OWASP Top 10 Riskji għas-Sigurtà | Ħarsa ġenerali
Werrej
X'inhu l-OWASP?
OWASP hija organizzazzjoni mingħajr skop ta' qligħ iddedikata għall-edukazzjoni dwar is-sigurtà tal-app tal-web.
Il-materjali tat-tagħlim tal-OWASP huma aċċessibbli fuq il-websajt tagħhom. L-għodod tagħhom huma utli għat-titjib tas-sigurtà tal-applikazzjonijiet tal-web. Dan jinkludi dokumenti, għodod, vidjows, u forums.
L-OWASP Top 10 hija lista li tenfasizza l-akbar tħassib dwar is-sigurtà għall-apps tal-web illum. Huma jirrakkomandaw li l-kumpaniji kollha jinkludu dan ir-rapport fil-proċessi tagħhom biex inaqqsu r-riskji tas-sigurtà. Hawn taħt hawn lista tar-riskji tas-sigurtà inklużi fir-rapport OWASP Top 10 2017.
Injezzjoni SQL
L-injezzjoni SQL isseħħ meta attakkant jibgħat dejta mhux xierqa lil app tal-web biex ifixkel il-programm fl-applikazzjoni.
Eżempju ta' Injezzjoni SQL:
L-attakkant jista' jdaħħal mistoqsija SQL f'forma ta' input li teħtieġ isem ta' utent sempliċi test. Jekk il-formola tal-input ma tkunx assigurata, tirriżulta fl-eżekuzzjoni ta 'mistoqsija SQL. Dan huwa riferut biex bħala injezzjoni SQL.
Biex tipproteġi l-applikazzjonijiet tal-web mill-injezzjoni tal-kodiċi, kun żgur li l-iżviluppaturi tiegħek jużaw validazzjoni tal-input fuq data sottomessa mill-utent. Il-validazzjoni hawnhekk tirreferi għar-rifjut ta' inputs invalidi. Maniġer tad-database jista 'wkoll jistabbilixxi kontrolli biex jitnaqqas l-ammont ta' informazzjoni li jistgħu jiġi żvelat f'attakk ta' injezzjoni.
Biex tevita l-injezzjoni SQL, OWASP jirrakkomanda li d-dejta tinżamm separata mill-kmandi u l-mistoqsijiet. L-għażla preferibbli hija li tuża sigur API biex jipprevjenu l-użu ta' interpretu, jew biex jemigraw għal Għodod ta' Mapping Relazzjonali ta' Oġġetti (ORMs).
Awtentikazzjoni miksura
Il-vulnerabbiltajiet tal-awtentikazzjoni jistgħu jippermettu lil attakkant jaċċessa l-kontijiet tal-utent u jikkomprometti sistema billi juża kont tal-amministratur. Ċiberkriminali jista’ juża skript biex jipprova eluf ta’ kombinazzjonijiet ta’ password fuq sistema biex jara liema taħdem. Ladarba l-kriminali ċibernetiku jkun ġewwa, jistgħu jiffalsifikaw l-identità tal-utent, u jagħtuhom aċċess għal informazzjoni kunfidenzjali.
Teżisti vulnerabbiltà tal-awtentikazzjoni miksura fl-applikazzjonijiet tal-web li jippermettu logins awtomatizzati. Mod popolari biex tikkoreġi l-vulnerabbiltà tal-awtentikazzjoni huwa l-użu tal-awtentikazzjoni b'ħafna fatturi. Ukoll, limitu ta 'rata ta' login jista ' jiġu inklużi fl-app tal-web biex jipprevjenu attakki tal-forza bruta.
Espożizzjoni ta' Dejta Sensittiva
Jekk l-applikazzjonijiet tal-web ma jipproteġux attakkanti sensittivi jistgħu jaċċessawhom u jużawhom għall-gwadann tagħhom. Attakk fuq il-passaġġ huwa metodu popolari biex tisraq informazzjoni sensittiva. Ir-riskju ta 'espożizzjoni jista' huwa minimu meta d-data sensittiva kollha hija encrypted. L-iżviluppaturi tal-web għandhom jiżguraw li l-ebda data sensittiva ma tkun esposta fuq il-browser jew maħżuna bla bżonn.
