OWASP Top 10 turvallisuusriskiä | Yleiskatsaus
Sisällysluettelo
Mikä on OWASP?
OWASP on voittoa tavoittelematon organisaatio, joka on omistautunut verkkosovellusten tietoturvakoulutukseen.
OWASP-oppimateriaalit ovat saatavilla heidän verkkosivuillaan. Heidän työkalunsa ovat hyödyllisiä verkkosovellusten turvallisuuden parantamisessa. Tämä sisältää asiakirjoja, työkaluja, videoita ja foorumeita.
OWASP Top 10 on luettelo, joka korostaa tämän päivän verkkosovellusten tärkeimpiä turvallisuusongelmia. He suosittelevat, että kaikki yritykset sisällyttävät tämän raportin prosesseihinsa turvallisuusriskien vähentämiseksi. Alla on luettelo turvallisuusriskeistä, jotka sisältyvät OWASP Top 10 2017 -raporttiin.
SQL Injection
SQL-injektio tapahtuu, kun hyökkääjä lähettää sopimattomia tietoja verkkosovellukseen häiritäkseen ohjelman toimintaa.
Esimerkki SQL-injektiosta:
Hyökkääjä voi kirjoittaa SQL-kyselyn syöttölomakkeeseen, joka vaatii käyttäjänimen pelkkänä tekstinä. Jos syöttölomaketta ei ole suojattu, se johtaa SQL-kyselyn suorittamiseen. Tämä viitataan SQL-injektiona.
Suojaa verkkosovelluksia koodin lisäämiseltä varmistamalla, että kehittäjäsi käyttävät syötteen vahvistusta käyttäjien lähettämille tiedoille. Validointi tarkoittaa tässä virheellisten syötteiden hylkäämistä. Tietokannan hallintaohjelma voi myös asettaa ohjaimia vähentämään niiden määrää tiedot jotka voivat paljastetaan injektiohyökkäyksessä.
SQL-lisäyksen estämiseksi OWASP suosittelee pitämään tiedot erillään komennoista ja kyselyistä. Suositeltava vaihtoehto on käyttää suojattua API estääksesi tulkin käytön tai siirtyäksesi ORM-työkaluihin (Object Relational Mapping Tools).
Virheellinen todennus
Todennushaavoittuvuudet voivat antaa hyökkääjälle mahdollisuuden päästä käyttäjätileihin ja murtautua järjestelmään järjestelmänvalvojan tilin avulla. Kyberrikollinen voi käyttää komentosarjaa kokeillakseen tuhansia salasanayhdistelmiä järjestelmässä nähdäkseen, mikä toimii. Kun kyberrikollinen on paikalla, hän voi väärentää käyttäjän henkilöllisyyden ja antaa heille pääsyn luottamuksellisiin tietoihin..
Automaattisen kirjautumisen mahdollistavissa verkkosovelluksissa on rikkinäinen todennushaavoittuvuus. Suosittu tapa korjata todennushaavoittuvuus on monitekijätodennus. Myös sisäänkirjautumisnopeusrajoitus voi olla mahdollista olla mukana verkkosovelluksessa raa'an voiman hyökkäyksen estämiseksi.
Arkaluontoisen tiedon altistuminen
Jos verkkosovellukset eivät suojaa, arkaluontoiset hyökkääjät voivat käyttää niitä hyödykseen. On-path-hyökkäys on suosittu tapa varastaa arkaluontoisia tietoja. Altistumisen riski on minimaalinen, kun kaikki arkaluontoiset tiedot on salattu. Verkkokehittäjien tulee varmistaa, ettei arkaluonteisia tietoja paljasteta selaimessa tai tallenneta tarpeettomasti.
Ulkoiset XML-entiteetit (XEE)
Kyberrikollinen saattaa pystyä lataamaan tai sisällyttämään haitallista XML-sisältöä, komentoja tai koodia XML-dokumenttiin. Näin he voivat tarkastella tiedostoja sovelluspalvelimen tiedostojärjestelmässä. Kun heillä on pääsy, he voivat olla vuorovaikutuksessa palvelimen kanssa suorittaakseen palvelinpuolen pyyntöväärennöshyökkäyksiä (SSRF)..
XML-ulkoisten entiteettien hyökkäykset voivat estää jolloin verkkosovellukset voivat hyväksyä vähemmän monimutkaisia tietotyyppejä, kuten JSON. XML-olioiden ulkoisen käsittelyn poistaminen käytöstä vähentää myös XEE-hyökkäyksen mahdollisuuksia.
Rikkinäinen kulunvalvonta
Kulunvalvonta on järjestelmäprotokolla, joka rajoittaa luvattomat käyttäjät arkaluonteisiin tietoihin. Jos kulunvalvontajärjestelmä on rikki, hyökkääjät voivat ohittaa todennuksen. Tämä antaa heille pääsyn arkaluonteisiin tietoihin ikään kuin heillä olisi valtuutus. Kulunvalvonta voidaan suojata ottamalla käyttöön valtuutustunnisteet käyttäjän kirjautumisen yhteydessä. Jokaisessa pyynnössä, jonka käyttäjä tekee autentikoituessaan, käyttäjän valtuutustunnus varmistetaan, mikä osoittaa, että käyttäjä on valtuutettu tekemään kyseisen pyynnön.
