OWASP dybest set står for Open Web Application Security Project, det er en non-profit globale online community bestående af titusinder af medlemmer og hundredvis af kapitler, der producerer artikler, dokumentation, værktøjer og teknologier inden for web application security.
Hver tre til fire år, OWASP ajourfører og offentliggør en liste over de top 10 web-applikation sårbarheder., Denne liste indeholder ikke kun de mest almindelige top 10 sårbarheder, men indeholder også den potentielle virkning af hver sårbarhed, og hvordan man undgår dem. O .asp Top 10 sikkerhedsrisici for Applicationebapplikationer blev senest opdateret i 2017, og det giver dybest set vejledning til udviklere og sikkerhedsfolk om de mest kritiske sårbarheder, der oftest findes i webebapplikationer, og er også lette at udnytte. O .asp top 10 betragtes som en vigtig guide til bestebapplikation sikkerhed bedste praksis.,
top 10 OWASP sårbarheder i 2020 er:
- Injektion
- Brudt Godkendelse
- Følsomme Data Eksponering
- XML til Eksterne Enheder (XXE)
- Brudt adgangskontrol
- forkerte sikkerhedskonfigurationer
- Cross-Site Scripting (XSS)
- Usikre Deserialization
- Brug af Komponenter med kendte sårbarheder
- Utilstrækkelig logning og overvågning.,
Injektion
Injection-sårbarheder opstår, når en hacker anvender en forespørgsel eller kommando for at indsætte upålidelige data til tolken via SQL, OS, NoSQL, eller LDAP-injektion. De data, der injiceres gennem denne angrebsvektor, får applikationen til at gøre noget, den ikke er designet til. Ikke alle applikationer er sårbare over for dette angreb, kun de applikationer, der accepterer parametre som input, er sårbare over for injektionsangreb.,
Injection-angreb kan forebygges ved at
- Brug sikrere API, der undgår brugen af tolk
- Brug parameteriserede forespørgsler, når kodning
- Udskille kommandoer fra data for at undgå udsættelse for angreb
Brudt Godkendelse
Brudt Godkendelse er en sårbarhed, der gør det muligt for en angriber at bruge manuel eller automatiske metoder til at forsøge at få kontrol over enhver konto, de ønsker i et system. Under dårligere forhold kunne de også få fuld kontrol over systemet., Denne sårbarhed er også farligere, fordi websebsteder med brudte godkendelsessårbarheder er meget almindelige på nettet. Broken authentication opstår normalt, når applikationer forkert udfører funktioner relateret til sessionsstyring, der giver indtrængende mulighed for at kompromittere adgangskoder, sikkerhedsnøgler eller sessionstokens.,Brudt godkendelse angreb kan forebygges ved at
- Gennemførelse af multi-faktor-autentificering
- Beskyttelse af brugeroplysninger
- at Sende adgangskoder via krypterede forbindelser
Følsomme Data Eksponering
Denne sårbarhed er en af de mest udbredte sårbarheder på OWASP-liste, og det opstår, når ansøgninger og Api ‘ er ikke korrekt at beskytte følsomme data såsom finansielle data, cpr-numre, brugernavne og adgangskoder, eller information om sundhed, og dette gjorde det muligt for angribere at få adgang til sådanne oplysninger og begå bedrageri eller stjæle identiteter.,
Følsomme data eksponering angreb kan forebygges ved at
- ved Hjælp af en sikker URL ‘
- Brug af stærke og unikke passwords
- Kryptere alle følsomme oplysninger, der skal gemmes
XML til Eksterne Enheder (XXE)
Denne svaghed opstår, til web-applikationer, at parse XML input. Det sker, når dårligt konfigurerede processorsml-processorer evaluerer eksterne enhedsreferencer i theml-dokumenterne og sender følsomme data til en uautoriseret ekstern enhed, dvs.en lagerenhed, såsom en harddisk., Som standard er de fleste parml-parsere sårbare over for attacks .e-angreb.
