OWASP Supraj 10 Sekurecaj Riskoj | Superrigardo
Enhavtabelo
Kio estas OWASP?
OWASP estas neprofitcela organizo dediĉita al retprogramo pri sekureca edukado.
La lernmaterialoj de OWASP estas alireblaj en sia retejo. Iliaj iloj estas utilaj por plibonigi la sekurecon de TTT-aplikoj. Ĉi tio inkluzivas dokumentojn, ilojn, filmetojn kaj forumojn.
La OWASP-Supro 10 estas listo, kiu elstarigas la ĉefajn sekurecajn zorgojn por TTT-aplikoj hodiaŭ. Ili rekomendas, ke ĉiuj kompanioj inkluzivas ĉi tiun raporton en siaj procezoj por tranĉi sekurecajn riskojn. Malsupre estas listo de sekurecaj riskoj inkluzivitaj en la raporto OWASP Top 10 2017.
SQL injekto
SQL-injekto okazas kiam atakanto sendas netaŭgajn datumojn al retejo por interrompi la programon en la aplikaĵo..
Ekzemplo de SQL-Injekto:
La atakanto povus enigi SQL-demandon en enigformularon kiu postulas uzantnomon klarteksto. Se la enigformularo ne estas sekurigita, ĝi rezultigos la plenumon de SQL-demando. Ĉi tio estas referita al kiel SQL-injekto.
Por protekti TTT-aplikaĵojn kontraŭ koda injekto, certigu, ke viaj programistoj uzas enigan validigon sur datumoj senditaj de uzanto. Valido ĉi tie rilatas al malakcepto de nevalidaj enigaĵoj. Administranto de datumbazoj ankaŭ povas agordi kontrolojn por redukti la kvanton de informo kiu povas esti malkaŝita en injekta atako.
Por malhelpi SQL-injekton, OWASP rekomendas konservi datumojn apartaj de komandoj kaj demandoj. La preferinda opcio estas uzi sekuran API malhelpi la uzon de interpretisto, aŭ migri al Object Relational Mapping Tools (ORMoj).
Rompita Aŭtentigo
Aŭtentigaj vundeblecoj povas permesi al atakanto aliri uzantkontojn kaj kompromiti sistemon uzante administran konton. Ciberkrimulo povas uzi skripton por provi milojn da pasvortkombinaĵoj en sistemo por vidi kiu funkcias. Post kiam la ciberkrimulo eniras, ili povas falsi la identecon de la uzanto, donante al ili aliron al konfidencaj informoj..
Rompita aŭtentiga vundebleco ekzistas en TTT-aplikoj, kiuj permesas aŭtomatigitajn ensalutojn. Populara maniero korekti aŭtentikan vundeblecon estas la uzo de plurfaktora aŭtentigo. Ankaŭ, ensaluta impostolimo povus estu inkluzivita en la retejo por malhelpi krudfortajn atakojn.
Sentema Datuma Eksponado
Se TTT-aplikoj ne protektas sentemajn atakantojn povas aliri kaj uzi ilin por sia gajno. Survoja atako estas populara metodo por ŝteli sentemajn informojn. La risko de eksponiĝo povas estas minimuma kiam ĉiuj sentemaj datumoj estas ĉifritaj. Retaj programistoj devas certigi, ke neniuj sentemaj datumoj estas elmontritaj en la retumilo aŭ stokitaj nenecese.
XML Eksteraj Entoj (XEE)
Ciberkrimulo eble povas alŝuti aŭ inkluzivi malican XML-enhavon, komandojn aŭ kodon ene de XML-dokumento.. Ĉi tio ebligas al ili vidi dosierojn sur la aplikaĵservila dosiersistemo. Post kiam ili havas aliron, ili povas interagi kun la servilo por elfari servilflankajn petajn falsajn atakojn (SSRF)..
XML eksteraj entaj atakoj povas esti malhelpita de permesante al TTT-aplikoj akcepti malpli kompleksajn datumtipojn kiel JSON. Malebligi XML-eksteran entan prilaboradon ankaŭ reduktas la eblecojn de XEE-atako.
Rompita Alirkontrolo
Alirkontrolo estas sistema protokolo, kiu limigas neaŭtorizitajn uzantojn al sentemaj informoj. Se alirkontrolsistemo estas rompita, atakantoj povas preteriri aŭtentikigon. Ĉi tio donas al ili aliron al sentemaj informoj kvazaŭ ili havus rajtigon. Alirkontrolo povas esti sekurigita efektivigante rajtigajn ĵetonojn sur uzanta ensaluto. Sur ĉiu peto kiun uzanto faras dum aŭtentikigita, la rajtigoĵetono kun la uzanto estas kontrolita, signalante ke la uzanto estas rajtigita fari tiun peton.
