OWASP 10 rreziqet kryesore të sigurisë | Vështrim i përgjithshëm
Përmbajtje
Çfarë është OWASP?
OWASP është një organizatë jofitimprurëse e dedikuar për edukimin e sigurisë së aplikacioneve në internet.
Materialet mësimore OWASP janë të aksesueshme në faqen e tyre të internetit. Mjetet e tyre janë të dobishme për përmirësimin e sigurisë së aplikacioneve në ueb. Kjo përfshin dokumente, mjete, video dhe forume.
Top 10 OWASP është një listë që nxjerr në pah shqetësimet kryesore të sigurisë për aplikacionet në ueb sot. Ata rekomandojnë që të gjitha kompanitë ta përfshijnë këtë raport në proceset e tyre për të ulur rreziqet e sigurisë. Më poshtë është një listë e rreziqeve të sigurisë të përfshira në raportin OWASP Top 10 2017.
Injeksion SQL
Injektimi SQL ndodh kur një sulmues dërgon të dhëna të papërshtatshme në një aplikacion në internet për të ndërprerë programin në aplikacion.
Një shembull i një injeksioni SQL:
Sulmuesi mund të fusë një pyetje SQL në një formë hyrëse që kërkon një tekst të thjeshtë të emrit të përdoruesit. Nëse formulari i hyrjes nuk është i siguruar, do të rezultojë në ekzekutimin e një pyetjeje SQL. Kjo është referuar si injeksion SQL.
Për të mbrojtur aplikacionet në ueb nga injektimi i kodit, sigurohuni që zhvilluesit tuaj të përdorin vërtetimin e hyrjes në të dhënat e dorëzuara nga përdoruesi. Vleresimi këtu i referohet refuzimit të inputeve të pavlefshme. Një menaxher i bazës së të dhënave mund të vendosë gjithashtu kontrolle për të zvogëluar sasinë e informacion që mundet të zbulohen në një sulm me injeksion.
Për të parandaluar injektimin SQL, OWASP rekomandon mbajtjen e të dhënave të ndara nga komandat dhe pyetjet. Opsioni i preferuar është përdorimi i një sigurie API për të parandaluar përdorimin e një përkthyesi ose për të migruar në Mjetet e Hartës Relacionale të Objekteve (ORM).
Autentifikimi i thyer
Dobësitë e vërtetimit mund të lejojnë një sulmues të hyjë në llogaritë e përdoruesve dhe të komprometojë një sistem duke përdorur një llogari administratori. Një kriminel kibernetik mund të përdorë një skript për të provuar mijëra kombinime fjalëkalimesh në një sistem për të parë se cili funksionon. Pasi krimineli kibernetik të hyjë, ata mund të falsifikojnë identitetin e përdoruesit, duke i dhënë atyre akses në informacione konfidenciale.
Ekziston një cenueshmëri e prishur e vërtetimit në aplikacionet në ueb që lejojnë hyrje të automatizuara. Një mënyrë popullore për të korrigjuar cenueshmërinë e vërtetimit është përdorimi i vërtetimit me shumë faktorë. Gjithashtu, një kufi i normës së hyrjes mund të përfshihen në aplikacionin e uebit për të parandaluar sulmet me forcë brutale.
Ekspozimi i të dhënave të ndjeshme
Nëse aplikacionet në ueb nuk mbrojnë sulmuesit e ndjeshëm mund t'i qasen dhe t'i përdorin ato për përfitimin e tyre. Një sulm në rrugë është një metodë popullore për vjedhjen e informacionit të ndjeshëm. Rreziku i ekspozimit mund të jetë minimal kur të gjitha të dhënat e ndjeshme janë të koduara. Zhvilluesit e uebit duhet të sigurojnë që asnjë e dhënë e ndjeshme të mos ekspozohet në shfletues ose të ruhet në mënyrë të panevojshme.
Entitetet e jashtme XML (XEE)
Një kriminel kibernetik mund të jetë në gjendje të ngarkojë ose të përfshijë përmbajtje, komanda ose kode XML me qëllim të keq brenda një dokumenti XML. Kjo u lejon atyre të shikojnë skedarët në sistemin e skedarëve të serverit të aplikacionit. Pasi të kenë akses, ata mund të ndërveprojnë me serverin për të kryer sulme të falsifikimit të kërkesave nga ana e serverit (SSRF)..
Sulmet e entitetit të jashtëm XML mund të parandalohen nga duke lejuar që aplikacionet në ueb të pranojnë lloje të dhënash më pak komplekse si JSON. Çaktivizimi i përpunimit të entitetit të jashtëm XML zvogëlon gjithashtu shanset e një sulmi XEE.
Kontrolli i thyer i aksesit
Kontrolli i aksesit është një protokoll sistemi që kufizon përdoruesit e paautorizuar në informacione të ndjeshme. Nëse një sistem i kontrollit të aksesit është i prishur, sulmuesit mund të anashkalojnë vërtetimin. Kjo u jep atyre akses në informacione të ndjeshme sikur të kenë autorizim. Kontrolli i aksesit mund të sigurohet duke zbatuar argumentet e autorizimit në hyrjen e përdoruesit. Në çdo kërkesë që një përdorues bën gjatë vërtetimit, verifikohet token-i i autorizimit me përdoruesin, duke sinjalizuar se përdoruesi është i autorizuar për ta bërë atë kërkesë.
