OWASP v podstatě zkratka pro Open Web Application Security Project je nezisková globální on-line komunity skládající se z desítek tisíc členů a stovky kapitol, které produkuje články, dokumentace, nástroje a technologie v oboru web application security.

Každé tři až čtyři roky, OWASP reviduje a zveřejňuje seznam top 10 webové aplikace zranitelnosti., Tento seznam obsahuje nejen nejčastější top 10 zranitelnosti, ale také obsahují potenciální dopad každé zranitelnosti a jak se jim vyhnout. Ten OWASP Top 10 Bezpečnostních Rizik Webových Aplikací byl naposledy aktualizován v roce 2017, a to v podstatě poskytuje návod, aby vývojáři a odborníci na bezpečnost na nejkritičtější chyby, které se nejčastěji nacházejí ve webových aplikacích, a jsou také snadno zneužít. OWASP top 10 je považován za základní průvodce osvědčenými postupy zabezpečení webových aplikací.,

top 10 OWASP zranitelností v roce 2020, jsou:

  1. Injekce
  2. Rozbité Autentizace
  3. Citlivá Data Vystavení
  4. XML External Entity (XXE)
  5. Broken Access control
  6. chyby konfigurace Zabezpečení
  7. Cross-Site Scripting (XSS)
  8. Nejistý Rekonstrukci
  9. Používání Komponent s známých zranitelností
  10. Nedostatečné protokolování a monitorování.,

Injection

injection zranitelnosti dojít, když útočník používá dotaz nebo příkaz k vložení nedůvěryhodných dat do interpretu přes SQL, OS, NoSQL, nebo LDAP injekce. Data, která jsou vstřikována prostřednictvím tohoto útočného vektoru, způsobují, že aplikace dělá něco, pro co není určena. Ne všechny aplikace jsou náchylné k útoku, pouze aplikace, které přijímají parametry jako vstupní jsou náchylné k injection útoky.,

Injection útoky může být zabráněno tím,

  • Pomocí bezpečnější API, které se vyhýbá používání tlumočníka
  • Pomocí parametrizované dotazy při kódování
  • Oddělování příkazů od data, aby se zabránilo vystavení útoky

Broken Authentication

Broken Authentication je zranitelnost, která umožňuje útočníkovi použít manuální nebo automatické metody, aby se pokusili získat kontrolu nad jakýkoliv účet, které chtějí v systému. V horších podmínkách by také mohli získat úplnou kontrolu nad systémem., Tato chyba zabezpečení je také nebezpečnější, protože webové stránky s chybnými zranitelnostmi ověřování jsou na webu velmi běžné. Zlomená autentizace se obvykle vyskytuje, když aplikace nesprávně provádějí funkce související se správou relací, což umožňuje vetřelcům kompromitovat hesla, bezpečnostní klíče nebo tokeny relace.,Broken authentication útoky může být zabráněno tím,

  • Prováděcí multi-faktor autentizace
  • Ochrana pověření uživatele
  • Posílání hesel přes šifrované spojení

Citlivá Data Vystavení

Tato chyba zabezpečení je jedním z nejrozšířenějších zranitelností na seznamu OWASP a to nastane, když aplikace a rozhraní Api není správně chránit citlivá data jako jsou finanční údaje, čísla sociálního zabezpečení, uživatelská jména a hesla, nebo informace o zdraví, a to umožňuje útočníkům získat přístup k těmto informacím a spáchání podvodu nebo ukrást identitu.,

Citlivá data vystavení útokům lze zabránit tím,

  • Pomocí secure URL
  • Použití silná a unikátní hesla
  • Šifrování všech citlivých informací, které musí být uloženy

XML External Entity (XXE)

Tato chyba se vyskytuje u webových aplikací, které parse XML vstup. Stává se to, když špatně nakonfigurované procesory XML vyhodnocují odkazy externích entit v dokumentech XML a odesílají citlivá data neoprávněnému externímu subjektu, tj., Ve výchozím nastavení je většina analyzátorů XML zranitelná vůči útokům XXE.

