OWASP Top 10 öryggisáhættur | Yfirlit
Efnisyfirlit
Hvað er OWASP?
OWASP er sjálfseignarstofnun sem er tileinkuð öryggiskennslu vefforrita.
OWASP námsefnið er aðgengilegt á heimasíðu þeirra. Verkfæri þeirra eru gagnleg til að bæta öryggi vefforrita. Þetta felur í sér skjöl, verkfæri, myndbönd og spjallborð.
OWASP Top 10 er listi sem undirstrikar helstu öryggisáhyggjur vefforrita í dag. Þeir mæla með því að öll fyrirtæki hafi þessa skýrslu í ferlum sínum til að draga úr öryggisáhættu. Hér að neðan er listi yfir öryggisáhættu í OWASP Top 10 2017 skýrslunni.
SQL sprautun
SQL innspýting á sér stað þegar árásarmaður sendir óviðeigandi gögn í vefforrit til að trufla forritið í forritinu.
Dæmi um SQL innspýtingu:
Árásarmaðurinn gæti slegið inn SQL fyrirspurn í innsláttarform sem krefst notendanafns látlausan texta. Ef inntaksformið er ekki tryggt mun það leiða til þess að SQL fyrirspurn er keyrð. Þetta er vísað til sem SQL innspýting.
Til að vernda vefforrit gegn innspýtingu kóða skaltu ganga úr skugga um að þróunaraðilar þínir noti inntaksstaðfestingu á gögnum sem notendur hafa lagt fram. Með löggildingu er hér átt við höfnun á ógildum aðföngum. Gagnagrunnsstjóri getur einnig stillt stýringar til að draga úr magni upplýsingar sem geta verða birtar í sprautukasti.
Til að koma í veg fyrir SQL innspýtingu mælir OWASP með því að halda gögnum aðskildum frá skipunum og fyrirspurnum. Æskilegur kosturinn er að nota öruggt API til að koma í veg fyrir notkun túlks eða til að flytja yfir í Object Relational Mapping Tools (ORM).
Brotin auðkenning
Auðkenningarveikleikar geta gert árásarmanni kleift að fá aðgang að notendareikningum og stofna kerfi í hættu með því að nota stjórnandareikning. Netglæpamaður getur notað handrit til að prófa þúsundir lykilorðasamsetninga á kerfi til að sjá hver virkar. Þegar netglæpamaðurinn er kominn inn geta þeir falsað auðkenni notandans og veitt honum aðgang að trúnaðarupplýsingum.
Brotinn auðkenningarleysi er til staðar í vefforritum sem leyfa sjálfvirka innskráningu. Vinsæl leið til að leiðrétta auðkenningarveikleika er notkun margþátta auðkenningar. Einnig gæti takmörkun á innskráningarhlutfalli vera með í vefforritinu til að koma í veg fyrir brute force árásir.
Viðkvæm gögn útsetning
Ef vefforrit vernda ekki viðkvæma árásarmenn geta þeir fengið aðgang að og notað þau sér til gagns. Árás á braut er vinsæl aðferð til að stela viðkvæmum upplýsingum. Hættan á váhrifum er lítil þegar öll viðkvæm gögn eru dulkóðuð. Vefhönnuðir ættu að tryggja að engin viðkvæm gögn séu afhjúpuð í vafranum eða geymd að óþörfu.
XML ytri aðilar (XEE)
Netglæpamaður gæti hlaðið upp eða haft skaðlegt XML efni, skipanir eða kóða í XML skjali. Þetta gerir þeim kleift að skoða skrár á skráarkerfi forritaþjónsins. Þegar þeir hafa aðgang geta þeir haft samskipti við netþjóninn til að framkvæma beiðnir um fölsun á netþjóni (SSRF)..
XML árásir utanaðkomandi aðila geta komið í veg fyrir með leyfa vefforritum að samþykkja minna flóknar gagnagerðir eins og JSON. Slökkt er á vinnslu XML utanaðkomandi aðila dregur einnig úr líkum á XEE árás.
Biluð aðgangsstýring
Aðgangsstýring er kerfissamskiptareglur sem takmarkar óviðkomandi notendur við viðkvæmar upplýsingar. Ef aðgangsstýringarkerfi er bilað geta árásarmenn farið framhjá auðkenningu. Þetta gefur þeim aðgang að viðkvæmum upplýsingum eins og þeir hafi heimild. Hægt er að tryggja aðgangsstýringu með því að innleiða heimildartákn við innskráningu notanda. Við hverja beiðni sem notandi gerir á meðan hann er auðkenndur er heimildartáknið hjá notandanum staðfest, sem gefur til kynna að notandinn hafi heimild til að gera þá beiðni.
