10 галоўных рызык бяспекі OWASP | Агляд
Змест
Што такое OWASP?
OWASP - гэта некамерцыйная арганізацыя, якая займаецца навучаннем бяспецы вэб-прыкладанняў.
Навучальныя матэрыялы OWASP даступныя на іх сайце. Іх інструменты карысныя для павышэння бяспекі вэб-праграм. Гэта ўключае ў сябе дакументы, інструменты, відэа і форумы.
Топ-10 OWASP - гэта спіс, у якім асвятляюцца асноўныя праблемы бяспекі вэб-праграм на сённяшні дзень. Яны рэкамендуюць усім кампаніям уключыць гэтую справаздачу ў свае працэсы, каб паменшыць рызыкі бяспекі. Ніжэй прыведзены спіс рызык бяспекі, уключаных у справаздачу OWASP Top 10 за 2017 год.
SQL-ін'екцыя
Ін'екцыя SQL адбываецца, калі зламыснік адпраўляе неадпаведныя даныя ў вэб-прыкладанне, каб парушыць працу праграмы ў дадатку.
Прыклад SQL-ін'екцыі:
Зламыснік можа ўвесці SQL-запыт у форму ўводу, якая патрабуе імя карыстальніка ў адкрытым выглядзе. Калі форма ўводу не абаронена, гэта прывядзе да выканання SQL-запыту. гэта спасылаецца у выглядзе SQL-ін'екцыі.
Каб абараніць вэб-праграмы ад укаранення кода, пераканайцеся, што вашы распрацоўшчыкі выкарыстоўваюць праверку ўводу даных, прадстаўленых карыстальнікам. Праверка тут адносіцца да адхілення няправільных уводаў. Менеджэр базы дадзеных можа таксама ўсталяваць элементы кіравання, каб паменшыць колькасць інфармацыя , Якія могуць быць раскрытым пры ін'екцыйнай атацы.
Каб прадухіліць укараненне SQL, OWASP рэкамендуе захоўваць дадзеныя асобна ад каманд і запытаў. Пераважны варыянт - выкарыстоўваць бяспечны API каб прадухіліць выкарыстанне інтэрпрэтатара або перайсці на інструменты аб'ектна-рэляцыйнага адлюстравання (ORM).
Парушаная аўтэнтыфікацыя
Уразлівасці аўтэнтыфікацыі могуць дазволіць зламысніку атрымаць доступ да ўліковых запісаў карыстальнікаў і парушыць сістэму з дапамогай уліковага запісу адміністратара. Кіберзлачынец можа выкарыстоўваць скрыпт, каб паспрабаваць тысячы камбінацый пароляў у сістэме, каб убачыць, што працуе. Як толькі кіберзлачынец з'явіцца, ён можа падрабіць асобу карыстальніка, даючы яму доступ да канфідэнцыйнай інфармацыі.
У вэб-прыкладаннях, якія дазваляюць аўтаматычны ўваход, існуе ўразлівасць аўтэнтыфікацыі. Папулярны спосаб ліквідацыі ўразлівасці аўтэнтыфікацыі - выкарыстанне шматфактарнай аўтэнтыфікацыі. Акрамя таго, абмежаванне колькасці ўваходаў можа быць уключаны у вэб-праграме, каб прадухіліць атакі грубай сілы.
Выкрыццё канфідэнцыйных даных
Калі вэб-праграмы не абараняюць канфідэнцыйную інфармацыю, зламыснікі могуць атрымаць да іх доступ і выкарыстоўваць іх у сваіх інтарэсах. Атака на шляху - папулярны метад крадзяжу канфідэнцыйнай інфармацыі. Рызыка выкрыцця мінімальная, калі ўсе канфідэнцыяльныя даныя зашыфраваны. Вэб-распрацоўшчыкі павінны пераканацца, што ніякія канфідэнцыяльныя дадзеныя не раскрываюцца ў браўзеры і не захоўваюцца без неабходнасці.
Знешнія аб'екты XML (XEE)
Кіберзлачынец можа мець магчымасць загрузіць або ўключыць шкоднасны XML-кантэнт, каманды або код у дакумент XML. Гэта дазваляе ім праглядаць файлы ў файлавай сістэме сервера прыкладанняў. Атрымаўшы доступ, яны могуць узаемадзейнічаць з серверам, каб выконваць атакі падробкі запытаў на баку сервера (SSRF)..
Атакі знешніх аб'ектаў XML могуць быць прадухілены дазваляючы вэб-праграмам прымаць менш складаныя тыпы дадзеных, такія як JSON. Адключэнне апрацоўкі знешніх аб'ектаў XML таксама зніжае верагоднасць атакі XEE.
Зламаны кантроль доступу
Кантроль доступу - гэта сістэмны пратакол, які абмяжоўвае доступ неаўтарызаваных карыстальнікаў да канфідэнцыйнай інфармацыі. Калі сістэма кантролю доступу зламаная, зламыснікі могуць абыйсці аўтэнтыфікацыю. Гэта дае ім доступ да канфідэнцыйнай інфармацыі, як быццам яны маюць дазвол. Кантроль доступу можна забяспечыць шляхам укаранення маркераў аўтарызацыі пры ўваходзе карыстальніка. Пры кожным запыце, які робіць карыстальнік падчас аўтэнтыфікацыі, маркер аўтарызацыі з карыстальнікам правяраецца, сігналізуючы аб тым, што карыстальнік мае права зрабіць гэты запыт.
