OWASP 10 populārākie drošības riski | Pārskats
Saturs
Kas ir OWASP?
OWASP ir bezpeļņas organizācija, kas nodarbojas ar tīmekļa lietotņu drošības izglītību.
OWASP mācību materiāli ir pieejami viņu tīmekļa vietnē. Viņu rīki ir noderīgi tīmekļa lietojumprogrammu drošības uzlabošanai. Tas ietver dokumentus, rīkus, videoklipus un forumus.
OWASP Top 10 ir saraksts, kas izceļ galvenās tīmekļa lietotņu drošības problēmas mūsdienās. Viņi iesaka visiem uzņēmumiem iekļaut šo ziņojumu savos procesos, lai samazinātu drošības riskus. Tālāk ir sniegts OWASP 10. gada pārskatā iekļauto drošības risku saraksts.
SQL injekcijas
SQL injekcija notiek, kad uzbrucējs nosūta nepiemērotus datus tīmekļa lietotnei, lai traucētu programmas darbību lietojumprogrammā..
SQL injekcijas piemērs:
Uzbrucējs var ievadīt SQL vaicājumu ievades formā, kurai nepieciešams lietotājvārda vienkāršais teksts. Ja ievades forma nav aizsargāta, tiks izpildīts SQL vaicājums. Šis ir norādīts uz kā SQL injekciju.
Lai aizsargātu tīmekļa lietojumprogrammas no koda ievadīšanas, pārliecinieties, vai jūsu izstrādātāji izmanto lietotāja iesniegto datu ievades validāciju. Validācija šeit attiecas uz nederīgu ievades noraidīšanu. Datu bāzes pārvaldnieks var arī iestatīt vadīklas, lai samazinātu datubāzes apjomu informācija kas var tiks atklāts injekcijas uzbrukumā.
Lai novērstu SQL ievadīšanu, OWASP iesaka glabāt datus atsevišķi no komandām un vaicājumiem. Vēlamā iespēja ir izmantot drošu API lai novērstu tulka izmantošanu vai migrētu uz objektu relāciju kartēšanas rīkiem (ORM).
Bojāta autentifikācija
Autentifikācijas ievainojamības var ļaut uzbrucējam piekļūt lietotāju kontiem un apdraudēt sistēmu, izmantojot administratora kontu. Kibernoziedznieks var izmantot skriptu, lai sistēmā izmēģinātu tūkstošiem paroļu kombināciju, lai noskaidrotu, kura darbojas. Kad kibernoziedznieks ir iekļuvis, viņš var viltot lietotāja identitāti, nodrošinot piekļuvi konfidenciālai informācijai..
Tīmekļa lietojumprogrammās, kas nodrošina automātisku pieteikšanos, ir bojāta autentifikācijas ievainojamība. Populārs veids, kā novērst autentifikācijas ievainojamību, ir daudzfaktoru autentifikācijas izmantošana. Tāpat varētu tikt noteikts pieteikšanās ātruma ierobežojums jāiekļauj tīmekļa lietotnē, lai novērstu brutāla spēka uzbrukumus.
Sensitīvu datu ekspozīcija
Ja tīmekļa lietojumprogrammas neaizsargā sensitīvus uzbrucējus, tiem var piekļūt un tos izmantot savā labā. Uzbrukums ceļā ir populāra metode sensitīvas informācijas zagšanai. Iedarbības risks ir minimāls, ja visi sensitīvie dati ir šifrēti. Tīmekļa izstrādātājiem ir jānodrošina, lai pārlūkprogrammā netiktu atklāti vai nevajadzīgi glabāti nekādi sensitīvi dati.
XML ārējās entītijas (XEE)
Kibernoziedznieks var augšupielādēt vai iekļaut XML dokumentā ļaunprātīgu XML saturu, komandas vai kodu.. Tas ļauj viņiem skatīt failus lietojumprogrammu servera failu sistēmā. Kad viņiem ir piekļuve, viņi var mijiedarboties ar serveri, lai veiktu servera puses pieprasījuma viltošanas (SSRF) uzbrukumus.
XML ārējo entītiju uzbrukumi var novērst ar ļaujot tīmekļa lietojumprogrammām pieņemt mazāk sarežģītus datu tipus, piemēram, JSON. XML ārējo entītiju apstrādes atspējošana samazina arī XEE uzbrukuma iespējamību.
Bojāta piekļuves kontrole
Piekļuves kontrole ir sistēmas protokols, kas ierobežo nesankcionētu lietotāju piekļuvi sensitīvai informācijai. Ja piekļuves kontroles sistēma ir bojāta, uzbrucēji var apiet autentifikāciju. Tādējādi viņi var piekļūt sensitīvai informācijai, it kā viņiem būtu atļauja. Piekļuves kontroli var nodrošināt, lietotāja pieteikšanās laikā ieviešot autorizācijas marķierus. Katrā pieprasījumā, ko lietotājs veic autentifikācijas laikā, tiek pārbaudīts lietotāja autorizācijas marķieris, kas norāda, ka lietotājs ir pilnvarots veikt šo pieprasījumu.
