OWASP alapvetően jelent az Open Web Application Security Project, ez egy non-profit globális online közösség, amely több tízezer tagjai több száz fejezetek termel, cikkek, dokumentumok, eszközök, illetve technológiák terén web application security.

három-négyévente az OWASP felülvizsgálja és közzéteszi a top 10 webes alkalmazás sebezhetőségének listáját., Ez a lista nem csak a leggyakoribb top 10 sebezhetőségeket tartalmazza, hanem az egyes sebezhetőségek lehetséges hatásait és azok elkerülésének módját is tartalmazza. Az OWASP Top 10 webalkalmazás biztonsági kockázatait legutóbb 2017-ben frissítették, és alapvetően útmutatást nyújt a fejlesztőknek és a biztonsági szakembereknek a webes alkalmazásokban leggyakrabban előforduló legkritikusabb sérülékenységekről, amelyek szintén könnyen kihasználhatók. OWASP top 10 tartják, mint egy alapvető útmutató a webes alkalmazás biztonsági bevált gyakorlatok.,

Az OWASP top 10 biztonsági rések 2020-ban a következők:

  1. Injekció
  2. Törött Hitelesítés
  3. Érzékeny Adatok az Expozíció
  4. XML Külső Személyek (XXE)
  5. Törött Hozzáférés-vezérlés
  6. Biztonsági misconfigurations
  7. Cross-Site Scripting (XSS)
  8. Bizonytalan Deserialization
  9. Az Összetevők ismert sebezhetőségek
  10. Elégtelen fakitermelés, valamint a nyomon követés.,

Injection

injekciós sebezhetőségek akkor fordulnak elő, ha a támadó lekérdezést vagy parancsot használ a nem megbízható adatok beillesztésére az értelmezőbe SQL, OS, NoSQL vagy LDAP injekció útján. A támadás vektoron keresztül befecskendezett adatok arra késztetik az alkalmazást, hogy tegyen valamit, amire nem tervezték. Nem minden alkalmazás van kitéve ennek a támadásnak, csak azok az alkalmazások, amelyek bemenetként elfogadják a paramétereket, érzékenyek az injekciós támadásokra.,

Injekció támadások megelőzhető

  • A biztonságosabb API, amely elkerüli a használata a tolmács
  • A kódokat lekérdezések, amikor kódolás
  • külön kezelt parancsokat adatok kerülni kell az expozíciót, hogy a támadások

Törött Hitelesítés

Törött a Hitelesítés egy biztonsági rés, amely lehetővé teszi a támadó számára, hogy használja a kézi vagy az automatikus módszerekkel próbálja elnyerni felett minden számla akarnak a rendszer. Rosszabb körülmények között teljes ellenőrzést is szerezhetnek a rendszer felett., Ez a biztonsági rés azért is veszélyesebb, mert a törött hitelesítési sérülékenységgel rendelkező webhelyek nagyon gyakoriak az interneten. A törött hitelesítés általában akkor fordul elő, amikor az alkalmazások helytelenül hajtják végre a munkamenetkezeléssel kapcsolatos funkciókat, lehetővé téve a betolakodók számára a jelszavak, biztonsági kulcsok vagy munkamenet-tokenek veszélyeztetését.,Törött hitelesítés támadások megelőzhető

  • Végrehajtási többtényezős
  • Védelme felhasználói hitelesítő adatokat,
  • Küldési jelszavak titkosított kapcsolaton keresztül

Érzékeny Adatok az Expozíció

Ez a biztonsági rés az egyik legelterjedtebb, hogy a biztonsági rések az OWASP lista ez akkor fordul elő, amikor az alkalmazások, majd a APIs nem megfelelően, a bizalmas adatok védelme, mint például pénzügyi adatait, taj-számát, felhasználónevek, illetve jelszavak, vagy egészségügyi adatokat, ez pedig lehetővé teszi a támadók számára, hogy hozzáférjen az ilyen információkat, valamint a csalást követ el, vagy ellopni, identitások.,

az Érzékeny adatok az expozíció támadások megelőzhető

  • Használja a biztonságos URL
  • Az erős, egyedi jelszavakat
  • Titkosítása érzékeny információt kell tárolni

XML Külső Személyek (XXE)

a biztonsági rést az okozza a webes alkalmazások értelmezni XML bemenet. Ez történik, ha rosszul beállított XML-feldolgozó értékelni külső entitás hivatkozások belül az XML-dokumentumok, valamint küldjön érzékeny adatok illetéktelen külső egység, azaz egy tároló egység, mint pl. egy merevlemez., Alapértelmezés szerint a legtöbb XML-elemző érzékeny a XXE támadásokra.

