OWASP stă de fapt pentru Open Web Application Security Project, este o organizație non-profit global comunitate online formată din zeci de mii de membri și sute de capitole care produce articole, documentare, instrumente și tehnologii în domeniul de aplicație web security.
la Fiecare trei sau patru ani, OWASP revizuiește și publică o listă de top 10 de aplicații web vulnerabilități., Această listă conține nu numai cele mai frecvente vulnerabilități de top 10, dar conține și impactul potențial al fiecărei vulnerabilități și modul de evitare a acestora. Riscurile de securitate ale aplicațiilor web OWASP Top 10 au fost actualizate cel mai recent în 2017 și oferă practic îndrumări dezvoltatorilor și profesioniștilor în securitate cu privire la cele mai critice vulnerabilități care se găsesc cel mai frecvent în aplicațiile web și sunt, de asemenea, ușor de exploatat. OWASP top 10 este considerat un ghid esențial pentru cele mai bune practici de securitate a aplicațiilor web.,
top 10 OWASP vulnerabilități în 2020 sunt:
- Injectie
- Rupt de Autentificare
- Expunerea Datelor Sensibile
- XML Entități Externe (XXE)
- Rupt de control Acces
- Securitate greșeli
- Cross-Site Scripting (XSS)
- Nesigur Deserializarea
- Folosind Componente cu vulnerabilitățile cunoscute
- Insuficiente de înregistrare și monitorizare.,
Injection
vulnerabilitățile la injecție apar atunci când un atacator folosește o interogare sau o comandă pentru a insera date de încredere în interpretor prin SQL, OS, NoSQL sau LDAP injection. Datele care sunt injectate prin acest vector de atac fac ca aplicația să facă ceva pentru care nu este proiectată. Nu toate aplicațiile sunt vulnerabile la acest atac, doar aplicațiile care acceptă parametrii ca intrare sunt vulnerabile la atacurile de injecție.,
de Injecție atacuri pot fi prevenite prin
- Utilizarea mai sigur API care evită utilizarea de interpret
- Folosind interogări parametrizate atunci când codificare
- Separarea comenzilor de date pentru a evita expunerea la atacuri
Rupt de Autentificare
Rupt de Autentificare este o vulnerabilitate care permite unui atacator de a utiliza manual sau automat metode pentru a încerca să obțină controlul asupra orice contul ei doresc într-un sistem. În condiții mai proaste, ar putea obține, de asemenea, un control complet asupra sistemului., Această vulnerabilitate este, de asemenea, mai periculoasă, deoarece site-urile web cu vulnerabilități de autentificare rupte sunt foarte frecvente pe web. Autentificarea ruptă apare în mod normal atunci când aplicațiile execută incorect funcții legate de gestionarea sesiunilor, permițând intrusilor să compromită parolele, cheile de securitate sau jetoanele de sesiune.,Această vulnerabilitate este una dintre cele mai răspândite vulnerabilități din lista OWASP și apare atunci când aplicațiile și API-urile nu protejează în mod corespunzător datele sensibile, cum ar fi datele financiare, numerele de securitate socială, numele de utilizator și parolele sau informațiile despre sănătate, iar acest lucru permite atacatorilor să obțină acces la astfel de informații și să comită atacuri de autentificare cu întreruperi.fraudă sau fura identități.,atacurile de expunere a datelor sensibile pot fi prevenite prin
- folosind URL-ul securizat
- folosind parole puternice și unice
- criptarea tuturor informațiilor sensibile care trebuie stocate
entități externe XML (XXE)
această vulnerabilitate apare pentru aplicațiile web care analizează intrarea XML. Se întâmplă atunci când procesoarele XML slab configurate evaluează referințele entităților externe din documentele XML și trimit date sensibile către o entitate externă neautorizată, adică o unitate de stocare, cum ar fi un hard disk., În mod implicit, majoritatea analizoarelor XML sunt vulnerabile la atacurile XXE.
