Az OWASP 10 legfontosabb biztonsági kockázata | Áttekintés
Tartalomjegyzék
Mi az OWASP?
Az OWASP egy non-profit szervezet, amely webalkalmazás-biztonsági oktatással foglalkozik.
Az OWASP tananyagok elérhetők a weboldalukon. Eszközeik hasznosak a webalkalmazások biztonságának javításában. Ide tartoznak a dokumentumok, eszközök, videók és fórumok.
Az OWASP Top 10 egy lista, amely rávilágít a webalkalmazásokkal kapcsolatos legfontosabb biztonsági szempontokra. Azt javasolják, hogy a biztonsági kockázatok csökkentése érdekében minden vállalat vegye be ezt a jelentést folyamataiba. Az alábbiakban felsoroljuk az OWASP Top 10 2017-es jelentésében szereplő biztonsági kockázatokat.
SQL Injection
SQL-befecskendezés akkor történik, amikor egy támadó nem megfelelő adatokat küld egy webalkalmazásnak, hogy ezzel megzavarja a programot az alkalmazásban..
Példa egy SQL-injekcióra:
A támadó beírhat egy SQL-lekérdezést egy olyan beviteli űrlapba, amelyhez egyszerű szöveges felhasználónév szükséges. Ha a beviteli űrlap nem védett, akkor az SQL lekérdezést fog eredményezni. Ez hivatkoznak SQL injekcióként.
A webalkalmazások kódbeszúrás elleni védelme érdekében győződjön meg arról, hogy a fejlesztők beviteli ellenőrzést alkalmaznak a felhasználók által beküldött adatokon. Az érvényesítés itt az érvénytelen bemenetek elutasítását jelenti. Az adatbázis-kezelő vezérlőket is beállíthat az adatok mennyiségének csökkentésére információ , amelyek nyilvánosságra kerüljön injekciós támadásban.
Az SQL-befecskendezés megakadályozása érdekében az OWASP azt javasolja, hogy az adatokat különítse el a parancsoktól és a lekérdezésektől. A preferált lehetőség a biztonságos használata API tolmács használatának megakadályozása, vagy az Object Relational Mapping Tools (ORM) alkalmazásra való átállás.
Törött hitelesítés
A hitelesítési sebezhetőségek lehetővé tehetik a támadók számára, hogy adminisztrátori fiók segítségével hozzáférjenek felhasználói fiókokhoz, és feltörjék a rendszert. A kiberbűnözők egy szkript segítségével több ezer jelszókombinációt próbálhatnak ki a rendszeren, hogy megnézzék, melyik működik. Ha a számítógépes bûnözõ bekerült, meghamisíthatja a felhasználó személyazonosságát, így hozzáférhet bizalmas információkhoz..
Az automatikus bejelentkezést lehetővé tevő webalkalmazásokban meghibásodott hitelesítési biztonsági rés található. A hitelesítési sebezhetőség kijavításának népszerű módja a többtényezős hitelesítés. A bejelentkezési gyakoriság korlátozása is lehetséges szerepeljenek a webalkalmazásban, hogy megakadályozzák a brutális támadásokat.
Érzékeny adatok expozíciója
Ha a webalkalmazások nem védenek, akkor az érzékeny támadók hozzáférhetnek és használhatják őket saját érdekükben. Az on-path támadás népszerű módszer érzékeny információk ellopására. Az expozíció kockázata minimális, ha minden érzékeny adatot titkosítanak. A webfejlesztőknek gondoskodniuk kell arról, hogy ne kerüljenek ki érzékeny adatok a böngészőbe vagy ne kerüljenek tárolásra szükségtelenül.
XML külső entitások (XEE)
Előfordulhat, hogy egy kiberbűnöző rosszindulatú XML-tartalmat, parancsokat vagy kódot tölthet fel vagy foglalhat bele egy XML-dokumentumba.. Ez lehetővé teszi számukra, hogy megtekintsék a fájlokat az alkalmazáskiszolgáló fájlrendszerében. Miután hozzáférést kapnak, interakcióba léphetnek a kiszolgálóval, hogy szerveroldali kéréshamisítási (SSRF) támadásokat hajtsanak végre.
Az XML külső entitás támadások képesek által meg kell akadályozni lehetővé teszi a webes alkalmazások számára, hogy kevésbé összetett adattípusokat fogadjanak el, mint például a JSON. Az XML külső entitások feldolgozásának letiltása csökkenti az XEE támadások esélyét is.
Törött hozzáférés-szabályozás
A hozzáférés-szabályozás egy rendszerprotokoll, amely korlátozza a jogosulatlan felhasználókat az érzékeny információkhoz. Ha egy hozzáférés-vezérlő rendszer meghibásodik, a támadók megkerülhetik a hitelesítést. Ez hozzáférést biztosít számukra az érzékeny információkhoz, mintha jogosultságuk lenne. A hozzáférés-szabályozás biztonságossá tehető az engedélyezési jogkivonatok bevezetésével a felhasználói bejelentkezéskor. A felhasználó által hitelesítés közben végrehajtott minden kérés esetén a felhasználóhoz tartozó jogosultsági token ellenőrzésre kerül, jelezve, hogy a felhasználó jogosult a kérés benyújtására.
