OWASP Top 10 Sekuriteitsrisiko's | Oorsig
INHOUDSOPGAWE
Wat is OWASP?
OWASP is 'n nie-winsgewende organisasie wat toegewy is aan webtoepassingsekuriteitsopvoeding.
Die OWASP-leermateriaal is op hul webwerf toeganklik. Hul gereedskap is nuttig om die sekuriteit van webtoepassings te verbeter. Dit sluit dokumente, gereedskap, video's en forums in.
Die OWASP Top 10 is 'n lys wat die belangrikste sekuriteitskwessies vir webtoepassings vandag beklemtoon. Hulle beveel aan dat alle maatskappye hierdie verslag by hul prosesse insluit om sekuriteitsrisiko's te verminder. Hieronder is 'n lys van sekuriteitsrisiko's wat in die OWASP Top 10 2017-verslag ingesluit is.
SQL-inspuiting
SQL-inspuiting vind plaas wanneer 'n aanvaller onvanpaste data na 'n webtoepassing stuur om die program in die toepassing te ontwrig.
'n Voorbeeld van 'n SQL-inspuiting:
Die aanvaller kan 'n SQL-navraag in 'n invoervorm invoer wat 'n gebruikernaam gewone teks vereis. As die invoervorm nie beveilig is nie, sal dit lei tot die uitvoering van 'n SQL-navraag. Hierdie word verwys as SQL-inspuiting.
Om webtoepassings teen kode-inspuiting te beskerm, maak seker dat jou ontwikkelaars insetvalidering gebruik op data wat deur gebruiker ingedien is. Validasie verwys hier na die verwerping van ongeldige insette. 'n Databasisbestuurder kan ook kontroles stel om die hoeveelheid te verminder inligting wat kan geopenbaar word in 'n inspuiting aanval.
Om SQL-inspuiting te voorkom, beveel OWASP aan om data apart van opdragte en navrae te hou. Die verkieslike opsie is om 'n veilige te gebruik API om die gebruik van 'n tolk te voorkom, of om te migreer na Object Relational Mapping Tools (ORM's).
Gebreekte verifikasie
Stawingkwesbaarhede kan 'n aanvaller toelaat om toegang tot gebruikersrekeninge te kry en 'n stelsel te kompromitteer deur 'n administrasierekening te gebruik. 'n Kubermisdadiger kan 'n skrif gebruik om duisende wagwoordkombinasies op 'n stelsel te probeer om te sien watter werk. Sodra die kubermisdadiger in is, kan hulle die identiteit van die gebruiker vervals, wat hulle toegang gee tot vertroulike inligting.
'n Gebreekte stawingkwesbaarheid bestaan in webtoepassings wat outomatiese aanmeldings toelaat. 'n Gewilde manier om stawingkwesbaarheid reg te stel, is die gebruik van multifaktor-verifikasie. Ook, 'n aanmelding tarief limiet kan ingesluit word in die webtoepassing om brute force-aanvalle te voorkom.
Sensitiewe datablootstelling
As webtoepassings nie beskerm nie, kan sensitiewe aanvallers toegang tot hulle verkry en dit vir hul gewin gebruik. 'n Aanval op die pad is 'n gewilde metode om sensitiewe inligting te steel. Die risiko van blootstelling is minimaal wanneer alle sensitiewe data geïnkripteer is. Webontwikkelaars moet verseker dat geen sensitiewe data op die blaaier ontbloot of onnodig gestoor word nie.
XML Eksterne Entiteite (XEE)
'n Kubermisdadiger kan moontlik kwaadwillige XML-inhoud, opdragte of kode binne 'n XML-dokument oplaai of insluit. Dit laat hulle toe om lêers op die toepassingbediener-lêerstelsel te bekyk. Sodra hulle toegang het, kan hulle met die bediener kommunikeer om bediener-kant versoek vervalsing (SSRF) aanvalle uit te voer.
XML eksterne entiteit aanvalle kan voorkom word deur wat webtoepassings toelaat om minder komplekse datatipes soos JSON te aanvaar. Deaktiveer XML eksterne entiteit verwerking ook verminder die kanse van 'n XEE aanval.
Gebreekte toegangsbeheer
Toegangsbeheer is 'n stelselprotokol wat ongemagtigde gebruikers tot sensitiewe inligting beperk. As 'n toegangsbeheerstelsel gebreek is, kan aanvallers stawing omseil. Dit gee hulle toegang tot sensitiewe inligting asof hulle magtiging het. Toegangsbeheer kan beveilig word deur magtigingstekens op gebruikersaanmelding te implementeer. Op elke versoek wat 'n gebruiker maak terwyl dit geverifieer is, word die magtigingsteken met die gebruiker geverifieer, wat aandui dat die gebruiker gemagtig is om daardie versoek te rig.