Turvallisuuden väärä määritys
Virheellinen tietoturva on yleinen ongelma tietoverkkojen asiantuntijat tarkkailevat verkkosovelluksissa. Tämä johtuu väärin määritetyistä HTTP-otsikoista, rikkinäisistä käyttöoikeuksista ja virheistä, jotka paljastavat tietoja verkkosovelluksessa.. Voit korjata tietoturvavirheen poistamalla käyttämättömät ominaisuudet. Sinun tulee myös korjata tai päivittää ohjelmistopakettisi.
Sivustojenvälinen komentosarja (XSS)
XSS-haavoittuvuus ilmenee, kun hyökkääjä manipuloi luotettavan verkkosivuston DOM-sovellusliittymää suorittaakseen haitallista koodia käyttäjän selaimessa.. Tämän haitallisen koodin suorittaminen tapahtuu usein, kun käyttäjä napsauttaa linkkiä, joka näyttää olevan luotetulta verkkosivustolta. Jos verkkosivustoa ei ole suojattu XSS-haavoittuvuudella, se voi olla vaarantua. Haitallinen koodi, joka teloitetaan antaa hyökkääjälle pääsyn käyttäjien kirjautumisistuntoon, luottokorttitietoihin ja muihin arkaluontoisiin tietoihin.
Estä Cross-site Scripting (XSS) varmistamalla, että HTML-koodisi on hyvin desinfioitu. Tämä voi saavuttaa luotettavien kehysten valitseminen valitun kielen mukaan. Voit käyttää kieliä, kuten .Net, Ruby on Rails ja React JS, koska ne auttavat jäsentämään ja puhdistamaan HTML-koodiasi. Kaikkien todennettujen tai todentamattomien käyttäjien tietojen käsitteleminen epäluotettavina voi vähentää XSS-hyökkäysten riskiä.
Epävarma deserialisaatio
Deserialisointi on sarjoitettujen tietojen muuntamista palvelimelta objektiksi. Tietojen serialisointi on yleinen ilmiö ohjelmistokehityksessä. Se ei ole turvallista, kun tietoja on deserialisoitu epäluotettavasta lähteestä. Tämä voi mahdollisesti altista sovelluksesi hyökkäyksille. Turvaton deserialisointi tapahtuu, kun epäluotettavasta lähteestä peräisin olevat sarjoitetut tiedot johtavat DDOS-hyökkäyksiin, koodin etäsuoritushyökkäyksiin tai todennuksen ohituksiin..
Turvattoman sarjoitumisen välttämiseksi nyrkkisääntönä on, että käyttäjätietoihin ei koskaan luota. Jokaisen käyttäjän tulee syöttää tietoja tulla kohdelluksi as mahdollisesti ilkeä. Vältä epäluotettavista lähteistä peräisin olevien tietojen sarjallistamista. Varmista, että deserialisointitoiminto toimii olla käytetty verkkosovelluksessasi on turvassa.
Tunnettuja haavoittuvuuksia sisältävien komponenttien käyttäminen
Kirjastot ja Frameworks ovat nopeuttaneet verkkosovellusten kehittämistä ilman, että pyörää on keksittävä uudelleen. Tämä vähentää redundanssia koodin arvioinnissa. Ne tasoittavat tietä kehittäjille keskittyä tärkeämpiin sovelluksiin. Jos hyökkääjät löytävät näistä kehyksistä hyväksikäyttöjä, jokainen kehystä käyttävä koodikanta tekee sen vaarantua.
Komponenttien kehittäjät tarjoavat usein tietoturvakorjauksia ja päivityksiä komponenttikirjastoille. Jotta voit välttää komponenttien haavoittuvuuksia, sinun tulee oppia pitämään sovelluksesi ajan tasalla uusimmilla tietoturvakorjauksilla ja -päivityksillä. Käyttämättömät komponentit pitäisi poistetaan sovelluksesta leikata hyökkäysvektoreita.
Riittämätön kirjaaminen ja seuranta
Kirjaaminen ja seuranta ovat tärkeitä toimintojen näyttämiseksi verkkosovelluksessasi. Kirjaamisen avulla on helppo jäljittää virheitä, monitori käyttäjien kirjautumiset ja toiminnot.
Riittämätöntä kirjaamista ja valvontaa tapahtuu, kun tietoturvakriittisiä tapahtumia ei kirjata asianmukaisesti. Hyökkääjät hyödyntävät tätä hyökätäkseen sovellukseesi ennen kuin havaitaan vastausta.
Kirjaaminen voi auttaa yritystäsi säästämään rahaa ja aikaa, koska kehittäjäsi voivat helposti löytää bugeja. Tämän ansiosta he voivat keskittyä enemmän vikojen ratkaisemiseen kuin niiden etsimiseen. Itse asiassa kirjaaminen voi auttaa pitämään sivustosi ja palvelimesi toiminnassa joka kerta ilman, että ne kokevat seisokkeja.
Yhteenveto
Hyvä koodi ei ole vain toiminnallisuudesta, käyttäjien ja sovellusten turvaamisesta. OWASP Top 10 on luettelo kriittisimmistä sovellusten tietoturvariskeistä on loistava ilmainen resurssi kehittäjille turvallisten verkko- ja mobiilisovellusten kirjoittamiseen. Ryhmäsi kehittäjien kouluttaminen arvioimaan ja kirjaamaan riskejä voi säästää tiimisi aikaa ja rahaa pitkällä aikavälillä. Jos haluat Lue lisää tiimisi kouluttamisesta OWASP Top 10 -listalla napsauttamalla tätä.
