OWASP 10 главных угроз безопасности | Обзор
Содержание
Что такое OWASP?
OWASP — это некоммерческая организация, занимающаяся обучением безопасности веб-приложений.
Учебные материалы OWASP доступны на их веб-сайте. Их инструменты полезны для повышения безопасности веб-приложений. Сюда входят документы, инструменты, видео и форумы.
OWASP Top 10 — это список, в котором освещаются основные проблемы безопасности веб-приложений на сегодняшний день. Они рекомендуют всем компаниям включить этот отчет в свои процессы, чтобы снизить риски безопасности.. Ниже приведен список угроз безопасности, включенных в отчет OWASP Top 10 2017.
SQL-инъекция
SQL-инъекция происходит, когда злоумышленник отправляет недопустимые данные в веб-приложение, чтобы нарушить работу программы в приложении..
Пример SQL-инъекции:
Злоумышленник может ввести SQL-запрос в форму ввода, для которой требуется открытый текст имени пользователя. Если форма ввода не защищена, это приведет к выполнению SQL-запроса. Этот передан в качестве SQL-инъекции.
Чтобы защитить веб-приложения от внедрения кода, убедитесь, что ваши разработчики используют проверку ввода данных, отправленных пользователями.. Проверка здесь относится к отклонению недопустимых входных данных. Менеджер базы данных может также установить элементы управления, чтобы уменьшить количество информация , которые могут быть раскрытым при инъекционной атаке.
Чтобы предотвратить внедрение SQL, OWASP рекомендует хранить данные отдельно от команд и запросов. Предпочтительным вариантом является использование безопасного API чтобы предотвратить использование интерпретатора или перейти на инструменты объектно-реляционного сопоставления (ORM).
Сломанная аутентификация
Уязвимости аутентификации могут позволить злоумышленнику получить доступ к учетным записям пользователей и скомпрометировать систему, используя учетную запись администратора.. Киберпреступник может использовать сценарий, чтобы попробовать тысячи комбинаций паролей в системе, чтобы увидеть, какие из них работают.. Попав внутрь, киберпреступник может подделать личность пользователя, предоставив ему доступ к конфиденциальной информации..
В веб-приложениях, допускающих автоматический вход в систему, существует неработающая уязвимость аутентификации. Популярным способом исправления уязвимости аутентификации является использование многофакторной аутентификации. Кроме того, ограничение скорости входа может быть включенным в веб-приложении для предотвращения атак грубой силы.
Конфиденциальная информация
Если веб-приложения не защищают конфиденциальные данные, злоумышленники могут получить к ним доступ и использовать их в своих целях. Атака по пути — популярный метод кражи конфиденциальной информации. Риск раскрытия может быть минимальным, когда все конфиденциальные данные зашифрованы. Веб-разработчики должны следить за тем, чтобы никакие конфиденциальные данные не открывались в браузере и не хранились без необходимости.
Внешние объекты XML (XEE)
Киберпреступник может загружать или включать вредоносный XML-контент, команды или код в XML-документ.. Это позволяет им просматривать файлы в файловой системе сервера приложений. Получив доступ, они могут взаимодействовать с сервером для выполнения атак с подделкой запросов на стороне сервера (SSRF)..
Атаки внешних сущностей XML могут предотвратить позволяя веб-приложениям принимать менее сложные типы данных, такие как JSON. Отключение обработки внешних сущностей XML также снижает вероятность атаки XEE.
Сломанный контроль доступа
Контроль доступа — это системный протокол, ограничивающий доступ неавторизованных пользователей к конфиденциальной информации. Если система контроля доступа нарушена, злоумышленники могут обойти аутентификацию. Это дает им доступ к конфиденциальной информации, как будто у них есть авторизация. Контроль доступа можно защитить, внедрив токены авторизации при входе пользователя в систему. При каждом запросе, который пользователь делает во время аутентификации, токен авторизации с пользователем проверяется, сигнализируя, что пользователь авторизован для выполнения этого запроса.