Mistök öryggis
Öryggi rangstillingar er algengt vandamál sem cybersecurity sérfræðingar fylgjast með í vefforritum. Þetta gerist vegna rangstillingar HTTP hausa, bilaðra aðgangsstýringa og birtingar villna sem afhjúpa upplýsingar í vefforriti. Þú getur leiðrétt öryggisvillu með því að fjarlægja ónotaða eiginleika. Þú ættir líka að laga eða uppfæra hugbúnaðarpakkana þína.
Handrit yfir vefsvæði (XSS)
XSS varnarleysi á sér stað þegar árásarmaður vinnur með DOM API traustrar vefsíðu til að keyra skaðlegan kóða í vafra notanda. Framkvæmd þessa illgjarna kóða á sér oft stað þegar notandi smellir á tengil sem virðist vera frá traustri vefsíðu. Ef vefsíðan er ekki vernduð fyrir XSS varnarleysi getur hún það vera í hættu. Hinn illgjarni kóða sem er framkvæmt veitir árásarmanni aðgang að innskráningarlotu notenda, kreditkortaupplýsingum og öðrum viðkvæmum gögnum.
Til að koma í veg fyrir kross-síðuforskriftir (XSS), vertu viss um að HTML sé vel sótthreinsað. Þetta getur verði náð með að velja trausta ramma eftir því hvaða tungumáli valið er. Þú getur notað tungumál eins og .Net, Ruby on Rails og React JS þar sem þau myndu hjálpa til við að flokka og þrífa HTML kóðann þinn. Með því að meðhöndla öll gögn frá staðfestum eða óvottaðri notendum sem ótraust getur það dregið úr hættu á XSS árásum.
Óörugg afserialization
Deserialization er umbreyting raðbundinna gagna frá netþjóni í hlut. Deerialization gagna er algengur viðburður í hugbúnaðarþróun. Það er óöruggt þegar gögn er deserialized frá ótraustum aðilum. Þetta getur hugsanlega útsett forritið þitt fyrir árásum. Óörugg afserialization á sér stað þegar afserialized gögn frá ótraustum uppsprettu leiða til DDOS árása, árása á ytri keyrslu kóða eða framhjáhlaups um auðkenningu.
Til að forðast óörugga afserialization er þumalputtareglan að treysta aldrei notendagögnum. Sérhver notandi inntaksgögn ættu að vera meðhöndlaðir as hugsanlega illgjarn. Forðastu afserialization gagna frá ótraustum aðilum. Gakktu úr skugga um að afserialization virka til vera notaður í vefforritinu þínu er öruggt.
Notkun íhluta með þekktum veikleikum
Bókasöfn og rammar hafa gert það mun hraðara að þróa vefforrit án þess að þurfa að finna upp hjólið aftur. Þetta dregur úr offramboði í kóðamati. Þeir greiða leið fyrir þróunaraðila til að einbeita sér að mikilvægari þáttum forrita. Ef árásarmenn uppgötva hetjudáð í þessum ramma, mun sérhver kóðagrunnur sem notar rammann gera það vera í hættu.
Íhlutahönnuðir bjóða oft upp á öryggisplástra og uppfærslur fyrir íhlutasöfn. Til að forðast veikleika íhluta ættir þú að læra að halda forritunum þínum uppfærðum með nýjustu öryggisplástrum og uppfærslum. Ónotaðir íhlutir ættu að vera fjarlægðir úr forritinu til að skera árásarvektora.
Ófullnægjandi skráning og eftirlit
Skráning og eftirlit eru mikilvæg til að sýna starfsemi í vefforritinu þínu. Skráning gerir það auðvelt að rekja villur, fylgjast með innskráningar notenda og athafnir.
Ófullnægjandi skráning og eftirlit á sér stað þegar öryggisatburðir eru ekki skráðir rétt. Árásarmenn nýta sér þetta til að gera árásir á forritið þitt áður en það er einhver áberandi viðbrögð.
Skógarhögg getur hjálpað fyrirtækinu þínu að spara peninga og tíma vegna þess að hönnuðir þínir geta það auðveldlega finna villur. Þetta gerir þeim kleift að einbeita sér meira að því að leysa villurnar en að leita að þeim. Í raun getur skógarhögg hjálpað til við að halda vefsvæðum þínum og netþjónum í gangi í hvert skipti án þess að þeir lendi í stöðvun.
Niðurstaða
Góður kóði er það ekki bara um virkni, það snýst um að halda notendum þínum og forritum öruggum. OWASP Top 10 er listi yfir mikilvægustu öryggisáhættu forrita er frábært ókeypis úrræði fyrir forritara til að skrifa örugga vef- og farsímaforrit. Þjálfun forritara í teyminu þínu til að meta og skrá áhættu getur sparað liðinu þínu tíma og peninga til lengri tíma litið. Ef þú vilt læra meira um hvernig á að þjálfa liðið þitt á OWASP Top 10 smelltu hér.
