OWASP periaatteessa sanoista Open Web Application Security Project on voittoa tavoittelematon maailmanlaajuinen online-yhteisö, joka koostuu kymmeniä tuhansia jäseniä ja satoja lukua, joka tuottaa artikkeleita, asiakirjoja, työkaluja ja tekniikoita alalla web application security.

kolmesta neljään vuotta, OWASP tarkistaa ja julkaisee listan top 10 web application vulnerabilities., Tämä luettelo ei ainoastaan sisällä yleisimpiä top 10 haavoittuvuuksia, vaan sisältää myös kunkin haavoittuvuuden mahdollisen vaikutuksen ja sen, miten niitä voidaan välttää. Että OWASP Top 10 Web Application Security Riskejä oli viimeksi päivitetty vuonna 2017 ja se pohjimmiltaan tarjoaa ohjausta kehittäjät ja tietoturva-ammattilaisia on eniten kriittisiä haavoittuvuuksia, jotka ovat yleisimmin löytyy web-sovelluksia, ja on myös helppo hyödyntää. OWASP top 10 pidetään olennaisena opas web-sovellus turvallisuus parhaita käytäntöjä.,

top 10 OWASP haavoittuvuuksia vuonna 2020 ovat:

  1. Injektio
  2. Broken Authentication
  3. Arkaluonteisten Tietojen Altistuminen
  4. XML Ulkoiset Yksiköt (XXE)
  5. Rikki Access control
  6. tietoturvapuutteita
  7. Cross-Site Scripting (XSS)
  8. Epävarma Deserialization
  9. Komponentteja Käyttäen tunnettuja haavoittuvuuksia
  10. Riittämätön kirjaaminen ja seuranta.,

Injektio

Injektio haavoittuvuuksia tapahtuu, kun hyökkääjä käyttää kyselyn tai komennon lisätä epäluotettavan datan tulkin kautta SQL -, OS -, NoSQL, tai LDAP-injektio. Tämän hyökkäysvektorin kautta ruiskutettava data saa sovelluksen tekemään jotain, mihin sitä ei ole suunniteltu. Kaikki sovellukset eivät ole alttiita tälle hyökkäykselle, vain parametrit syötteenä hyväksyvät sovellukset ovat alttiita pistoshyökkäyksille.,

– Injektio hyökkäyksiä voidaan ehkäistä

  • turvallisempaa Käyttää API, joka estää käytön tulkki
  • Käyttää parametroituja kyselyt, kun koodaus
  • Erottelevat komentoja tiedot, jotta altistuminen hyökkäyksiä

Broken Authentication

Broken Authentication on haavoittuvuus, joka mahdollistaa hyökkääjän käyttää manuaalisia tai automaattisia menetelmiä yrittää saada vallan minkä tahansa tilin, he haluavat in järjestelmä. Huonommissa oloissa ne voisivat myös saada järjestelmän täydellisen hallinnan., Haavoittuvuus on myös vaarallisempaa, sillä verkkosivut, joilla on rikkoutuneita tunnistautumishaavoittuvuuksia, ovat verkossa hyvin yleisiä. Broken authentication yleensä tapahtuu, kun sovelluksia väärin suorittaa toimintoja, jotka liittyvät istunnon hallinnan avulla tunkeilijat kompromissi salasanat, suojausavaimet tai istunnon kuponkia.,Broken authentication hyökkäyksiä voidaan ehkäistä

  • Täytäntöönpanon multi-factor authentication
  • Suojelu käyttäjätiedot
  • Lähettää salasanoja salatun yhteyden kautta

Arkaluonteisten Tietojen Altistuminen

Tämä haavoittuvuus on yksi yleisimpiä haavoittuvuuksia OWASP lista ja se tapahtuu, kun sovelluksia ja APIs ei kunnolla suojata arkaluonteisia tietoja, kuten taloudelliset tiedot, sosiaaliturvatunnus, käyttäjätunnuksia ja salasanoja, tai terveyteen liittyvää tietoa ja tämän avulla hyökkääjät voivat saada pääsy tällaisiin tietoihin ja petoksiin tai varastaa identiteettejä.,

Arkaluonteisten tietojen altistuminen hyökkäyksiä voidaan ehkäistä

  • Käyttää suojattua URL-osoitteita
  • Käyttämällä vahva ja ainutlaatuinen salasanoja
  • Salaamalla kaikki herkkiä tietoa, että ei tarvitse olla tallennettu

XML Ulkoiset Yksiköt (XXE)

Tämä heikkous ilmenee, web-sovellukset, joka jäsentää XML-syötettä. Se tapahtuu, kun huonosti määritetty XML-prosessorit arvioida external entity references sisällä XML-asiakirjoja ja lähettää arkaluonteisia tietoja luvaton ulkopuolinen taho, eli varastointi yksikkö kuten kiintolevyn., Oletuksena, useimmat XML parsers ovat alttiita XXE hyökkäyksiä.