Drošības nepareiza konfigurēšana
Nepareiza drošības konfigurācija ir izplatīta problēma kiberdrošība speciālisti novēro tīmekļa lietojumprogrammās. Tas notiek nepareizi konfigurētu HTTP galveņu, bojātu piekļuves vadīklu un kļūdu parādīšanas dēļ, kas tīmekļa lietotnē atklāj informāciju.. Drošības nepareizu konfigurāciju var labot, noņemot neizmantotos līdzekļus. Jums vajadzētu arī labot vai jaunināt programmatūras pakotnes.
Vietņu skriptu veidošana (XSS)
XSS ievainojamība rodas, kad uzbrucējs manipulē ar uzticamas vietnes DOM API, lai lietotāja pārlūkprogrammā izpildītu ļaunprātīgu kodu.. Šī ļaunprātīgā koda izpilde bieži notiek, kad lietotājs noklikšķina uz saites, kas, šķiet, ir no uzticamas vietnes.. Ja vietne nav aizsargāta pret XSS ievainojamību, tā var tikt apdraudētam. Ļaunprātīgais kods, kas tiek izpildīts nodrošina uzbrucējam piekļuvi lietotāju pieteikšanās sesijai, kredītkartes informācijai un citiem sensitīviem datiem.
Lai novērstu starpvietņu skriptēšanu (XSS), pārliecinieties, ka jūsu HTML ir labi notīrīts. Tas var sasniegt ar izvēloties uzticamus ietvarus atkarībā no izvēlētās valodas. Varat izmantot tādas valodas kā .Net, Ruby on Rails un React JS, jo tās palīdz parsēt un notīrīt HTML kodu. Apstrādājot visus datus no autentificētiem vai neautentificētiem lietotājiem kā neuzticamus, var samazināt XSS uzbrukumu risku.
Nedroša deserializācija
Deserializācija ir serializētu datu pārveidošana no servera uz objektu. Datu deserializācija programmatūras izstrādē ir izplatīta parādība. Tas nav droši, ja dati ir deserializēts no neuzticama avota. Šis var potenciāli pakļaut savu lietojumprogrammu uzbrukumiem. Nedroša deserializācija notiek, ja deserializēti dati no neuzticama avota izraisa DDOS uzbrukumus, attālas koda izpildes uzbrukumus vai autentifikācijas apiešanas gadījumus..
Lai izvairītos no nedrošas deserializācijas, īkšķis ir nekad neuzticēties lietotāja datiem. Katram lietotājam ir jāievada dati jāārstē as potenciāli ļaunprātīga. Izvairieties no neuzticamu avotu datu deserializācijas. Pārliecinieties, vai deserializācijas funkcija jāizmanto jūsu tīmekļa lietojumprogrammā ir droša.
Komponentu izmantošana ar zināmām ievainojamībām
Bibliotēkas un ietvarstruktūras ir padarījušas daudz ātrāku tīmekļa lietojumprogrammu izstrādi bez nepieciešamības no jauna izgudrot riteni. Tas samazina dublēšanos koda novērtēšanā. Tie paver ceļu izstrādātājiem koncentrēties uz svarīgākiem lietojumprogrammu aspektiem. Ja uzbrucēji šajos ietvaros atklāj ekspluatāciju, to darītu katra kodu bāze, kas izmanto ietvaru tikt apdraudētam.
Komponentu izstrādātāji bieži piedāvā drošības ielāpus un atjauninājumus komponentu bibliotēkām. Lai izvairītos no komponentu ievainojamībām, jums vajadzētu iemācīties atjaunināt savas lietojumprogrammas ar jaunākajiem drošības ielāpiem un jauninājumiem.. Nelietotām sastāvdaļām vajadzētu jānoņem no lietojumprogrammas, lai samazinātu uzbrukuma vektorus.
Nepietiekama mežizstrāde un uzraudzība
Reģistrēšana un pārraudzība ir svarīga, lai parādītu darbības jūsu tīmekļa lietojumprogrammā. Reģistrēšana ļauj viegli izsekot kļūdas, monitors lietotāju pieteikšanās un darbības.
Nepietiekama reģistrēšana un pārraudzība rodas, ja netiek reģistrēti drošībai būtiski notikumi pareizi. Uzbrucēji to izmanto, lai veiktu uzbrukumus jūsu lietojumprogrammai, pirms tiek saņemta manāma reakcija.
Mežizstrāde var palīdzēt jūsu uzņēmumam ietaupīt naudu un laiku, jo jūsu izstrādātāji to spēj viegli atrast kļūdas. Tas ļauj viņiem vairāk koncentrēties uz kļūdu novēršanu, nevis to meklēšanu. Faktiski reģistrēšana var palīdzēt uzturēt jūsu vietnes un serverus ikreiz, kad tie nepiedzīvo dīkstāves..
Secinājumi
Labs kods nav tikko par funkcionalitāti, tas ir par lietotāju un lietojumprogrammu drošību. OWASP Top 10 ir vissvarīgāko lietojumprogrammu drošības risku saraksts. Tas ir lielisks bezmaksas resurss izstrādātājiem, lai rakstītu drošas tīmekļa un mobilās lietotnes.. Jūsu komandas izstrādātāju apmācība, lai novērtētu un reģistrētu riskus, ilgtermiņā var ietaupīt jūsu komandas laiku un naudu. Ja vēlaties uzziniet vairāk par to, kā apmācīt savu komandu OWASP Top 10, noklikšķiniet šeit.