XXE angreb kan forebygges ved at
- Brug af mindre komplekse data formater som JSON
- at Holde XML-processorer og biblioteker opgraderet
- Brug SAST værktøjer
Brudt Adgang Kontroller
Denne svaghed opstår, når der er brudt adgang til ressourcer, det betyder, at der er nogle forkert konfigureret manglende restriktioner på godkendte brugere, der giver dem mulighed for at få adgang til uautoriserede funktionalitet eller data som adgang til andre konti, fortrolige dokumenter, etc., Til dette angreb tager angribere hjælp fra sessionsstyring og forsøger at få adgang til data fra de uudløbne sessionstokens, hvilket giver dem adgang til mange gyldige id ‘ er og adgangskoder.,
Brudt adgangskontrol angreb kan forebygges ved at
- Slette konti, der ikke længere er nødvendige, eller er ikke aktiv
- at Lukke unødvendige tjenester til at reducere byrden på servere
- Brug penetration test
Sikkerhed Fejlkonfiguration
Det anslås, at op til 95% af cloud overtrædelser er resultatet af menneskelige fejl, og dette faktum fører os til det næste sårbarhed kaldes sikkerhed fejlkonfiguration. Denne sårbarhed henviser til den ukorrekte implementering af sikkerhed, der er beregnet til at holde applikationsdata sikre., Som vi ved, at udviklerens arbejde dybest set er at arbejde på funktionaliteten af websebsteder og ikke på sikkerhed, og denne fejl gør det muligt for hackere at holde styr på konfigurationen af sikkerheden og finde nye mulige måder at indtaste websebsteder på. Den mest almindelige årsag til denne sårbarhed er ikke lappe eller opgradere systemer, rammer, og komponenter.,
Sikkerhed fejlkonfiguration angreb kan forebygges ved at
- ved Hjælp af Dynamisk anvendelse security testing (DAST)
- Deaktiverer brugen af standard adgangskoder
- at Holde øje med cloud-ressourcer, applikationer og servere
Cross-Site Scripting (XSS)
Det er også en udbredt svaghed, der næsten påvirker 53% af alle web-applikationer. Vulnerabilityss sårbarhed tillader en hacker at injicere ondsindede klientsiden scripts til en hjemmeside og derefter bruge webebapplikation som et angreb vektor til at kapre bruger sessioner, eller omdirigere offeret til ondsindede .ebsteder.,
Cross-site scripting-angreb kan forebygges ved at
- ved Hjælp af passende svar overskrifter
- Filtrering input og kodning output
- Brug content security policy
- Anvende en nul-tillid tilgang til brugerens input
Usikre Deserialization
Usikre Deserialization sårbarhed gør det muligt for en hacker eksternt at udføre kode i programmet, ændre eller slette føljeton (skrevet til disk), objekter, adfærd injection angreb, replay-angreb, og forøge rettigheder. Dette angreb er også kendt som untrusted Deseriali .ation., Det er en alvorlig ansøgning sikkerhedsproblem, der påvirker de fleste af de moderne systemer.,alization angreb kan forebygges ved at
- at Implementere digitale signaturer
- Brug penetration test
- Isolere den kode, der deserializes og kører den i lav privilegium miljøer for at forhindre, at uautoriserede handlinger
Brug af Komponenter med kendte sårbarheder
i Dag er der mange open-source og frit tilgængeligt software komponenter (biblioteker, rammer) der er til rådighed for udviklere, og hvis der opstår en bestanddel, der har fået en kendt sårbarhed i det, så det bliver et svagt led, der kan påvirke sikkerheden af det hele., Det forekommer også, fordi udviklere ofte ikke ved, hvilke open source-og tredjepartskomponenter der er til stede i deres applikationer, og det gør det vanskeligt for udviklere at opdatere komponenter, når nye sårbarheder opdages i deres nuværende versioner.,
Dette angreb kan forebygges ved at
- at Fjerne alle unødvendige afhængigheder
- Brug af virtual patching
- Brug af komponenter, der kun fra de officielle og verificerede kilder
Utilstrækkelig Logning og Overvågning
Det er vurderet, at den tid fra angreb til påvisning kan tage op til 200 dage, og ofte længere. I mellemtiden kan angribere manipulere med servere, korrupte databaser og stjæle fortrolige oplysninger. Utilstrækkelig logning og ineffektiv integration af sikkerhedssystemerne gør det muligt for angribere at dreje til andre systemer og opretholde vedvarende trusler.,
Utilstrækkelig logning og overvågning-angreb kan forebygges ved at
- Gennemførelse logging og audit software
- Oprettelse af en effektiv overvågnings-system
- at Tænke som en hacker og bruge en pen-test metode