Konfigurimi i gabuar i sigurisë
Keqkonfigurimi i sigurisë është një çështje e zakonshme që kibernetike specialistët vëzhgojnë në aplikacionet në internet. Kjo ndodh si rezultat i titujve të HTTP të konfiguruara gabim, kontrolleve të thyera të aksesit dhe shfaqjes së gabimeve që ekspozojnë informacionin në një aplikacion ueb. Mund të korrigjoni një keqkonfigurim të sigurisë duke hequr veçoritë e papërdorura. Ju gjithashtu duhet të rregulloni ose përmirësoni paketat tuaja softuerike.
Skriptimi ndër-faqesh (XSS)
Dobësia XSS ndodh kur një sulmues manipulon API-në DOM të një faqe interneti të besuar për të ekzekutuar kodin keqdashës në shfletuesin e një përdoruesi. Ekzekutimi i këtij kodi keqdashës ndodh shpesh kur një përdorues klikon në një lidhje që duket se është nga një uebsajt i besuar. Nëse faqja e internetit nuk mbrohet nga cenueshmëria XSS, mundet të komprometohen. Kodi me qëllim të keq që ekzekutohet i jep një sulmuesi akses në sesionin e hyrjes së përdoruesve, detajet e kartës së kreditit dhe të dhëna të tjera të ndjeshme.
Për të parandaluar skriptimin ndër-site (XSS), sigurohuni që HTML-ja juaj të jetë e pastruar mirë. Kjo mund të arrihet nga zgjedhja e kornizave të besuara në varësi të gjuhës së zgjedhur. Ju mund të përdorni gjuhë si .Net, Ruby on Rails dhe React JS pasi ato do të ndihmonin për të analizuar dhe pastruar kodin tuaj HTML. Trajtimi i të gjitha të dhënave nga përdoruesit e vërtetuar ose jo si të pabesueshme mund të zvogëlojë rrezikun e sulmeve XSS.
Deserializimi i pasigurt
Deserializimi është transformimi i të dhënave të serializuara nga një server në një objekt. Deserializimi i të dhënave është një dukuri e zakonshme në zhvillimin e softuerit. Është e pasigurt kur të dhënat është deserializuar nga një burim i pabesueshëm. Kjo mund me mundësi ekspozoni aplikacionin tuaj ndaj sulmeve. Deserializimi i pasigurt ndodh kur të dhënat e deserializuara nga një burim i pabesueshëm çojnë në sulme DDOS, sulme të ekzekutimit të kodit në distancë ose anashkalime të vërtetimit.
Për të shmangur deserializimin e pasigurt, rregulli i madh është që të mos u besoni kurrë të dhënave të përdoruesit. Çdo të dhëna hyrëse të përdoruesit duhet të trajtohen as me mundësi keqdashëse. Shmangni deserializimin e të dhënave nga burime të pabesueshme. Sigurohuni që deserializimi të funksionojë për të te perdoret në aplikacionin tuaj të internetit është i sigurt.
Përdorimi i komponentëve me dobësi të njohura
Bibliotekat dhe Kornizat e kanë bërë shumë më të shpejtë zhvillimin e aplikacioneve në ueb pa pasur nevojë të rishpikni timonin. Kjo redukton tepricën në vlerësimin e kodit. Ato hapin rrugën që zhvilluesit të fokusohen në aspekte më të rëndësishme të aplikacioneve. Nëse sulmuesit zbulojnë shfrytëzime në këto korniza, çdo bazë kodi që përdor kornizën do ta bënte të komprometohen.
Zhvilluesit e komponentëve shpesh ofrojnë arna sigurie dhe përditësime për bibliotekat e komponentëve. Për të shmangur dobësitë e komponentëve, duhet të mësoni t'i mbani aplikacionet tuaja të përditësuara me arnimet dhe përmirësimet më të fundit të sigurisë. Komponentët e papërdorur duhet të hiqen nga aplikacioni për të prerë vektorët e sulmit.
Regjistrimi dhe monitorimi i pamjaftueshëm
Regjistrimi dhe monitorimi janë të rëndësishme për të treguar aktivitetet në aplikacionin tuaj në internet. Regjistrimi e bën të lehtë gjurmimin e gabimeve, monitoruar hyrjet e përdoruesve dhe aktivitetet.
Regjistrimi dhe monitorimi i pamjaftueshëm ndodh kur ngjarjet kritike për sigurinë nuk regjistrohen siç duhet. Sulmuesit përfitojnë nga kjo për të kryer sulme ndaj aplikacionit tuaj përpara se të ketë ndonjë përgjigje të dukshme.
Regjistrimi mund të ndihmojë kompaninë tuaj të kursejë para dhe kohë sepse zhvilluesit tuaj munden lehtësisht gjeni mete. Kjo i lejon ata të përqendrohen më shumë në zgjidhjen e defekteve sesa në kërkimin e tyre. Në fakt, regjistrimi mund të ndihmojë në mbajtjen dhe funksionimin e faqeve dhe serverëve tuaj çdo herë pa përjetuar ndonjë ndërprerje..
Përfundim
Kodi i mirë nuk është vetëm në lidhje me funksionalitetin, ka të bëjë me mbajtjen e sigurt të përdoruesve dhe aplikacionit tuaj. Top 10 OWASP është një listë e rreziqeve më kritike të sigurisë së aplikacioneve, është një burim i shkëlqyer falas për zhvilluesit që të shkruajnë aplikacione të sigurta në ueb dhe celular.. Trajnimi i zhvilluesve në ekipin tuaj për të vlerësuar dhe regjistruar rreziqet mund të kursejë kohën dhe paratë e ekipit tuaj në planin afatgjatë. Nëse dëshironi mësoni më shumë se si të stërvitni ekipin tuaj në OWASP Top 10 klikoni këtu.
