application security

Üdvözlöm, Ön a application security szó jelentését keresi. A DICTIOUS-ban nem csak a application security szó összes szótári jelentését megtalálod, hanem megismerheted az etimológiáját, a jellemzőit és azt is, hogyan kell a application security szót egyes és többes számban mondani. Minden, amit a application security szóról tudni kell, itt található. A application security szó meghatározása segít abban, hogy pontosabban és helyesebben fogalmazz, amikor beszélsz vagy írsz. Aapplication security és más szavak definíciójának ismerete gazdagítja a szókincsedet, és több és jobb nyelvi forráshoz juttat.

Angol

Főnév

application security (tsz. application securities)

  1. (informatika) Application Security, or alkalmazásbiztonság, az információbiztonság egy olyan ága, amely arra irányul, hogy az alkalmazások — legyenek azok webes, mobil, asztali vagy felhőalapú — biztonságosak legyenek a fejlesztéstől a futtatáson át a karbantartásig. Célja, hogy az alkalmazások ne tartalmazzanak olyan sebezhetőségeket, amelyeket egy támadó kihasználhatna, és hogy védjék a bennük feldolgozott érzékeny adatokat.

Az alkalmazásbiztonság a modern világban különösen fontossá vált, mivel a legtöbb támadás alkalmazásrétegen történik – például weboldalakon, API-kon vagy mobilappokon keresztül.


🧱 Az alkalmazásbiztonság fő céljai

A biztonságos alkalmazásoknak meg kell felelniük az alábbi három klasszikus információbiztonsági elvnek (CIA):

  1. Konfidencialitás (Confidentiality)
    • Az adatokhoz csak az arra jogosult felhasználók férhetnek hozzá.
  2. Integritás (Integrity)
    • Az adatok ne módosulhassanak jogosulatlanul vagy észrevétlenül.
  3. Rendelkezésre állás (Availability)
    • Az alkalmazás mindig elérhető legyen az arra jogosult felhasználók számára.


🎯 Miért különösen fontos?

  • A webes és mobilalkalmazások folyamatosan kapcsolatban állnak a világhálóval → állandó támadási felület.
  • Adatlopások, szolgáltatás-kiesések, pénzügyi veszteségek forrásai lehetnek.
  • A szabályozások (pl. GDPR, HIPAA) megkövetelik a biztonságos adatkezelést.
  • DevOps és agilis fejlesztés esetén gyakori változtatás → újabb hibalehetőségek.


🔍 Tipikus alkalmazásszintű sebezhetőségek

Az OWASP (Open Worldwide Application Security Project) 2 évente kiadja a Top 10 listáját a leggyakoribb webalkalmazás-típusú hibákról. Ezek:

OWASP Top 10 példa Leírás
Injection SQL, OS, LDAP injekció – parancs beágyazás
Broken Authentication Hitelesítési folyamatok hibás működése
Sensitive Data Exposure Titkosítatlan vagy nem megfelelően védett adatok
XXE (XML External Entities) XML feldolgozási hiba
Broken Access Control Jogosultság-ellenőrzés hiányosságai
Security Misconfiguration Helytelen beállítások (pl. nyitott portok)
XSS (Cross-site Scripting) Böngészőbe bejuttatott kártékony JavaScript
Insecure Deserialization Manipulált objektumok feldolgozása
Using Vulnerable Components Elavult vagy sebezhető könyvtárak
Insufficient Logging & Monitoring Támadások észlelése és naplózása hiányzik


🛠️ Biztonság a fejlesztésben – “Secure SDLC”

A “Secure Software Development Life Cycle” (SDLC) egy olyan megközelítés, amelyben a biztonság be van építve a fejlesztési folyamat minden fázisába:

  1. Tervezés (Design)
    • Fenyegetésmodellezés, jogosultsági struktúra átgondolása.
  2. Fejlesztés (Development)
    • Kódolási szabályok betartása (pl. input validálás).
  3. Tesztelés (Testing)
    • Statikus és dinamikus kódelemzés, penetrációs teszt.
  4. Deploy / karbantartás
    • Frissítések, javítások, monitorozás, naplózás.
  5. Biztonsági visszacsatolás
    • Incidensek elemzése → kód javítása.


