OWASP i utgangspunktet står for Open Web Application Security Project, det er en non-profit globale nettsamfunn bestående av titusener av medlemmer og hundrevis av kapitler som produserer artikler, dokumentasjon, verktøy og teknologier innen web-applikasjon sikkerhet.
Hver tre til fire år, OWASP reviderer og publiserer sin liste over topp 10 web application sårbarheter., Denne listen er ikke bare inneholder de vanligste topp 10 sårbarheter, men inneholder også den potensielle virkningen av hver sårbarhet og hvordan du kan unngå dem. Den OWASP Top 10 Web Application Security Risks ble sist oppdatert i 2017, og det i utgangspunktet gir veiledning til utviklere og sikkerhet fagfolk på de mest kritiske sårbarheter som finnes oftest i webapplikasjoner, og er også lett å utnytte. OWASP top 10 er ansett som en viktig guide til web-applikasjon sikkerhet beste praksis.,
topp 10 OWASP sårbarheter i 2020 er:
- Injeksjon
- Brutt Godkjenning
- Sensitive Data Eksponering
- Eksterne XML-Enheter (XXE)
- Ødelagte Access control
- feilkonfigurasjoner for Sikkerhet
- Cross-Site Scripting (XSS)
- Usikre Deserialisering
- ved Hjelp av Komponenter med kjente sårbarheter
- Utilstrekkelig logging og overvåking.,
Injeksjon
Injeksjon sikkerhetsbrudd oppstår når en angriper som bruker en spørring eller kommando for å sette inn upålitelige data til tolk via SQL, OS, NoSQL, eller LDAP-injeksjon. De data som er injisert gjennom dette angrepsvektor gjør programmet gjør noe den ikke er beregnet til. Ikke alle programmer er sårbare for dette angrepet, kun de programmer som godtar parametere som input er sårbare for injeksjon angrep.,
Injection-angrep kan forebygges ved å
- Bruke tryggere API som unngår bruk av tolk
- ved Hjelp av parameterized spørsmål når koding
- Segregerende kommandoer fra data for å unngå eksponering for angrep
Brutt Godkjenning
Brutt Godkjenning er en sårbarhet som gjør det mulig for en angriper å bruke manuelle eller automatiske metoder for å prøve å få kontroll over en konto de ønsker i et system. I verre forhold, kunne de også få full kontroll over systemet., Denne sårbarheten er også mer farlig fordi nettsteder med brukket godkjenning sårbarheter som er svært vanlig på nettet. Brutt godkjenning skjer normalt når programmer feil utføre funksjoner relatert til økt ledelsen slik at inntrengere å invadere passord, sikkerhet tastene, eller økt tokens.,Brutt godkjenning angrep kan forebygges ved
- Gjennomføre multi-faktor autentisering
- for å Beskytte brukeridentifikasjonene
- Sender passord over krypterte tilkoblinger
Sensitive Data Eksponering
Dette sikkerhetsproblemet er en av de mest utbredte sårbarheter på OWASP listen, og det skjer når programmer og Api-er ikke riktig å beskytte sensitive data, for eksempel finansielle data, personnummer, brukernavn og passord, eller helse informasjon, og dette gjør det mulig for angripere å få tilgang til slik informasjon og begå svindel eller stjele identiteter.,
Sensitive data eksponering angrep kan forebygges ved
- ved Hjelp av secure URL
- ved Hjelp av sterke og unike passord
- Kryptere all sensitiv informasjon som ikke trenger å bli lagret
Eksterne XML-Enheter (XXE)
Dette sikkerhetsproblemet oppstår for web-applikasjoner som parse XML-inngang. Det som skjer når dårlig konfigurerte XML-prosessorer vurdere ekstern enhet referanser innen XML-dokumenter og sende sensitive data til en uautorisert ekstern enhet, dvs., en lagringsenhet, slik som en harddisk., Som standard er de fleste XML-parsere er sårbare for XXE angrep.
