10 Risiko Keselamatan Teratas OWASP | Gambaran keseluruhan
Jadual Kandungan
Apa itu OWASP?
OWASP ialah organisasi bukan untung yang khusus untuk pendidikan keselamatan aplikasi web.
Bahan pembelajaran OWASP boleh diakses di laman web mereka. Alat mereka berguna untuk meningkatkan keselamatan aplikasi web. Ini termasuk dokumen, alatan, video dan forum.
10 Teratas OWASP ialah senarai yang menyerlahkan kebimbangan keselamatan teratas untuk apl web hari ini. Mereka mengesyorkan agar semua syarikat memasukkan laporan ini dalam proses mereka untuk mengurangkan risiko keselamatan. Di bawah ialah senarai risiko keselamatan yang disertakan dalam laporan 10 Teratas OWASP 2017.
Suntikan SQL
Suntikan SQL berlaku apabila penyerang menghantar data yang tidak sesuai kepada aplikasi web untuk mengganggu program dalam aplikasi.
Contoh Suntikan SQL:
Penyerang boleh memasukkan pertanyaan SQL ke dalam borang input yang memerlukan teks biasa nama pengguna. Jika borang input tidak dijamin, ia akan menyebabkan pelaksanaan pertanyaan SQL. ini dirujuk kepada sebagai suntikan SQL.
Untuk melindungi aplikasi web daripada suntikan kod, pastikan pembangun anda menggunakan pengesahan input pada data yang diserahkan pengguna. Pengesahan di sini merujuk kepada penolakan input yang tidak sah. Pengurus pangkalan data juga boleh menetapkan kawalan untuk mengurangkan jumlah maklumat tin yang didedahkan dalam serangan suntikan.
Untuk mengelakkan suntikan SQL, OWASP mengesyorkan agar data dipisahkan daripada arahan dan pertanyaan. Pilihan yang lebih baik ialah menggunakan selamat API untuk menghalang penggunaan penterjemah, atau untuk berhijrah ke Alat Pemetaan Hubungan Objek (ORM).
Pengesahan Rusak
Kerentanan pengesahan boleh membenarkan penyerang mengakses akaun pengguna dan menjejaskan sistem menggunakan akaun pentadbir. Penjenayah siber boleh menggunakan skrip untuk mencuba beribu-ribu kombinasi kata laluan pada sistem untuk melihat yang berfungsi. Sebaik sahaja penjenayah siber itu masuk, mereka boleh memalsukan identiti pengguna, memberikan mereka akses kepada maklumat sulit.
Kerentanan pengesahan yang rosak wujud dalam aplikasi web yang membenarkan log masuk automatik. Cara popular untuk membetulkan kelemahan pengesahan ialah penggunaan pengesahan berbilang faktor. Juga, had kadar log masuk boleh dimasukkan dalam apl web untuk mengelakkan serangan kekerasan.
Pendedahan Data Sensitif
Jika aplikasi web tidak melindungi penyerang sensitif boleh mengakses dan menggunakannya untuk keuntungan mereka. Serangan atas laluan ialah kaedah popular untuk mencuri maklumat sensitif. Risiko pendedahan boleh adalah minimum apabila semua data sensitif disulitkan. Pembangun web harus memastikan bahawa tiada data sensitif terdedah pada penyemak imbas atau disimpan secara tidak perlu.
Entiti Luar XML (XEE)
Penjenayah siber mungkin boleh memuat naik atau memasukkan kandungan, arahan atau kod XML berniat jahat dalam dokumen XML. Ini membolehkan mereka melihat fail pada sistem fail pelayan aplikasi. Setelah mereka mempunyai akses, mereka boleh berinteraksi dengan pelayan untuk melakukan serangan pemalsuan permintaan sisi pelayan (SSRF)..
Serangan entiti luaran XML boleh dicegah oleh membenarkan aplikasi web menerima jenis data yang kurang kompleks seperti JSON. Melumpuhkan pemprosesan entiti luaran XML juga mengurangkan kemungkinan serangan XEE.
Kawalan Akses Pecah
Kawalan capaian ialah protokol sistem yang mengehadkan pengguna yang tidak dibenarkan kepada maklumat sensitif. Jika sistem kawalan akses rosak, penyerang boleh memintas pengesahan. Ini memberi mereka akses kepada maklumat sensitif seolah-olah mereka mempunyai kebenaran. Kawalan Akses boleh dijamin dengan melaksanakan token kebenaran pada log masuk pengguna. Pada setiap permintaan yang dibuat oleh pengguna semasa disahkan, token kebenaran dengan pengguna disahkan, menandakan bahawa pengguna diberi kuasa untuk membuat permintaan tersebut.
Salah Konfigurasi Keselamatan
Salah konfigurasi keselamatan adalah isu biasa yang keselamatan siber pakar memerhati dalam aplikasi web. Ini berlaku akibat pengepala HTTP tersalah konfigurasi, kawalan akses rosak dan paparan ralat yang mendedahkan maklumat dalam apl web. Anda boleh membetulkan Salah konfigurasi Keselamatan dengan mengalih keluar ciri yang tidak digunakan. Anda juga harus menampal atau menaik taraf pakej perisian anda.