Biztonsági hibás konfiguráció
A biztonsági hibás konfiguráció gyakori probléma kiberbiztonság a szakemberek webes alkalmazásokban figyelik meg. Ez a rosszul konfigurált HTTP-fejlécek, a hibás hozzáférés-vezérlések és a webalkalmazásokban információkat jelentő hibák megjelenítése miatt következik be.. A hibás biztonsági konfigurációt a nem használt szolgáltatások eltávolításával javíthatja ki. A szoftvercsomagokat is javítani vagy frissíteni kell.
Webhelyek közötti szkriptek (XSS)
Az XSS-sebezhetőség akkor fordul elő, amikor egy támadó manipulálja egy megbízható webhely DOM API-ját, hogy rosszindulatú kódot hajtson végre a felhasználó böngészőjében.. Ennek a rosszindulatú kódnak a végrehajtása gyakran akkor történik meg, amikor a felhasználó olyan hivatkozásra kattint, amely úgy tűnik, hogy egy megbízható webhelyről származik.. Ha a webhely nincs védve az XSS sebezhetőségétől, akkor igen veszélybe kerüljön. A rosszindulatú kód kivégzik hozzáférést biztosít a támadónak a felhasználók bejelentkezési munkamenetéhez, hitelkártyaadataihoz és egyéb érzékeny adatokhoz.
A Cross-site Scripting (XSS) elkerülése érdekében győződjön meg arról, hogy a HTML-kód megfelelően meg van tisztítva. Ez lehet által elérni megbízható keretrendszerek kiválasztása a választott nyelvtől függően. Használhat olyan nyelveket, mint a .Net, a Ruby on Rails és a React JS, mivel ezek segítenek a HTML-kód elemzésében és tisztításában. A hitelesített vagy nem hitelesített felhasználóktól származó összes adat nem megbízhatóként való kezelése csökkentheti az XSS-támadások kockázatát.
Nem biztonságos deszerializálás
A deszerializálás a szerializált adatok átalakítása egy szerverről objektummá. Az adatok deszerializálása gyakori jelenség a szoftverfejlesztésben. Nem biztonságos, ha adatokat deszerializálva van nem megbízható forrásból. Ez lehet potenciálisan tegye ki alkalmazását támadásoknak. Nem biztonságos deszerializáció akkor fordul elő, ha a nem megbízható forrásból származó deszerializált adatok DDOS-támadásokhoz, távoli kódvégrehajtási támadásokhoz vagy hitelesítési megkerüléshez vezetnek..
A nem biztonságos deszerializálás elkerülése érdekében az ökölszabály az, hogy soha ne bízz a felhasználói adatokban. Minden felhasználónak meg kell adnia az adatot kezelni kell as potenciálisan rosszindulatú. Kerülje a nem megbízható forrásokból származó adatok deszerializálását. Győződjön meg arról, hogy a deszerializálási funkció használva lenni webalkalmazásában biztonságos.
Ismert sebezhetőségű összetevők használata
A könyvtárak és keretrendszerek sokkal gyorsabbá tették a webalkalmazások fejlesztését anélkül, hogy újra fel kellett volna találni a kereket. Ez csökkenti a redundanciát a kód kiértékelésében. Megnyílik az utat a fejlesztők számára, hogy az alkalmazások fontosabb szempontjaira összpontosítsanak. Ha a támadók kihasználásokat fedeznek fel ezekben a keretrendszerekben, minden, a keretrendszert használó kódbázis megteszi veszélybe kerüljön.
A komponensfejlesztők gyakran kínálnak biztonsági javításokat és frissítéseket az összetevőkönyvtárak számára. Az összetevők sebezhetőségének elkerülése érdekében meg kell tanulnia, hogy az alkalmazásait naprakészen tartsa a legújabb biztonsági javításokkal és frissítésekkel. A fel nem használt alkatrészeket kell eltávolítani az alkalmazásból a támadási vektorok levágásához.
Nem megfelelő naplózás és felügyelet
A naplózás és a figyelés fontos a webalkalmazásban végzett tevékenységek megjelenítéséhez. A naplózás megkönnyíti a hibák nyomon követését, monitor felhasználói bejelentkezések és tevékenységek.
Nem elegendő a naplózás és a figyelés, ha a biztonsági szempontból kritikus események nem kerülnek naplózásra megfelelően. A támadók ezt kihasználva támadásokat hajtanak végre az alkalmazás ellen, mielőtt észrevehető válasz érkezik.
A naplózás segítségével a cég pénzt és időt takaríthat meg, mert a fejlesztők ezt megtehetik könnyen hibákat találni. Ez lehetővé teszi számukra, hogy többet összpontosítsanak a hibák megoldására, mint a keresésükre. Valójában a naplózás segíthet a webhelyek és szerverek folyamatos működésében, anélkül, hogy leállást tapasztalnának..
Következtetés
A jó kód nem az éppen a funkcionalitásról, a felhasználók és az alkalmazások biztonságának megőrzéséről szól. Az OWASP Top 10 a legkritikusabb alkalmazásbiztonsági kockázatok listája, amely nagyszerű ingyenes forrás a fejlesztők számára biztonságos webes és mobilalkalmazások írásához.. A fejlesztők képzése a csapatban a kockázatok felmérésére és naplózására hosszú távon időt és pénzt takaríthat meg csapatának. Ha szeretnéd tudjon meg többet arról, hogyan képezheti ki csapatát az OWASP Top 10-ben, kattintson ide.