XXE angrep kan forebygges ved
- Bruke mindre komplekse data formater som JSON
- å Holde XML-prosessorer og biblioteker oppgradert
- ved Hjelp av SAST verktøy
Brutt Tilgang til Kontrollene
Dette sikkerhetsproblemet oppstår når det er brutt tilgang til ressurser, det betyr at det er noen feil konfigurert manglende restriksjoner på godkjente brukere som tillater dem å få tilgang til uautoriserte funksjonalitet eller data som tilgang til andre kontoer, konfidensielle dokumenter, etc., For dette angrepet, er angripere ta hjelp av økt styring og prøver å få tilgang til data fra unexpired økt symboler, som gir dem tilgang til mange gyldig Id og passord.,
Ødelagte access control angrep kan forebygges ved
- for å Slette kontoer som ikke lenger trengs, eller er ikke aktiv
- Slå av unødvendige tjenester for å redusere belastningen på serverne
- ved Hjelp av penetration testing
Sikkerhet feil konfigurasjon
Det er anslått at opptil 95% av cloud brudd er et resultat av menneskelige feil, og dette faktum fører oss til neste sårbarhet som heter security feil konfigurasjon. Dette sikkerhetsproblemet refererer til feilaktig implementering av sikkerhet ment å holde application data trygt., Som vi vet at developer ‘ s arbeid er i utgangspunktet å arbeide på funksjonaliteten av nettsteder og ikke på sikkerhet og denne feilen gjør at hackere for å holde oversikt over konfigurasjon av sikkerhet og finne nye måter å angi nettsteder. Den mest vanlige årsaken til denne sårbarheten er ikke oppdatering eller oppgradering av systemer, rammer og komponenter.,
Sikkerhet feil konfigurasjon angrep kan forebygges ved
- application security ved Hjelp av Dynamisk testing (DAST)
- for å Deaktivere bruk av standard passord
- for å Holde et øye på cloud ressurser, programmer og servere
Cross-Site Scripting (XSS)
Dette er også et utbredt problem som nesten påvirker 53% av alle web-applikasjoner. XSS sårbarhet gjør at en hacker å injisere skadelig client-side scripts inn et nettsted, og deretter bruke web-applikasjonen som en angrepsvektor brukerøkter, eller omdirigere offeret til ondsinnede nettsteder.,
Cross-site scripting-angrep kan forebygges ved å
- ved Hjelp av passende respons overskrifter
- Filtrering innspill og koding output
- ved Hjelp av content security policy
- bruke en null-tillit tilnærming til brukerens input
Usikre Deserialisering
Usikre Deserialisering sårbarhet gjør det mulig for en angriper eksternt kan kjøre kode i programmet, modifisere eller slette serialisert (skrevet til disk) objekter, gjennomføre injeksjon angrep, angrep, og heve privilegier. Dette angrepet er også kjent som upålitelige Deserialisering., Det er en alvorlig application security problem som påvirker de fleste av de moderne systemer.,alization angrep kan forebygges ved
- Implementering av digitale signaturer
- ved Hjelp av penetration testing
- Isolere koden som deserializes og kjører det i lave privilegium miljøer for å hindre at uautoriserte handlinger
ved Hjelp av Komponenter med kjente sårbarheter
i Dag er det mange open-source og fritt tilgjengelig programvare komponenter (biblioteker, rammeverk) som er tilgjengelig for utviklere og hvis det oppstår en annen komponent som har en kjent sårbarhet i det, så det blir en svak kobling som kan påvirke sikkerheten i hele programmet., Det oppstår også fordi utviklerne ofte ikke vet hvilken open source og tredje-parts komponenter er til stede i sine programmer, og dette gjør det vanskelig for utviklere å oppdatere komponentene når nye sårbarheter er oppdaget i sin nåværende versjoner.,
Dette angrepet kan bli forhindret av
- for å Fjerne alle unødvendige avhengigheter
- ved Hjelp av virtuell lapp
- Bruk av komponenter fra offisielle og verifisert kilder
Utilstrekkelig Logging og Overvåking
Det er anslått at tiden fra angrep til oppdagelsen kan ta opp til 200 dager, og ofte lenger. I mellomtiden, angripere kan tukle med servere, korrupte databaser, og stjele konfidensiell informasjon. Utilstrekkelig logging og ineffektiv integrering av sikkerhet systemer gjøre det mulig for angripere å pivot til andre systemer og opprettholde vedvarende trusler.,
Utilstrekkelig logging og overvåking angrep kan forebygges ved
- Gjennomføre logging og overvåking programvare
- Etablere et effektivt system for overvåking
- å Tenke som en angriper og bruk en penn testing tilnærming