Entitajiet Esterni XML (XEE)
Ċiberkriminal jista’ jkun jista’ jtella’ jew jinkludi kontenut, kmandi jew kodiċi XML malizzjużi f’dokument XML. Dan jippermettilhom jaraw fajls fuq is-sistema tal-fajls tas-server tal-applikazzjoni. Ladarba jkollhom aċċess, jistgħu jinteraġixxu mas-server biex iwettqu attakki ta' falsifikazzjoni ta' talbiet min-naħa tas-server (SSRF)..
L-attakki ta' entitajiet esterni XML jistgħu jiġi evitat minn li tippermetti applikazzjonijiet tal-web jaċċettaw tipi ta' data inqas kumplessi bħal JSON. Id-diżattivazzjoni tal-ipproċessar tal-entità esterna XML tnaqqas ukoll iċ-ċansijiet ta' attakk XEE.
Kontroll tal-Aċċess miksur
Il-kontroll tal-aċċess huwa protokoll tas-sistema li jirrestrinġi lill-utenti mhux awtorizzati għal informazzjoni sensittiva. Jekk tinkiser sistema ta 'kontroll ta' aċċess, l-attakkanti jistgħu jevitaw l-awtentikazzjoni. Dan jagħtihom aċċess għal informazzjoni sensittiva bħallikieku għandhom awtorizzazzjoni. Il-Kontroll tal-Aċċess jista 'jiġi żgurat billi jiġu implimentati tokens ta' awtorizzazzjoni fuq il-login tal-utent. Fuq kull talba li utent jagħmel waqt li jkun awtentikat, it-token tal-awtorizzazzjoni mal-utent jiġi vverifikat, li jindika li l-utent huwa awtorizzat jagħmel dik it-talba.
Konfigurazzjoni Żbaljata tas-Sigurtà
Konfigurazzjoni ħażina tas-sigurtà hija kwistjoni komuni li sigurtà ċibernetika speċjalisti josservaw fl-applikazzjonijiet tal-web. Dan iseħħ bħala riżultat ta' headers HTTP ikkonfigurati ħażin, kontrolli ta' aċċess miksura, u l-wiri ta' żbalji li jesponu informazzjoni f'app tal-web. Tista' tikkoreġi Konfigurazzjoni Ħażina tas-Sigurtà billi tneħħi karatteristiċi mhux użati. Għandek ukoll garża jew ittejjeb il-pakketti tas-softwer tiegħek.
Cross-Site Scripting (XSS)
Vulnerabbiltà XSS isseħħ meta attakkant jimmanipula l-API DOM ta’ websajt ta’ fiduċja biex jesegwixxi kodiċi malizzjuż fil-browser ta’ utent. L-eżekuzzjoni ta’ dan il-kodiċi malizzjuż ħafna drabi sseħħ meta utent jikklikkja fuq link li jidher li ġej minn websajt ta’ fiduċja. Jekk il-websajt mhix protetta mill-vulnerabbiltà XSS, tista ' tkun kompromessa. Il-kodiċi malizzjuż li tiġi esegwita jagħti lill-attakkant aċċess għas-sessjoni tal-login tal-utenti, id-dettalji tal-karta tal-kreditu, u data sensittiva oħra.
Biex tipprevjeni Cross-site Scripting (XSS), kun żgur li l-HTML tiegħek huwa sanitizzat tajjeb. Dan jista ' jintlaħaq minn għażla ta' oqfsa ta' fiduċja skont il-lingwa tal-għażla. Tista' tuża lingwi bħal .Net, Ruby on Rails, u React JS peress li jgħinu biex teżamina u tnaddaf il-kodiċi HTML tiegħek. It-trattament tad-dejta kollha minn utenti awtentikati jew mhux awtentikati bħala mhux ta' fiduċja jista' jnaqqas ir-riskju ta' attakki XSS.