Няправільная канфігурацыя бяспекі
Няправільная канфігурацыя бяспекі - распаўсюджаная праблема кібербяспека назіраюць спецыялісты ў вэб-прыкладаннях. Гэта адбываецца ў выніку няправільнай канфігурацыі загалоўкаў HTTP, непрацуючых сродкаў кантролю доступу і адлюстравання памылак, якія раскрываюць інфармацыю ў вэб-праграме. Вы можаце выправіць няправільную канфігурацыю бяспекі, выдаліўшы функцыі, якія не выкарыстоўваюцца. Вы таксама павінны выправіць або абнавіць свае праграмныя пакеты.
Крос-сайт сцэнарыяў (XSS)
Уразлівасць XSS узнікае, калі зламыснік маніпулюе DOM API надзейнага вэб-сайта, каб выканаць шкоднасны код у браўзеры карыстальніка. Выкананне гэтага шкоднаснага кода часта адбываецца, калі карыстальнік націскае на спасылку, якая, здаецца, паходзіць з надзейнага вэб-сайта. Калі вэб-сайт не абаронены ад уразлівасці XSS, ён можа быць скампраметаваны. Шкоднасны код, які выконваецца дае зламысніку доступ да сеанса ўваходу карыстальнікаў, дадзеных крэдытнай карты і іншых канфідэнцыйных даных.
Каб прадухіліць міжсайтавы сцэнарый (XSS), пераканайцеся, што ваш HTML добра дэзінфікаваны. Гэта можа быць дасягнута шляхам выбар давераных фрэймворкаў у залежнасці ад абранай мовы. Вы можаце выкарыстоўваць такія мовы, як .Net, Ruby on Rails і React JS, бо яны дапамогуць разабраць і ачысціць ваш HTML-код. Апрацоўка ўсіх даных ад аўтэнтыфікаваных і неаўтэнтыфікаваных карыстальнікаў як ненадзейных можа знізіць рызыку нападаў XSS.
Небяспечная дэсерыялізацыя
Дэсерыялізацыя - гэта пераўтварэнне серыялізаваных даных з сервера ў аб'ект. Дэсерыялізацыя дадзеных - звычайная з'ява ў распрацоўцы праграмнага забеспячэння. Гэта небяспечна, калі дадзеныя дэсерыялізаваны з ненадзейнай крыніцы. Гэта можа патэнцыйна падвергнуць ваша прыкладанне нападам. Небяспечная дэсерыялізацыя адбываецца, калі дэсерыялізаваныя даныя з ненадзейнай крыніцы прыводзяць да DDOS-атак, атак выдаленага выканання кода або абыходу аўтэнтыфікацыі.
Каб пазбегнуць небяспечнай дэсерыялізацыі, эмпірычнае правіла - ніколі не давяраць дадзеным карыстальніка. Кожны карыстальнік павінен уводзіць дадзеныя лячыцца as патэнцыйна шкоднасныя. Пазбягайце дэсерыялізацыі даных з ненадзейных крыніц. Пераканайцеся, што функцыя дэсерыялізацыі быць выкарыстаны у вашым вэб-прыкладанні бяспечна.
Выкарыстанне кампанентаў з вядомымі ўразлівасцямі
Бібліятэкі і фрэймворк значна паскорылі распрацоўку вэб-прыкладанняў без неабходнасці вынаходзіць ровар. Гэта памяншае празмернасць у ацэнцы кода. Яны пракладваюць шлях для распрацоўшчыкаў, каб засяродзіцца на больш важных аспектах прыкладанняў. Калі зламыснікі выявяць эксплойты ў гэтых структурах, кожная кодавая база, якая выкарыстоўвае гэтую структуру, будзе быць скампраметаваны.
Распрацоўшчыкі кампанентаў часта прапануюць патчы бяспекі і абнаўленні для бібліятэк кампанентаў. Каб пазбегнуць уразлівасцяў кампанентаў, вы павінны навучыцца абнаўляць свае праграмы з дапамогай апошніх патчаў бяспекі і абнаўленняў. Нявыкарыстаныя кампаненты павінны быць выдалены з прыкладання, каб скараціць вектары атакі.
Недастатковая рэгістрацыя і маніторынг
Рэгістрацыя і маніторынг важныя для адлюстравання дзейнасці ў вашым вэб-прыкладанні. Рэгістрацыя дазваляе лёгка адсочваць памылкі, кантраляваць лагіны карыстальнікаў і дзеянні.
Недастатковая рэгістрацыя і маніторынг адбываюцца, калі важныя для бяспекі падзеі не рэгіструюцца правільна. Зламыснікі карыстаюцца гэтым, каб здзейсніць атакі на ваша прыкладанне да таго, як будзе прыкметны адказ.
Вядзенне часопіса можа дапамагчы вашай кампаніі зэканоміць грошы і час, таму што вашы распрацоўшчыкі могуць лёгка знайсці памылкі. Гэта дазваляе ім больш засяродзіцца на вырашэнні памылак, чым на іх пошуку. Па сутнасці, вядзенне часопісаў можа дапамагчы падтрымліваць вашыя сайты і серверы ў працоўным стане кожны раз без іх прастою.
заключэнне
Добры код - гэта не так проста што тычыцца функцыянальнасці, гаворка ідзе пра бяспеку вашых карыстальнікаў і прыкладанняў. OWASP Top 10 - гэта спіс найбольш крытычных рызык бяспекі прыкладанняў - гэта выдатны бясплатны рэсурс для распрацоўшчыкаў, якія дазваляюць ствараць бяспечныя вэб-і мабільныя прыкладанні. Навучанне распрацоўшчыкаў вашай каманды ацэнцы і рэгістрацыі рызык можа зэканоміць час і грошы вашай каманды ў доўгатэрміновай перспектыве. Калі вы хочаце каб даведацца больш пра тое, як трэніраваць сваю каманду ў топ-10 OWASP, націсніце тут.
