OWASP Topp 10 sikkerhetsrisikoer | Oversikt
Innholdsfortegnelse
Hva er OWASP?
OWASP er en ideell organisasjon dedikert til opplæring i nettappsikkerhet.
OWASP-læringsmateriellet er tilgjengelig på nettsiden deres. Verktøyene deres er nyttige for å forbedre sikkerheten til nettapplikasjoner. Dette inkluderer dokumenter, verktøy, videoer og fora.
OWASP Topp 10 er en liste som fremhever de største sikkerhetsproblemene for nettapper i dag. De anbefaler at alle selskaper inkluderer denne rapporten i sine prosesser for å redusere sikkerhetsrisikoer. Nedenfor er en liste over sikkerhetsrisikoer inkludert i OWASP Topp 10 2017-rapporten.
SQL Injection
SQL-injeksjon skjer når en angriper sender upassende data til en nettapp for å forstyrre programmet i applikasjonen.
Et eksempel på en SQL-injeksjon:
Angriperen kan legge inn en SQL-spørring i et inndataskjema som krever et brukernavn klartekst. Hvis inndataskjemaet ikke er sikret, vil det resultere i utføring av en SQL-spørring. Dette er referert til som SQL-injeksjon.
For å beskytte nettapplikasjoner mot kodeinjeksjon, sørg for at utviklerne dine bruker inndatavalidering på brukerinnsendte data. Validering refererer her til avvisning av ugyldige inndata. En databasebehandler kan også sette kontroller for å redusere mengden av informasjon som kan bli avslørt i et injeksjonsangrep.
For å forhindre SQL-injeksjon anbefaler OWASP å holde data atskilt fra kommandoer og spørringer. Det foretrukne alternativet er å bruke en sikker API for å forhindre bruk av en tolk, eller for å migrere til Object Relational Mapping Tools (ORM).
Ødelagt autentisering
Autentiseringssårbarheter kan tillate en angriper å få tilgang til brukerkontoer og kompromittere et system ved å bruke en administratorkonto. En nettkriminell kan bruke et skript til å prøve tusenvis av passordkombinasjoner på et system for å se hvilke som fungerer. Når nettkriminelle er inne, kan de forfalske identiteten til brukeren, og gi dem tilgang til konfidensiell informasjon.
Det finnes et ødelagt autentiseringssårbarhet i nettapplikasjoner som tillater automatiserte pålogginger. En populær måte å korrigere autentiseringssårbarhet på er bruken av multifaktorautentisering. En grense for påloggingshastighet kan også inkluderes i nettappen for å forhindre brute force-angrep.
Sensitive dataeksponering
Hvis nettapplikasjoner ikke beskytter, kan sensitive angripere få tilgang til og bruke dem for egen vinning. Et angrep på veien er en populær metode for å stjele sensitiv informasjon. Risikoen for eksponering er minimal når alle sensitive data er kryptert. Nettutviklere bør sørge for at ingen sensitive data blir eksponert i nettleseren eller lagret unødvendig.
XML External Entities (XEE)
En nettkriminell kan være i stand til å laste opp eller inkludere skadelig XML-innhold, kommandoer eller kode i et XML-dokument. Dette lar dem se filer på applikasjonsserverens filsystem. Når de har tilgang, kan de samhandle med serveren for å utføre server-side request forgery (SSRF) angrep.
XML eksterne enhetsangrep kan forhindres av slik at nettapplikasjoner godtar mindre komplekse datatyper som JSON. Deaktivering av XML ekstern enhetsbehandling reduserer også sjansene for et XEE-angrep.
Brutt tilgangskontroll
Tilgangskontroll er en systemprotokoll som begrenser uautoriserte brukere til sensitiv informasjon. Hvis et tilgangskontrollsystem er ødelagt, kan angripere omgå autentisering. Dette gir dem tilgang til sensitiv informasjon som om de har autorisasjon. Tilgangskontroll kan sikres ved å implementere autorisasjonstokens ved brukerpålogging. På hver forespørsel en bruker gjør mens den er autentisert, verifiseres autorisasjonstokenet med brukeren, noe som signaliserer at brukeren er autorisert til å gjøre den forespørselen.