XXE támadások megelőzhető a

  • segítségével kevésbé összetett adatformátumok, mint például a JSON
  • vezetése XML processzorok és könyvtárak frissített
  • segítségével SAST tools

törött hozzáférési vezérlők

Ez a biztonsági rés akkor fordul elő, ha van törött hozzáférést források, ez azt jelenti, hogy vannak nem megfelelően konfigurált hiányzó korlátozások hitelesített felhasználók, amely lehetővé teszi számukra, hogy hozzáférjenek a jogosulatlan funkciók vagy adatok, mint a hozzáférést mások számlák, bizalmas dokumentumok, stb, Ehhez a támadáshoz a támadók a munkamenet-menedzsment segítségét veszik igénybe, és megpróbálnak hozzáférni a nem használt munkamenet-Tokenekből származó adatokhoz, így számos érvényes azonosítóhoz és jelszavhoz férhetnek hozzá.,

Törött access control támadások megelőzhető

  • Törlés fiókok, hogy már nincs szükség, vagy nem aktív
  • Leáll a felesleges szolgáltatások terheinek csökkentése érdekében a szerverek
  • A behatolás tesztelés

Biztonsági konfigurációs hiba

Becslések szerint akár 95% – a felhő megsértésének a következménye, emberi hibák, s ez a tény vezet minket a következő biztonsági rés az úgynevezett biztonsági konfigurációs hiba. Ez a biztonsági rés a biztonság nem megfelelő végrehajtására utal, amelynek célja az alkalmazás adatainak biztonsága., Mint tudjuk, a fejlesztő munkája alapvetően a weboldalak funkcionalitásán dolgozik, nem pedig a biztonságon, és ez a hiba lehetővé teszi a hackerek számára, hogy nyomon kövessék a biztonság konfigurációját, és új lehetőségeket találjanak a webhelyekre való belépéshez. Ennek a sebezhetőségnek a leggyakoribb oka nem a rendszerek, keretek és alkatrészek javítása vagy korszerűsítése.,

Biztonsági konfigurációs hiba támadások megelőzhető

  • A Dinamikus alkalmazás biztonsági vizsgálat (DAST)
  • használatának Letiltása az alapértelmezett jelszavak
  • szemmel felhő források, alkalmazások, valamint a szerverek

Cross-Site Scripting (XSS)

Ez is egy széles körű biztonsági rést, hogy szinte érinti 53% az összes webes alkalmazások. Az XSS sebezhetőség lehetővé teszi a hacker számára, hogy rosszindulatú kliens oldali szkripteket fecskendezzen be egy webhelyre, majd a webes alkalmazást támadási vektorként használja a felhasználói munkamenetek eltérítéséhez, vagy átirányítja az áldozatot rosszindulatú webhelyekre.,

a helyközi, parancsfájlt alkalmazó támadások megelőzhető

  • a megfelelő válasz fejléc
  • Szűrés a bemenet, mind a kódolás a kimenet
  • a tartalom biztonsági politika
  • Alkalmazása nulla bizalom a megközelítés, hogy a felhasználói input

Bizonytalan Deserialization

Bizonytalan Deserialization a biztonsági rés lehetővé teszi, hogy a támadó távolról futtatja a kódot, az alkalmazás, illetéktelen módosítás, vagy törlés sorszámozott (lemezre) tárgyak, magatartási injekció támadások, replay támadások, valamint emeli a kiváltságokat. Ezt a támadást nem megbízható Deserializációnak is nevezik., Ez egy komoly alkalmazásbiztonsági kérdés, amely a legtöbb modern rendszert érinti.,alization támadások megelőzhető

  • Végrehajtási digitális aláírások
  • A behatolás tesztelés
  • Leválasztó a kódot, hogy deserializes működik ez az alacsony kiváltság környezetben, hogy megakadályozza a jogosulatlan tevékenységek

Az Összetevők ismert sebezhetőségek

Manapság sok a nyitott forráskódú, szabadon elérhető szoftver komponensek (könyvtárak, keretek) elérhető a fejlesztők számára, ha ott fordul elő olyan eleme, amely egy ismert biztonsági rést, akkor ez lesz a gyenge láncszem, amely hatással lehet a biztonság, az egész program., Ez azért is előfordul, mert a fejlesztők gyakran nem tudják, hogy mely nyílt forráskódú és harmadik féltől származó összetevők vannak jelen alkalmazásaikban, és ez megnehezíti a fejlesztők számára az összetevők frissítését, amikor új sebezhetőségeket fedeznek fel a jelenlegi verziókban.,

Ez a támadás megelőzhető

  • Eltávolítása minden felesleges függőségek
  • A virtuális folt
  • A komponensek csak a hivatalos, ellenőrzött forrásból

Elégtelen Fakitermelés, illetve Monitoring

a becslések szerint az idő, a támadás észlelése akár 200 nappal, gyakran hosszabb. Eközben a támadók manipulálhatják a szervereket, megrongálhatják az adatbázisokat, és bizalmas információkat lophatnak el. A biztonsági rendszerek elégtelen naplózása és hatástalan integrációja lehetővé teszi a támadók számára, hogy más rendszerekhez forduljanak, és állandó fenyegetéseket tartsanak fenn.,

elégtelen naplózási és monitoring támadások megelőzhetők

  • naplózási és audit szoftver végrehajtása
  • hatékony monitoring rendszer létrehozása
  • gondolkodó, mint egy támadó, és használja a toll tesztelési megközelítés
cikk címkék: