ОВАСП Топ 10 безбедносних ризика | Преглед
Преглед садржаја
Шта је ОВАСП?
ОВАСП је непрофитна организација посвећена образовању о безбедности веб апликација.
ОВАСП материјали за учење су доступни на њиховој веб страници. Њихови алати су корисни за побољшање безбедности веб апликација. Ово укључује документе, алате, видео записе и форуме.
ОВАСП Топ 10 је листа која истиче највеће забринутости за безбедност веб апликација данас. Они препоручују да све компаније укључе овај извештај у своје процесе како би смањиле безбедносне ризике. Испод је листа безбедносних ризика укључених у извештај ОВАСП Топ 10 2017.
СКЛ Ињецтион
СКЛ ињекција се дешава када нападач пошаље неприкладне податке веб апликацији да би пореметио програм у апликацији.
Пример СКЛ ињекције:
Нападач би могао да унесе СКЛ упит у образац за унос који захтева отворени текст корисничког имена. Ако образац за унос није обезбеђен, то ће резултирати извршењем СКЛ упита. Ово се односи као СКЛ ињекција.
Да бисте заштитили веб апликације од убацивања кода, уверите се да ваши програмери користе проверу уноса података које су послали корисници. Валидација се овде односи на одбијање неважећих уноса. Менаџер базе података такође може подесити контроле за смањење количине информација да могу бити обелодањени у нападу ињекције.
Да би спречио СКЛ ињекцију, ОВАСП препоручује чување података одвојено од команди и упита. Пожељна опција је коришћење сигурног АПИ за да спречите употребу тумача или да пређете на алате за релационо мапирање објеката (ОРМ).
Брокен Аутхентицатион
Рањивости аутентификације могу дозволити нападачу да приступи корисничким налозима и угрози систем користећи администраторски налог. Сајбер криминалац може да користи скрипту да испроба хиљаде комбинација лозинки на систему да види која ради. Када је сајбер криминалац унутра, они могу да лажирају идентитет корисника, дајући им приступ поверљивим информацијама.
Рањивост покварене аутентификације постоји у веб апликацијама које омогућавају аутоматизовано пријављивање. Популаран начин да се исправи рањивост аутентификације је употреба вишефакторске аутентификације. Такође, ограничење стопе пријаве би могло бити укључени у веб апликацији да бисте спречили нападе грубе силе.
Излагање осетљивим подацима
Ако веб апликације не штите осетљиве нападаче могу им приступити и користити их за своју корист. Напад на путу је популаран метод за крађу осетљивих информација. Ризик од излагања је минималан када су сви осетљиви подаци шифровани. Веб програмери треба да обезбеде да осетљиви подаци не буду изложени у претраживачу или непотребно ускладиштени.
КСМЛ екстерни ентитети (КСЕЕ)
Сајбер криминалац може бити у могућности да отпреми или укључи злонамерни КСМЛ садржај, команде или код у КСМЛ документ. Ово им омогућава да прегледају датотеке на систему датотека сервера апликација. Када имају приступ, могу да комуницирају са сервером да би извршили нападе фалсификовања захтева на страни сервера (ССРФ).
КСМЛ напади екстерних ентитета могу бити спречен од омогућавајући веб апликацијама да прихвате мање сложене типове података као што је ЈСОН. Онемогућавање обраде КСМЛ екстерног ентитета такође смањује шансе за КСЕЕ напад.
Покварена контрола приступа
Контрола приступа је системски протокол који ограничава неовлашћене кориснике на осетљиве информације. Ако је систем контроле приступа покварен, нападачи могу заобићи аутентификацију. Ово им даје приступ осетљивим информацијама као да имају овлашћење. Контрола приступа се може обезбедити применом токена ауторизације приликом пријављивања корисника. На сваки захтев који корисник упути док је аутентификован, ауторизациони токен код корисника се верификује, сигнализирајући да је корисник овлашћен да упути тај захтев.