Feilkonfigurasjon av sikkerhet
Sikkerhetsfeilkonfigurasjon er et vanlig problem som Cybersecurity spesialister observerer i webapplikasjoner. Dette skjer som et resultat av feilkonfigurerte HTTP-hoder, ødelagte tilgangskontroller og visning av feil som avslører informasjon i en nettapp. Du kan korrigere en sikkerhetsfeilkonfigurasjon ved å fjerne ubrukte funksjoner. Du bør også lappe eller oppgradere programvarepakkene dine.
Cross-Site Scripting (XSS)
XSS-sårbarhet oppstår når en angriper manipulerer DOM API-en til et pålitelig nettsted for å kjøre ondsinnet kode i en brukers nettleser. Utførelsen av denne ondsinnede koden skjer ofte når en bruker klikker på en lenke som ser ut til å være fra et pålitelig nettsted. Hvis nettstedet ikke er beskyttet mot XSS-sårbarhet, kan det bli kompromittert. Den ondsinnede koden som blir henrettet gir en angriper tilgang til brukernes påloggingsøkt, kredittkortdetaljer og andre sensitive data.
For å forhindre Cross-site Scripting (XSS), sørg for at HTML-en din er godt renset. Dette kan oppnås ved å velge pålitelige rammer avhengig av språket du velger. Du kan bruke språk som .Net, Ruby on Rails og React JS, da de vil hjelpe til med å analysere og rense HTML-koden din. Å behandle alle data fra autentiserte eller ikke-autentiserte brukere som upålitelige kan redusere risikoen for XSS-angrep.
Usikker deserialisering
Deserialisering er transformasjon av serialiserte data fra en server til et objekt. Deserialisering av data er en vanlig forekomst i programvareutvikling. Det er utrygt når data er deserialisert fra en upålitelig kilde. Dette kan potensielt utsette applikasjonen din for angrep. Usikker deserialisering oppstår når deserialiserte data fra en ikke-klarert kilde fører til DDOS-angrep, eksternt kodeutførelsesangrep eller omgåelser av autentisering.
For å unngå usikker deserialisering er tommelfingerregelen å aldri stole på brukerdata. Hver bruker skal legge inn data bli behandlet as potensielt ondsinnet. Unngå deserialisering av data fra upålitelige kilder. Sørg for at deserialiseringsfunksjonen til bli brukt i webapplikasjonen din er trygg.
Bruke komponenter med kjente sårbarheter
Biblioteker og rammeverk har gjort det mye raskere å utvikle webapplikasjoner uten å måtte finne opp hjulet på nytt. Dette reduserer redundans i kodeevaluering. De baner vei for utviklere til å fokusere på viktigere aspekter ved applikasjoner. Hvis angripere oppdager utnyttelser i disse rammeverkene, vil hver kodebase som bruker rammeverket gjøre det bli kompromittert.
Komponentutviklere tilbyr ofte sikkerhetsoppdateringer og oppdateringer for komponentbiblioteker. For å unngå komponentsårbarheter, bør du lære å holde applikasjonene dine oppdatert med de nyeste sikkerhetsoppdateringene og oppgraderingene. Ubrukte komponenter bør fjernes fra applikasjonen for å kutte angrepsvektorer.
Utilstrekkelig logging og overvåking
Logging og overvåking er viktig for å vise aktiviteter i nettapplikasjonen din. Logging gjør det enkelt å spore feil, overvåke brukerpålogginger og aktiviteter.
Utilstrekkelig logging og overvåking skjer når sikkerhetskritiske hendelser ikke logges riktig. Angripere utnytter dette for å utføre angrep på applikasjonen din før det er noen merkbar respons.
Logging kan hjelpe bedriften din med å spare penger og tid fordi utviklerne dine kan lett finne feil. Dette lar dem fokusere mer på å løse feilene enn å søke etter dem. Faktisk kan logging bidra til å holde nettstedene og serverne i drift hver gang uten at de opplever nedetid.
konklusjonen
God kode er det ikke bare om funksjonalitet handler det om å holde brukerne og applikasjonene dine trygge. OWASP Topp 10 er en liste over de mest kritiske applikasjonssikkerhetsrisikoene er en flott gratis ressurs for utviklere å skrive sikre nett- og mobilapper. Å trene utviklere på teamet ditt for å vurdere og logge risikoer kan spare teamet ditt for tid og penger i det lange løp. Hvis du vil les mer om hvordan du trener laget ditt på OWASP Topp 10 klikk her.