XXE atacuri pot fi prevenite prin
- Utilizarea mai puțin complexe, formate de date, cum ar fi JSON
- Păstrarea procesoarele XML și biblioteci modernizate
- Utilizarea SASTI instrumente
Rupt Controalele de Acces
Această vulnerabilitate apare atunci când nu este rupt de acces la resurse, aceasta înseamnă că există unele configurat necorespunzător lipsă de restricții pe utilizatori autentificați care le permite să acceseze neautorizat funcționalitate sau date, cum ar fi accesul la celelalte conturi, documente confidențiale, etc., Pentru acest atac, atacatorii iau ajutorul gestionării sesiunilor și încearcă să acceseze date din jetoanele de sesiune neexpirate, ceea ce le oferă acces la multe ID-uri și parole valide.,
Rupt de control acces atacuri pot fi prevenite prin
- Ștergerea conturilor care nu mai sunt necesare sau nu sunt active
- Închiderea în servicii inutile pentru a reduce povara pe servere
- Folosind teste de penetrare
Securitate Greșelile
Se estimează că până la 95% din cloud încălcări sunt rezultatul erorilor umane și acest fapt ne conduce la următoarea vulnerabilitate a chemat securitatea greșelile. Această vulnerabilitate se referă la implementarea necorespunzătoare a securității menită să păstreze datele aplicației în siguranță., După cum știm că munca dezvoltatorului este, în principiu, să lucreze la funcționalitatea site-urilor web și nu la securitate, iar acest defect permite hackerilor să urmărească configurația securității și să găsească noi modalități posibile de a intra pe site-uri web. Cel mai frecvent motiv pentru această vulnerabilitate nu este corecția sau actualizarea sistemelor, cadrelor și componentelor.,
Securitate greșelile atacuri pot fi prevenite prin
- Utilizarea Dinamică aplicație de testare de securitate (DAST)
- Dezactivarea utilizarea de parole implicite
- Păstrarea un ochi pe resurse cloud, aplicații și servere
Cross-Site Scripting (XSS)
Acest lucru este, de asemenea, o scară largă de vulnerabilitate care afectează aproape 53% dintre toate aplicațiile web. Vulnerabilitatea XSS permite unui hacker să injecteze scripturi rău intenționate din partea clientului într-un site web și apoi să utilizeze aplicația web ca vector de atac pentru a deturna sesiunile utilizatorilor sau redirecționarea victimei către site-uri web rău intenționate.,
Cross-site scripting atacuri pot fi prevenite prin
- Utilizarea corespunzătoare anteturile de răspuns
- Filtrare intrare și codare ieșire
- Utilizarea de conținut politica de securitate
- Aplicarea unui zero-ai încredere în abordarea de intrare de utilizator
Nesigur Deserializarea
Nesigur Deserializarea vulnerabilitate permite unui atacator de la distanță pentru a executa cod în aplicație, să modificați sau să ștergeți serializate (scrise pe disc) de obiecte, efectuarea de injecție atacuri, atacurile de reluare, și ridica privilegii. Acest atac este, de asemenea, cunoscut sub numele de Dezerializare de încredere., Este o problemă serioasă de securitate a aplicațiilor care afectează majoritatea sistemelor moderne.,alization atacuri pot fi prevenite prin
- Implementarea de semnături digitale
- Folosind teste de penetrare
- Izolarea cod care deserializes și rulează-l în mici privilegiul medii pentru a preveni accesul neautorizat acțiuni
Folosind Componente cu vulnerabilitățile cunoscute
în zilele noastre există multe open-source și disponibil componente software (biblioteci, framework-uri) care sunt disponibile pentru dezvoltatori și dacă apare orice componentă care are o vulnerabilitate cunoscută în ea, atunci ea devine o verigă slabă care pot avea impact asupra securității în întreaga aplicație., De asemenea, se întâmplă deoarece dezvoltatorii nu știu frecvent ce componente open source și terțe sunt prezente în aplicațiile lor, iar acest lucru îngreunează dezvoltatorii să actualizeze componentele atunci când sunt descoperite noi vulnerabilități în versiunile lor actuale.,
Acest atac poate fi prevenit prin
- Eliminarea tuturor inutile dependențe
- Folosind virtual colare
- Folosind numai componente de oficiale și surse verificate
Insuficiente de înregistrare și Monitorizare
se estimează că timpul de atac pentru detectarea poate dura până la 200 de zile, și de multe ori mai mult. Între timp, atacatorii pot manipula serverele, pot corupe bazele de date și pot fura informații confidențiale. Logarea insuficientă și integrarea ineficientă a sistemelor de securitate permit atacatorilor să pivoteze către alte sisteme și să mențină amenințările persistente.,atacurile de logare și monitorizare insuficiente pot fi prevenite prin
- implementarea software-ului de logare și audit
- stabilirea unui sistem eficient de monitorizare
- gândirea ca un atacator și utilizarea unei abordări de testare a stiloului