Foutiewe konfigurasie van sekuriteit
Sekuriteit wanopstelling is 'n algemene probleem wat cyber spesialiste neem waar in webtoepassings. Dit vind plaas as gevolg van verkeerd gekonfigureerde HTTP-opskrifte, stukkende toegangskontroles en die vertoon van foute wat inligting in 'n webtoepassing blootstel. Jy kan 'n sekuriteitswanopstelling regstel deur ongebruikte kenmerke te verwyder. Jy moet ook jou sagtewarepakkette regmaak of opgradeer.
Cross-site Scripting (XSS)
XSS-kwesbaarheid vind plaas wanneer 'n aanvaller die DOM API van 'n vertroude webwerf manipuleer om kwaadwillige kode in 'n gebruiker se blaaier uit te voer. Die uitvoering van hierdie kwaadwillige kode vind dikwels plaas wanneer 'n gebruiker op 'n skakel klik wat blyk te wees van 'n vertroude webwerf. As die webwerf nie beskerm word teen XSS-kwesbaarheid nie, kan dit gekompromitteer word. Die kwaadwillige kode wat word uitgevoer gee 'n aanvaller toegang tot die gebruikers se aanmeldsessie, kredietkaartbesonderhede en ander sensitiewe data.
Om Cross-site Scripting (XSS) te voorkom, maak seker dat jou HTML goed ontsmet is. Dit kan bereik word deur die keuse van betroubare raamwerke afhangende van die taal van keuse. Jy kan tale soos .Net, Ruby on Rails en React JS gebruik, aangesien dit sal help om jou HTML-kode te ontleed en skoon te maak. Om alle data van geverifieerde of nie-geverifieerde gebruikers as onbetroubaar te hanteer, kan die risiko van XSS-aanvalle verminder.
Onveilige deserialisering
Deserialisering is die transformasie van geserialiseerde data van 'n bediener na 'n voorwerp. Deserialisering van data is 'n algemene verskynsel in sagteware-ontwikkeling. Dit is onveilig wanneer data is gedeserialiseer van 'n onbetroubare bron. Dit kan potensieel stel jou toepassing bloot aan aanvalle. Onveilige deserialisering vind plaas wanneer gedeserialiseerde data vanaf 'n onbetroubare bron lei tot DDOS-aanvalle, aanvalle op afstand-kode-uitvoering of stawing-omleidings.
Om onveilige deserialisering te vermy, is die reël om nooit gebruikersdata te vertrou nie. Elke gebruiker invoer data moet behandel word as potensieel kwaadwillig. Vermy deserialisering van data van onbetroubare bronne. Maak seker dat die deserialisering funksie na gebruik in jou webtoepassing is veilig.
Gebruik komponente met bekende kwesbaarhede
Biblioteke en raamwerke het dit baie vinniger gemaak om webtoepassings te ontwikkel sonder om die wiel weer uit te vind. Dit verminder oortolligheid in kode-evaluering. Dit baan die weg vir ontwikkelaars om op belangriker aspekte van toepassings te fokus. As aanvallers misbruik in hierdie raamwerke ontdek, sal elke kodebasis wat die raamwerk gebruik gekompromitteer word.
Komponentontwikkelaars bied dikwels sekuriteitsreëlings en opdaterings vir komponentbiblioteke aan. Om komponentkwesbaarhede te vermy, moet jy leer om jou toepassings op datum te hou met die nuutste sekuriteitsreëlings en -opgraderings. Ongebruikte komponente moet verwyder word van die toepassing om aanvalvektore te sny.
Onvoldoende aanteken en monitering
Aantekening en monitering is belangrik om aktiwiteite in jou webtoepassing te wys. Logging maak dit maklik om foute op te spoor, monitor gebruikersaanmeldings en aktiwiteite.
Onvoldoende aantekening en monitering vind plaas wanneer sekuriteitkritieke gebeurtenisse nie aangeteken word nie behoorlik. Aanvallers benut dit om aanvalle op jou toepassing uit te voer voordat daar enige merkbare reaksie is.
Logging kan jou maatskappy help om geld en tyd te bespaar, want jou ontwikkelaars kan maklik vind goggas. Dit stel hulle in staat om meer te fokus op die oplossing van die foute as om daarna te soek. In werklikheid kan aanteken help om u werwe en bedieners elke keer aan die gang te hou sonder dat hulle enige stilstand ervaar.
Gevolgtrekking
Goeie kode is nie net oor funksionaliteit gaan dit daaroor om jou gebruikers en toepassing veilig te hou. Die OWASP Top 10 is 'n lys van die mees kritieke toepassingsekuriteitsrisiko's is 'n wonderlike gratis hulpbron vir ontwikkelaars om veilige web- en mobiele toepassings te skryf. Opleiding van ontwikkelaars in u span om risiko's te assesseer en aan te teken, kan u span op die lang termyn tyd en geld bespaar. As jy wil Kom meer te wete oor hoe om jou span op die OWASP Top 10 op te lei, klik hier.