🧩 Alkalmazásbiztonsági eszközök

Eszköz Funkció
SAST (Statikus alkalmazásvizsgálat) Kód ellenőrzése fordítás nélkül
DAST (Dinamikus alkalmazásvizsgálat) Futtatott alkalmazás tesztelése
IAST (Interaktív) Futtatás közbeni hibák, automatizált DAST+SAST
RASP (Runtime Application Self-Protection) Az alkalmazás saját magát védi futás közben
Dependency Scanner Könyvtárak, csomagok sebezhetőségeit keresik (pl. OWASP Dependency-Check)


🔐 Legjobb gyakorlatok

  1. Input validálás
    • Minden külső adatot ellenőrizni, ne bízni a felhasználóban.
  2. Kimenet szűrése
    • HTML, JavaScript, SQL karakterek escape-elése.
  3. Jelszókezelés
    • Minimum 12 karakter, sózás, bcrypt vagy Argon2 hash.
  4. Hitelesítés és jogosultság szigorítása
    • 2FA, role-based access control, session timeout.
  5. Titkosítás
    • HTTPS kötelező, érzékeny adatok titkosítása adatbázisban.
  6. Frissítések
    • A harmadik féltől származó komponensek rendszeres frissítése.
  7. Naplózás és monitoring
    • Hibák, belépések, gyanús aktivitások naplózása.


📱 Mobilalkalmazás-biztonság

A mobilalkalmazások is támadhatók:

  • Reverse engineering – APK visszafejtése.
  • Adatszivárgás – nem titkosított lokális tárolás.
  • Root detection hiánya – támadók módosíthatják az eszközt.

Megoldás: - Proguard, obfuscation, biztonságos tárolás (KeyStore), HTTPS.


🌐 API-biztonság

A modern alkalmazások API-kon keresztül kommunikálnak. Problémák:

  • Nincs hitelesítés (open API).
  • Túl sok adat visszaküldése (overexposure).
  • Rate limiting hiánya → DoS támadás.

Megoldások: - OAuth 2.0, JWT használata. - Rate limiting, IP-szűrés, API gateway alkalmazása.


🧠 Emberi tényező

  • Fejlesztők biztonságtudatos képzése.
  • Biztonsági szakember bevonása már a tervezési fázisban.
  • Kódreview bevezetése – akár automatikus eszközökkel.


📚 Szabványok és irányelvek

Keretrendszer / Szabvány Leírás
OWASP ASVS Alkalmazásbiztonsági követelményrendszer
NIST 800-53 USA nemzeti biztonsági keretrendszer
ISO/IEC 27034 Alkalmazásbiztonság nemzetközi szabványa
PCI-DSS Bankkártyás alkalmazások biztonsági előírásai


🧠 Összefoglalás

Fogalom Leírás
Application Security Az alkalmazások tervezése, fejlesztése és működtetése biztonságosan
Cél Az adatok és rendszerek védelme a támadások ellen
Fő hibák OWASP Top 10 sebezhetőségek
Védekezés Input validálás, titkosítás, jogosultságkezelés, naplózás
Folyamat Secure SDLC: biztonság a teljes fejlesztési ciklusban
Eszközök SAST, DAST, IAST, RASP, dependency scanner
Szabványok OWASP, ISO 27034, NIST, PCI-DSS


Az alkalmazásbiztonság nem egy egyszeri lépés, hanem egy folyamatos folyamat, amely integrálódik a fejlesztésbe, üzemeltetésbe és karbantartásba.

További információk

Enciclo
Wikious
Sapientia
Scientia
Boobota
Anandapedia
Sagapedia
Wikithot