XXE hyökkäyksiä voidaan ehkäistä

  • Käyttää vähemmän monimutkaisia tietoja muodoissa kuten JSON
  • Pitää XML-prosessorit ja kirjastot päivitetty
  • Käyttäen an nam m työkalut

Rikki Pääsyn Valvonta

Tämä haavoittuvuus ilmenee, kun siellä on rikki pääsy resursseja, se tarkoittaa, että on olemassa joitakin väärin määritetty puuttuu rajoituksia todennetuille käyttäjille, joiden avulla ne voivat käyttää luvattomia toimintoja tai tietoja, kuten pääsy toisten tileihin, luottamuksellisia asiakirjoja, jne., Tämä hyökkäys, hyökkääjät ottaa apua istunnon hallinta ja yrittää käyttää tietoja jäljellä istunnon kuponkia, joka antaa heille pääsyn moniin voimassa Tunnukset ja salasanat.,

Rikki access control hyökkäyksiä voidaan ehkäistä

  • Poistaminen tilit, joita ei enää tarvita tai ole aktiivinen
  • Sammuttaa tarpeettomat palvelut, vähentää rasitusta palvelimille
  • Käyttää levinneisyys testaus

Turvallisuus Väärät

On arvioitu, että jopa 95% pilvi rikkomukset ovat seurausta ihmisen virheistä, ja tämä seikka johtaa meidät seuraavaan haavoittuvuutta, nimeltään security väärät. Tämä haavoittuvuus viittaa tietoturvan epäasianmukaiseen toteutukseen, jonka tarkoituksena on pitää sovellustiedot turvallisina., Kuten tiedämme, että kehittäjän työ on pohjimmiltaan työtä toiminnallisuutta sivustot ja ei turvallisuus-ja tämä virhe avulla hakkerit seurata kokoonpano, turvallisuus-ja löytää uusia mahdollisia tapoja tulla sivustot. Yleisin syy tähän haavoittuvuuteen ei ole järjestelmien, kehysten ja komponenttien paikkaaminen tai parantaminen.,

Turvallisuus väärät hyökkäyksiä voidaan ehkäistä

  • Käyttämällä Dynaaminen sovellus turvallisuus testaus (DAST)
  • Poistaminen käytöstä oletuksena salasanat
  • Pitää silmällä pilvi resurssit, sovelluksiin ja palvelimille

Cross-Site Scripting (XSS)

Tämä on myös laaja haavoittuvuus, joka vaikuttaa lähes 53% kaikki web-sovelluksia. XSS-haavoittuvuus mahdollistaa hakkeri pistää ilkeä client-side skriptit osaksi verkkosivuilla ja sitten käyttää web-sovellus, koska hyökkäys vektori kaapata käyttäjän istuntoja, tai suuntaamaan uhri sivustoilla.,

Cross-site scripting-hyökkäyksiä voidaan ehkäistä

  • Käyttää asianmukaisia vastaus otsikot
  • Suodatus tulo-ja koodaus tuotos
  • Käyttää content security policy
  • Hakeminen nolla-luottamus lähestymistapa käyttäjä syöttää

Epävarma Deserialization

Epävarma Deserialization haavoittuvuuden avulla hyökkääjä etänä suorittaa koodia sovelluksen, peukaloida tai poistaa sarjoitettu (kirjoitettu levylle) esineitä, suorittaa injektio hyökkäyksiä, replay-hyökkäykset, ja nosta käyttöoikeudet. Hyökkäys tunnetaan myös epäluotettavana Karkurina., Kyseessä on vakava sovellusvarmuuskysymys, joka vaikuttaa useimpiin nykyaikaisiin järjestelmiin.,min hyökkäyksiä voidaan ehkäistä

  • Toteuttaminen digitaalisia allekirjoituksia
  • Käyttää levinneisyys testaus
  • Eristäminen koodi, joka deserializes ja käynnissä se matala etuoikeus ympäristöissä, jotta luvattomat toimet

Komponentteja Käyttäen tunnettuja haavoittuvuuksia

Nykyään on olemassa monia avoimen lähdekoodin ja vapaasti käytettävissä ohjelmiston osia (kirjastot, kehykset) jotka ovat käytettävissä kehittäjille ja jos siellä tapahtuu jokin komponentti, joka on tunnettu haavoittuvuus se sitten siitä tulee heikko lenkki, joka voi vaikuttaa turvallisuuteen koko sovellus., Se tapahtuu myös, koska kehittäjät usein tiedä, mikä avoimen lähdekoodin ja kolmannen osapuolen komponentit ovat läsnä niiden sovelluksia, ja tämä tekee vaikeaksi kehittäjille päivittää osia, kun uusia haavoittuvuuksia löydettiin niiden uusimmat versiot.,

Tämä hyökkäys voidaan estää

  • Poistamalla kaikki tarpeettomat riippuvuudet
  • Käyttämällä virtuaalinen kauneuspilkku
  • Käyttää osia vain virallisia ja todennettujen lähteistä

Riittämätön Kirjaaminen ja Seuranta

on arvioitu, että aika hyökkäys havaitseminen voi kestää jopa 200 päivää, ja usein pidempään. Sillä välin hyökkääjät voivat peukaloida palvelimia, korruptoida tietokantoja ja varastaa luottamuksellisia tietoja. Riittämättömät kirjaukset ja turvajärjestelmien tehoton integrointi mahdollistavat hyökkääjien kääntymisen muihin järjestelmiin ja pysyvien uhkien ylläpitämisen.,

Riittämätön kirjaaminen ja seuranta-hyökkäyksiä voidaan ehkäistä

  • Toteuttaminen hakkuut ja audit-ohjelmisto
  • Luoda tehokas seurantajärjestelmä
  • Ajattelemaan kuin hyökkääjä ja käyttää kynää testauksen lähestymistapa
Artikkeli Tagit :