছে?
- পরিষেবা অস্বীকার — পরিষেবা আক্রমণ অস্বীকার করার বিরুদ্ধে একটি অ্যাপ্লিকেশনের স্থিতিস্থাপকতা উন্নত করতে অ্যান্টি-অটোমেশন, অ্যাকাউন্ট লকআউট, HTTP প্রোটোকল DoS এবং SQL ওয়াইল্ডকার্ড DoS পরীক্ষা করুন। এটি উচ্চ-ভলিউম DoS এবং DDoS আক্রমণগুলির বিরুদ্ধে সুরক্ষা অন্তর্ভুক্ত করে না, যার প্রতিরোধের জন্য ফিল্টারিং প্রযুক্তি এবং মাপযোগ্য সংস্থানগুলির মিশ্রণ প্রয়োজন।
আরও বিশদ বিবরণের জন্য, কেউ OWASP ওয়েব অ্যাপ্লিকেশন সিকিউরিটি টেস্টিং চিট শীটটি পরীক্ষা করতে পারেন (এটি অন্যান্য সুরক্ষা-সম্পর্কিত বিষয়গুলির জন্যও একটি দুর্দান্ত সংস্থান)৷
DDoS সুরক্ষা
DDoS আক্রমণ, বা বিতরণ করা অস্বীকৃতি-অফ-সার্ভিস আক্রমণ, একটি ওয়েব অ্যাপ্লিকেশনকে বাধা দেওয়ার একটি সাধারণ উপায়। কনটেন্ট ডেলিভারি নেটওয়ার্কে (CDN) ভলিউমেট্রিক অ্যাটাক ট্র্যাফিক বাতিল করা এবং পরিষেবায় বাধা না ঘটিয়ে প্রকৃত অনুরোধগুলিকে যথাযথভাবে রুট করার জন্য বহিরাগত নেটওয়ার্ক নিয়োগ সহ DDoS আক্রমণগুলি প্রশমিত করার জন্য অনেকগুলি পন্থা রয়েছে৷
DNSSEC (ডোমেইন নেম সিস্টেম সিকিউরিটি এক্সটেনশন) সুরক্ষা
ডোমেন নাম সিস্টেম, বা DNS হল ইন্টারনেটের ফোনবুক, এবং এটি প্রতিফলিত করে যে কীভাবে একটি ইন্টারনেট টুল, যেমন একটি ওয়েব ব্রাউজার, প্রাসঙ্গিক সার্ভার খুঁজে পায়। DNS ক্যাশে বিষক্রিয়া, অন-পাথ আক্রমণ, এবং DNS লুকআপ লাইফসাইকেলে হস্তক্ষেপ করার অন্যান্য উপায় খারাপ অভিনেতারা এই DNS অনুরোধ প্রক্রিয়াটিকে হাইজ্যাক করতে ব্যবহার করবে৷ যদি DNS ইন্টারনেটের ফোন বুক হয়, DNSSEC হল unspoofable কলার আইডি। একটি DNS লুকআপ অনুরোধ DNSSEC প্রযুক্তি ব্যবহার করে সুরক্ষিত করা যেতে পারে।
সার্টিফিকেশন পাঠ্যক্রমের সাথে নিজেকে বিশদভাবে পরিচিত করতে আপনি নীচের টেবিলটি প্রসারিত এবং বিশ্লেষণ করতে পারেন।
EITC/IS/WASF ওয়েব অ্যাপ্লিকেশন সিকিউরিটি ফান্ডামেন্টাল সার্টিফিকেশন কারিকুলাম একটি ভিডিও আকারে ওপেন-অ্যাক্সেস ডিড্যাকটিক উপকরণ উল্লেখ করে। শেখার প্রক্রিয়াটি একটি ধাপে ধাপে কাঠামোতে বিভক্ত (প্রোগ্রাম -> পাঠ -> বিষয়) প্রাসঙ্গিক পাঠ্যক্রমের অংশগুলিকে কভার করে। ডোমেন বিশেষজ্ঞদের সাথে সীমাহীন পরামর্শ প্রদান করা হয়।
সার্টিফিকেশন পদ্ধতির বিস্তারিত জানার জন্য চেক করুন কিভাবে এটা কাজ করে.
একটি PDF ফাইলে EITC/IS/WASF ওয়েব অ্যাপ্লিকেশন সিকিউরিটি ফান্ডামেন্টাল প্রোগ্রামের জন্য সম্পূর্ণ অফলাইন স্ব-শিক্ষার প্রস্তুতিমূলক উপকরণ ডাউনলোড করুন
EITC/IS/WASF প্রস্তুতিমূলক উপকরণ - আদর্শ সংস্করণ
EITC/IS/WASF প্রস্তুতিমূলক উপকরণ – পর্যালোচনা প্রশ্ন সহ বর্ধিত সংস্করণ