XXE útoky může být zabráněno tím,

  • Použití méně komplexní datové formáty jako JSON
  • Udržet XML procesory a modernizované knihovny
  • Pomocí ŠÁSTI nástroje

Rozbité Kontroly Přístupu

Tato chyba nastane, když tam je rozbité přístup ke zdrojům, to znamená, že tam jsou některé nesprávně nakonfigurován chybí omezení na ověřené uživatele, která jim umožňuje přístup neoprávněné funkčnost nebo údajů, jako je přístup pro ostatní účty, důvěrné dokumenty, atd., Pro tento útok útočníci využívají správu relací a snaží se získat přístup k datům z nevyčerpaných tokenů relace, což jim umožňuje přístup k mnoha platným ID a heslům.,

Broken access control útoky může být zabráněno tím,

  • Odstranění účtů, které již nejsou potřeba nebo nejsou aktivní.
  • Vypnutí zbytečných služeb, aby se snížila zátěž na servery
  • Pomocí penetrační testování

Zabezpečení Konfigurací

Odhaduje se, že až 95% cloud porušení jsou výsledkem lidské chyby a tato skutečnost nás vede k další zranitelnost tzv. bezpečnostní konfigurací. Tato chyba zabezpečení se týká nesprávné implementace zabezpečení, jejímž cílem je udržet data aplikace v bezpečí., Jak víme, že developer práce je v podstatě práce na funkčnost webových stránek, a nikoli na bezpečnost a tato chyba umožňuje hackerům sledovat konfigurace zabezpečení a najít nové možné způsoby, jak zadávat webové stránky. Nejčastějším důvodem této chyby zabezpečení není oprava nebo modernizace systémů, rámců a komponent.,

Bezpečnostní konfigurací útoky může být zabráněno tím,

  • Pomocí Dynamické aplikace pro testování bezpečnosti (DAST)
  • Zákaz používání výchozí hesla
  • pozor na cloud zdrojů, aplikací a serverů

Cross-Site Scripting (XSS)

To je také rozšířená zranitelnost, která ovlivňuje téměř 53% všechny webové aplikace. Chyba zabezpečení XSS umožňuje hackerovi vložit škodlivé skripty na straně klienta na web a poté použít webovou aplikaci jako vektor útoku k únosu uživatelských relací nebo přesměrování oběti na škodlivé webové stránky.,

Cross-site scripting útoky může být zabráněno tím,

  • Pomocí vhodných záhlaví odpovědi
  • Filtrování vstupní a kódování výstup
  • Použití obsah bezpečnostní politika
  • Použití zero-trust přístup na vstup uživatele

Nejistý Rekonstrukci

Nejistá Rekonstrukci zranitelnost umožňuje útočníkovi vzdáleně spustit kód v aplikaci, manipulaci nebo odstranit serializovat (zapsány na disk) objekty, chování injection útoky, opakované útoky a zvýšit oprávnění. Tento útok je také známý jako nedůvěryhodná Deserializace., Jedná se o závažný problém zabezpečení aplikací, který postihuje většinu moderních systémů.,alizace útoky může být zabráněno tím,

  • Prováděcí digitální podpisy
  • Pomocí penetrační testování
  • Izolovat kód, který deserializes a běží to v nízké privilegium prostředí, aby se zabránilo neoprávněnému akce

Používání Komponent s známých zranitelností

v Dnešní době existuje mnoho open-source a volně dostupné softwarové komponenty (knihovny, frameworky) které jsou k dispozici pro vývojáře, a pokud tam dojde k nějaké komponenty, které mají známé zranitelnosti v něm, pak se to stane slabý odkaz, který může mít dopad na bezpečnost celé aplikace., To také dochází, protože vývojáři často nevím, který z open source a komponenty třetích stran jsou přítomny v jejich žádosti, a to ztěžuje pro vývojáře aktualizovat komponenty, když nové zranitelnosti se objevil v jejich aktuálních verzích.,

Tento útok může být zabráněno tím,

  • Odstranění všech zbytečných závislostí
  • Pomocí virtuální záplatování
  • Používání komponent pouze z oficiálních a ověřených zdrojů

Nedostatečné, Protokolování a Sledování

odhaduje se, že doba od útoku do detekce může trvat až 200 dnů, a často déle. Mezitím mohou útočníci manipulovat se servery, poškozenými databázemi a ukrást důvěrné informace. Nedostatečné protokolování a neúčinná integrace bezpečnostních systémů umožňují útočníkům obrátit se na jiné systémy a udržovat trvalé hrozby.,

Nedostatečná protokolování a monitorování útoků lze předejít tím,

  • Prováděcí protokolování a audit software
  • Vytvoření účinného systému sledování
  • Přemýšlet jako útočník, a použít pero testování přístupu
Článek Tagy :