Skrip Merentas Tapak (XSS)
Kerentanan XSS berlaku apabila penyerang memanipulasi API DOM tapak web yang dipercayai untuk melaksanakan kod hasad dalam penyemak imbas pengguna. Pelaksanaan kod hasad ini selalunya berlaku apabila pengguna mengklik pada pautan yang kelihatan seperti dari tapak web yang dipercayai. Jika tapak web tidak dilindungi daripada kelemahan XSS, ia boleh dikompromi. Kod berniat jahat itu dilaksanakan memberikan akses penyerang kepada sesi log masuk pengguna, butiran kad kredit dan data sensitif lain.
Untuk mengelakkan Skrip Merentas Tapak (XSS), pastikan HTML anda dibersihkan dengan baik. Ini boleh dicapai oleh memilih rangka kerja yang dipercayai bergantung pada bahasa pilihan. Anda boleh menggunakan bahasa seperti .Net, Ruby on Rails dan React JS kerana ia akan membantu menghuraikan dan membersihkan kod HTML anda. Melayan semua data daripada pengguna yang disahkan atau tidak disahkan sebagai tidak dipercayai boleh mengurangkan risiko serangan XSS.
Penyahserialisasian yang tidak selamat
Deserialisasi ialah transformasi data bersiri daripada pelayan kepada objek. Penyahserialisasian data adalah kejadian biasa dalam pembangunan perisian. Ia tidak selamat apabila data adalah desirialisasi daripada sumber yang tidak dipercayai. Ini boleh berpotensi dedahkan aplikasi anda kepada serangan. Penyahserikatan tidak selamat berlaku apabila data yang dinyahsiri daripada sumber yang tidak dipercayai membawa kepada serangan DDOS, serangan pelaksanaan kod jauh atau pintasan pengesahan.
Untuk mengelakkan penyahserikatan yang tidak selamat, peraturan praktikal ialah jangan sekali-kali mempercayai data pengguna. Setiap data input pengguna harus dilayan as berpotensi berniat jahat. Elakkan penyahserialisasian data daripada sumber yang tidak dipercayai. Pastikan deserialisasi berfungsi untuk digunakan dalam aplikasi web anda selamat.
Menggunakan Komponen Dengan Kelemahan Yang Dikenali
Perpustakaan dan Rangka Kerja telah menjadikannya lebih pantas untuk membangunkan aplikasi web tanpa perlu mencipta semula roda. Ini mengurangkan lebihan dalam penilaian kod. Mereka membuka jalan kepada pembangun untuk menumpukan pada aspek aplikasi yang lebih penting. Jika penyerang menemui eksploitasi dalam rangka kerja ini, setiap pangkalan kod yang menggunakan rangka kerja akan melakukannya dikompromi.
Pembangun komponen sering menawarkan patch keselamatan dan kemas kini untuk perpustakaan komponen. Untuk mengelakkan kelemahan komponen, anda harus belajar untuk memastikan aplikasi anda dikemas kini dengan tampung keselamatan dan peningkatan terkini. Komponen yang tidak digunakan hendaklah dikeluarkan daripada aplikasi untuk memotong vektor serangan.
Pembalakan Dan Pemantauan Tidak Mencukupi
Pengelogan dan pemantauan adalah penting untuk menunjukkan aktiviti dalam aplikasi web anda. Pembalakan memudahkan untuk mengesan ralat, memantau log masuk pengguna, dan aktiviti.
Pembalakan dan pemantauan yang tidak mencukupi berlaku apabila peristiwa kritikal keselamatan tidak dilog betul. Penyerang memanfaatkan ini untuk melakukan serangan pada aplikasi anda sebelum terdapat sebarang tindak balas yang ketara.
Pembalakan boleh membantu syarikat anda menjimatkan wang dan masa kerana pembangun anda boleh mudah mencari pepijat. Ini membolehkan mereka memberi lebih tumpuan kepada menyelesaikan pepijat daripada mencarinya. Sebenarnya, pengelogan boleh membantu memastikan tapak dan pelayan anda sentiasa aktif dan berjalan setiap kali tanpa mereka mengalami sebarang masa henti.
Kesimpulan
Kod yang baik tidak hanya tentang fungsi, ini tentang memastikan pengguna dan aplikasi anda selamat. 10 Teratas OWASP ialah senarai risiko keselamatan aplikasi yang paling kritikal ialah sumber percuma yang hebat untuk pembangun menulis web dan apl mudah alih yang selamat. Melatih pembangun dalam pasukan anda untuk menilai dan mencatat risiko boleh menjimatkan masa dan wang pasukan anda dalam jangka masa panjang. Jika anda mahu ketahui lebih lanjut tentang cara melatih pasukan anda pada 10 Teratas OWASP klik di sini.