Сигурносна погрешна конфигурација
Безбедносна погрешна конфигурација је чест проблем који Циберсецурити стручњаци посматрају у веб апликацијама. Ово се дешава као резултат погрешно конфигурисаних ХТТП заглавља, покварених контрола приступа и приказа грешака које откривају информације у веб апликацији. Безбедносну погрешну конфигурацију можете да исправите уклањањем некоришћених функција. Такође би требало да закрпите или надоградите своје софтверске пакете.
Цросс-Сите Сцриптинг (КССС)
КССС рањивост се јавља када нападач манипулише ДОМ АПИ-јем поузданог веб-сајта да би извршио злонамерни код у прегледачу корисника. Извршавање овог злонамерног кода се често дешава када корисник кликне на везу за коју се чини да је са поуздане веб локације. Ако веб локација није заштићена од КССС рањивости, може бити компромитован. Злонамерни код који извршава се даје нападачу приступ сесији за пријаву корисника, детаљима кредитне картице и другим осетљивим подацима.
Да бисте спречили скриптовање на више локација (КССС), уверите се да је ваш ХТМЛ добро прочишћен. Ово може бити постигнут помоћу бирање поузданих оквира у зависности од језика избора. Можете да користите језике као што су .Нет, Руби он Раилс и Реацт ЈС јер би они помогли у рашчлањивању и чишћењу вашег ХТМЛ кода. Третирање свих података аутентификованих или неауторизованих корисника као непоузданих може смањити ризик од КССС напада.
Небезбедна десериализација
Десеријализација је трансформација серијализованих података са сервера у објекат. Десеријализација података је уобичајена појава у развоју софтвера. Није безбедно када подаци је десеријализован из непоузданог извора. Ово може потенцијално изложите своју апликацију нападима. Небезбедна десеријализација се дешава када десериализовани подаци из непоузданог извора доведу до ДДОС напада, напада на даљинско извршавање кода или заобилажења аутентификације.
Да бисте избегли несигурну десеријализацију, правило је да никада не верујете корисничким подацима. Сваки кориснички унос података треба треба третирати as потенцијално злонамерно. Избегавајте десериализацију података из непоузданих извора. Уверите се да функција десериализације буди употребљен у вашој веб апликацији је безбедно.
Коришћење компоненти са познатим рањивостима
Библиотеке и оквири су учинили много бржим развој веб апликација без потребе да се поново измишља точак. Ово смањује редундантност у евалуацији кода. Они отварају пут програмерима да се фокусирају на важније аспекте апликација. Ако нападачи открију експлоатације у овим оквирима, свака база кода која користи оквир би бити компромитован.
Програмери компоненти често нуде безбедносне закрпе и ажурирања за библиотеке компоненти. Да бисте избегли рањивост компоненти, требало би да научите да ажурирате своје апликације са најновијим безбедносним закрпама и надоградњама. Неискоришћене компоненте треба бити уклоњен из апликације за пресецање вектора напада.
Недовољно евидентирање и праћење
Евидентирање и праћење су важни за приказивање активности у вашој веб апликацији. Евидентирање олакшава праћење грешака, надгледати корисничке пријаве и активности.
Недовољно евидентирање и надгледање се дешава када се догађаји од кључне важности за безбедност не евидентирају прописно. Нападачи користе ово како би извршили нападе на вашу апликацију пре него што дође до приметне реакције.
Евидентирање може помоћи вашој компанији да уштеди новац и време јер то могу ваши програмери лако пронађите грешке. Ово им омогућава да се више фокусирају на решавање грешака него на њихово тражење. У ствари, евидентирање може помоћи да ваше веб локације и сервери буду у функцији сваки пут, а да они не доживе застоје.
Zakljucak
Добар код није само што се тиче функционалности, ради се о томе да ваши корисници и апликације буду безбедни. ОВАСП Топ 10 је листа најкритичнијих безбедносних ризика апликација је одличан бесплатни ресурс за програмере да пишу безбедне веб и мобилне апликације. Обука програмера у вашем тиму за процену и евиденцију ризика може дугорочно уштедети време и новац вашем тиму. Ако желите сазнајте више о томе како да обучите свој тим за ОВАСП Топ 10 кликните овде.