Deserialization mhux sigur
Id-deserializzazzjoni hija t-trasformazzjoni ta' data serializzata minn server għal oġġett. Id-deserialization tad-data hija okkorrenza komuni fl-iżvilupp tas-softwer. Mhuwiex sigur meta data huwa deserialized minn sors mhux affidabbli. Dan jista potenzjalment jesponi l-applikazzjoni tiegħek għal attakki. Deserialization mhux sigura sseħħ meta data deserialized minn sors mhux affidabbli twassal għal attakki DDOS, attakki ta 'eżekuzzjoni ta' kodiċi mill-bogħod, jew bypasses tal-awtentikazzjoni.
Biex tiġi evitata deserialization mhux sigura, ir-regola ġenerali hija li qatt ma tafda d-dejta tal-utent. Kull utent input data għandha jiġu trattati as potenzjalment malizzjuż. Evita deserialization tad-data minn sorsi mhux affidabbli. Tiżgura li l-funzjoni deserialization biex jintuża fl-applikazzjoni tal-web tiegħek hija sigura.
Użu ta' Komponenti B'Vulnerabiltajiet Magħrufa
Il-Libreriji u l-Oqfsa għamluha ħafna aktar mgħaġġla biex jiżviluppaw applikazzjonijiet tal-web mingħajr il-bżonn li jerġgħu jivvintaw ir-rota. Dan inaqqas is-sensja fl-evalwazzjoni tal-kodiċi. Dawn iwittu t-triq għall-iżviluppaturi biex jiffokaw fuq aspetti aktar importanti tal-applikazzjonijiet. Jekk l-attakkanti jiskopru sfrutti f'dawn l-oqfsa, kull bażi ta 'kodiċi li tuża l-qafas tkun kompromessa.
L-iżviluppaturi tal-komponenti ħafna drabi joffru garżi tas-sigurtà u aġġornamenti għal libreriji tal-komponenti. Biex tevita l-vulnerabbiltajiet tal-komponenti, għandek titgħallem iżżomm l-applikazzjonijiet tiegħek aġġornati bl-aħħar garża u titjib tas-sigurtà. Komponenti mhux użati għandhom jitneħħa mill-applikazzjoni biex tnaqqas il-vetturi tal-attakk.
Logging U Monitoraġġ Insuffiċjenti
L-illoggjar u l-monitoraġġ huma importanti biex juru attivitajiet fl-applikazzjoni tal-web tiegħek. L-illoggjar jagħmilha faċli biex jiġu rintraċċati l-iżbalji, tissorvelja logins tal-utent, u attivitajiet.
L-illoggjar u l-monitoraġġ insuffiċjenti jseħħu meta avvenimenti kritiċi għas-sigurtà ma jiġux irreġistrati sewwa. L-attakkanti jikkapitalizzaw fuq dan biex iwettqu attakki fuq l-applikazzjoni tiegħek qabel ma jkun hemm xi rispons notevoli.
Il-qtugħ jista' jgħin lill-kumpanija tiegħek tiffranka l-flus u l-ħin għax l-iżviluppaturi tiegħek jistgħu faċilment issib bugs. Dan jippermettilhom jiffokaw aktar fuq is-soluzzjoni tal-bugs milli jfittxuhom. Fil-fatt, l-illoggjar jista 'jgħin biex iżżomm is-siti u s-servers tiegħek operattivi kull darba mingħajr ma jesperjenzaw xi ħin ta' waqfien.
konklużjoni
Kodiċi tajba mhix biss dwar il-funzjonalità, huwa dwar iż-żamma tal-utenti u l-applikazzjoni tiegħek siguri. L-OWASP Top 10 hija lista tal-aktar riskji kritiċi tas-sigurtà tal-applikazzjoni hija riżorsa kbira b'xejn għall-iżviluppaturi biex jiktbu apps siguri tal-web u tal-mowbajl. It-taħriġ tal-iżviluppaturi fit-tim tiegħek biex jivvalutaw u jirreġistraw ir-riskji jista' jiffranka l-ħin u l-flus tat-tim tiegħek fit-tul. Jekk tixtieq tgħallem aktar dwar kif tħarreġ lit-tim tiegħek fuq l-OWASP Top 10 ikklikkja hawn.