Sekureca miskonfiguracio
Sekureca misagordo estas ofta afero tio Cibereco specialistoj observas en TTT-aplikoj. Ĉi tio okazas kiel rezulto de misagorditaj HTTP-titoloj, rompitaj alirkontroloj kaj la montrado de eraroj, kiuj elmontras informojn en retejo-aplikaĵo.. Vi povas korekti Sekurecan Misagordon forigante neuzatajn funkciojn. Vi ankaŭ devus fliki aŭ ĝisdatigi viajn programarpakaĵojn.
Trans-Reta Skribado (XSS)
XSS-vundebleco okazas kiam atakanto manipulas la DOM-API de fidinda retejo por efektivigi malican kodon en la retumilo de uzanto.. La ekzekuto de ĉi tiu malica kodo ofte okazas kiam uzanto alklakas ligilon, kiu ŝajnas esti de fidinda retejo.. Se la retejo ne estas protektita kontraŭ XSS-vunerebleco, ĝi povas estu kompromitita. La malica kodo tio estas ekzekutita donas al atakanto aliron al la ensalutsesio de la uzantoj, kreditkartdetaloj kaj aliaj sentemaj datumoj.
Por malhelpi Trans-ejan Skripton (XSS), certigu, ke via HTML estas bone purigita. Ĉi tio povas esti atingita per elektante fidindajn kadrojn depende de la lingvo elektita. Vi povas uzi lingvojn kiel .Net, Ruby on Rails kaj React JS ĉar ili helpus analizi kaj purigi vian HTML-kodon. Trakti ĉiujn datumojn de aŭtentikigitaj aŭ neaŭtentikigitaj uzantoj kiel nefidindajn povas redukti la riskon de XSS-atakoj..
Nesekura Deseriligo
Deseriigo estas la transformo de seriigitaj datenoj de servilo al objekto. Seneriigo de datenoj estas ofta okazo en programaro. Estas nesekura kiam datumoj estas deserialigita de nefidinda fonto. Ĉi tio povas potenciale elmontri vian aplikaĵon al atakoj. Nesekura deserialigo okazas kiam deserialigitaj datenoj de nefidinda fonto kondukas al DDOS-atakoj, malproksimaj kodaj ekzekut-atakoj aŭ aŭtentikigaj preterpasoj..
Por eviti nesekuran deserialigon, la regulo estas neniam fidi uzantdatenojn. Ĉiu uzanto enigo datumoj devus estu traktata as potenciale malica. Evitu seneriigon de datumoj de nefidindaj fontoj. Certigu ke la deserialization funkcio al esti uzata en via retejo estas sekura.
Uzante Komponentojn Kun Konataj Vundeblecoj
Bibliotekoj kaj Kadroj multe pli rapide disvolvis TTT-aplikaĵojn sen neceso reinventi la radon. Ĉi tio reduktas redundon en koda taksado. Ili malfermas la vojon por programistoj koncentriĝi pri pli gravaj aspektoj de aplikoj. Se atakantoj malkovras ekspluatojn en ĉi tiuj kadroj, ĉiu kodbazo uzanta la kadron farus estu kompromitita.
Komponentoprogramistoj ofte ofertas sekurecajn diakilojn kaj ĝisdatigojn por komponentbibliotekoj. Por eviti komponentajn vundeblecojn, vi devus lerni teni viajn aplikaĵojn ĝisdatigitaj kun la plej novaj sekurecaj flikiloj kaj ĝisdatigoj.. Neuzataj komponantoj devus estu forigita de la aplikaĵo por tranĉi atakvektorojn.
Nesufiĉa Registrado Kaj Monitorado
Registrado kaj monitorado estas gravaj por montri agadojn en via retejo. Registrado faciligas spuri erarojn, monitoro ensalutoj de uzantoj kaj agadoj.
Nesufiĉa registrado kaj monitorado okazas kiam sekurec-kritikaj eventoj ne estas registritaj konvene. Atakantoj profitas ĉi tion por fari atakojn kontraŭ via aplikaĵo antaŭ ol estas rimarkinda respondo.
Registrado povas helpi vian kompanion ŝpari monon kaj tempon ĉar viaj programistoj povas facile trovi cimojn. Ĉi tio permesas al ili pli koncentriĝi pri solvado de la cimoj ol serĉi ilin. Efektive, protokolado povas helpi konservi viajn retejojn kaj servilojn ĉiufoje sen ke ili spertas ajnan malfunkcion.
konkludo
Bona kodo ne estas nur pri funkcieco, temas pri sekurigi viajn uzantojn kaj aplikaĵon. La OWASP Top 10 estas listo de la plej kritikaj aplikaĵaj sekurecaj riskoj estas bonega senpaga rimedo por programistoj por verki sekurajn retejojn kaj moveblajn apojn.. Trejni programistojn en via teamo por taksi kaj registri riskojn povas ŝpari vian teamon tempon kaj monon longtempe. Se vi ŝatus Lernu pli pri kiel trejni vian teamon pri la Top 10 de OWASP alklaku ĉi tie.