Неправильная настройка безопасности
Неправильная настройка безопасности является распространенной проблемой, которая информационной безопасности специалисты наблюдают в веб-приложениях. Это происходит из-за неправильно настроенных заголовков HTTP, неработающих элементов управления доступом и отображения ошибок, раскрывающих информацию в веб-приложении.. Вы можете исправить неправильную настройку безопасности, удалив неиспользуемые функции. Вам также следует исправить или обновить пакеты программного обеспечения.
Межсайтовый скриптинг (XSS)
Уязвимость XSS возникает, когда злоумышленник манипулирует DOM API доверенного веб-сайта для выполнения вредоносного кода в браузере пользователя.. Выполнение этого вредоносного кода часто происходит, когда пользователь нажимает на ссылку, которая выглядит как на надежном веб-сайте.. Если сайт не защищен от XSS-уязвимости, он может быть скомпрометирован. Вредоносный код, который выполняется дает злоумышленнику доступ к сеансу входа пользователей, данным кредитной карты и другим конфиденциальным данным.
Чтобы предотвратить межсайтовый скриптинг (XSS), убедитесь, что ваш HTML хорошо очищен. Это может быть достигнуто путем выбор доверенных фреймворков в зависимости от выбранного языка. Вы можете использовать такие языки, как .Net, Ruby on Rails и React JS, поскольку они помогут разобрать и очистить ваш HTML-код. Обработка всех данных от аутентифицированных или неаутентифицированных пользователей как ненадежных может снизить риск XSS-атак..
Небезопасная десериализация
Десериализация — это преобразование сериализованных данных с сервера в объект. Десериализация данных является обычным явлением в разработке программного обеспечения. Небезопасно, когда данные десериализован из ненадежного источника. Это может потенциально подвергать ваше приложение атакам. Небезопасная десериализация возникает, когда десериализованные данные из ненадежного источника приводят к DDOS-атакам, атакам с удаленным выполнением кода или обходу аутентификации..
Чтобы избежать небезопасной десериализации, рекомендуется никогда не доверять данным пользователя. Все вводимые пользователем данные должны лечиться as потенциально злонамеренный. Избегайте десериализации данных из ненадежных источников. Убедитесь, что функция десериализации использоваться в вашем веб-приложении безопасно.
Использование компонентов с известными уязвимостями
Библиотеки и фреймворки значительно ускорили разработку веб-приложений без необходимости изобретать велосипед.. Это уменьшает избыточность в оценке кода. Они позволяют разработчикам сосредоточиться на более важных аспектах приложений. Если злоумышленники обнаружат эксплойты в этих фреймворках, каждая кодовая база, использующая фреймворк, будет быть скомпрометирован.
Разработчики компонентов часто предлагают исправления безопасности и обновления для библиотек компонентов. Чтобы избежать уязвимостей компонентов, вы должны научиться поддерживать свои приложения в актуальном состоянии с помощью последних исправлений и обновлений безопасности.. Неиспользуемые компоненты должны удалить из приложения, чтобы сократить векторы атак.
Недостаточное ведение журнала и мониторинг
Ведение журнала и мониторинг важны для отображения действий в вашем веб-приложении. Ведение журнала упрощает отслеживание ошибок, монитор логины и действия пользователей.
Недостаточное ведение журнала и мониторинг возникают, когда критические для безопасности события не регистрируются. должным образом. Злоумышленники извлекают выгоду из этого, чтобы проводить атаки на ваше приложение до того, как появится какой-либо заметный ответ..
Ведение журнала может помочь вашей компании сэкономить деньги и время, потому что ваши разработчики могут легко найти ошибки. Это позволяет им больше сосредоточиться на устранении ошибок, чем на их поиске. По сути, ведение журнала может помочь поддерживать работоспособность ваших сайтов и серверов каждый раз без простоев..
Заключение
Хороший код не всего о функциональности, речь идет о безопасности ваших пользователей и приложений. OWASP Top 10 — это список наиболее критических угроз безопасности приложений. Это отличный бесплатный ресурс для разработчиков, позволяющий создавать безопасные веб-приложения и мобильные приложения.. Обучение разработчиков вашей команды оценке и регистрации рисков может сэкономить время и деньги вашей команды в долгосрочной перспективе. Если вы хотите узнайте больше о том, как обучить свою команду работе с OWASP Top 10, нажмите здесь.
