OWASP-ի լավագույն 10 անվտանգության ռիսկերը | Ընդհանուր ակնարկ
Բառը
Ի՞նչ է OWASP-ը:
OWASP-ը շահույթ չհետապնդող կազմակերպություն է, որը նվիրված է վեբ հավելվածների անվտանգության կրթությանը:
OWASP ուսումնական նյութերը հասանելի են իրենց կայքում: Նրանց գործիքներն օգտակար են վեբ հավելվածների անվտանգությունը բարելավելու համար։ Սա ներառում է փաստաթղթեր, գործիքներ, տեսանյութեր և ֆորումներ:
OWASP Top 10-ը ցուցակ է, որն ընդգծում է այսօր վեբ հավելվածների անվտանգության ամենակարևոր մտահոգությունները: Նրանք խորհուրդ են տալիս, որ բոլոր ընկերությունները ներառեն այս զեկույցը իրենց գործընթացներում՝ անվտանգության ռիսկերը նվազեցնելու համար. Ստորև ներկայացված է OWASP Top 10 2017 զեկույցում ներառված անվտանգության ռիսկերի ցանկը:
SQL ներարկում
SQL ներարկումը տեղի է ունենում, երբ հարձակվողը անհամապատասխան տվյալներ է ուղարկում վեբ հավելված՝ հավելվածում ծրագիրը խափանելու համար:.
SQL ներարկման օրինակ.
Հարձակվողը կարող է մուտքագրել SQL հարցումը մուտքագրման ձևի մեջ, որը պահանջում է օգտվողի անվան պարզ տեքստ: Եթե մուտքագրման ձևը ապահովված չէ, դա կհանգեցնի SQL հարցման կատարմանը: Սա նշված է որպես SQL ներարկում:
Վեբ հավելվածները կոդի ներարկումից պաշտպանելու համար համոզվեք, որ ձեր մշակողները օգտագործում են մուտքագրման վավերացում օգտատիրոջ կողմից ներկայացված տվյալների վրա. Այստեղ վավերացումը վերաբերում է անվավեր մուտքերի մերժմանը: Տվյալների բազայի կառավարիչը կարող է նաև վերահսկել՝ նվազեցնելու չափը տեղեկություն որոնք կարող են բացահայտվել ներարկման հարձակման ժամանակ.
SQL ներարկումը կանխելու համար OWASP-ն խորհուրդ է տալիս տվյալները անջատել հրամաններից և հարցումներից: Նախընտրելի տարբերակն է օգտագործել անվտանգ API կանխելու թարգմանչի օգտագործումը կամ տեղափոխելու օբյեկտների հարաբերական քարտեզագրման գործիքներ (ORMs).
Կոտրված նույնականացում
Նույնականացման խոցելիությունը կարող է թույլ տալ հարձակվողին մուտք գործել օգտատերերի հաշիվներ և վտանգել համակարգը՝ օգտագործելով ադմինիստրատորի հաշիվը:. Կիբերհանցագործը կարող է սկրիպտ օգտագործել՝ համակարգի վրա հազարավոր գաղտնաբառերի համակցություններ փորձելու համար՝ տեսնելու, թե որն է աշխատում. Հենց որ կիբերհանցագործը ներս մտնի, նրանք կարող են կեղծել օգտատիրոջ ինքնությունը՝ թույլ տալով նրանց մուտք գործել գաղտնի տեղեկատվություն։.
Նույնականացման կոտրված խոցելիություն կա վեբ հավելվածներում, որոնք թույլ են տալիս ավտոմատ մուտք գործել: Նույնականացման խոցելիությունը շտկելու հանրաճանաչ միջոցը բազմագործոն նույնականացման օգտագործումն է: Նաև կարող է մուտքի տոկոսադրույքի սահմանափակում ներառվել վեբ հավելվածում՝ դաժան ուժային հարձակումները կանխելու համար:
Զգայուն տվյալների բացահայտում
Եթե վեբ հավելվածները չեն պաշտպանում զգայուն հարձակվողները կարող են մուտք գործել և օգտագործել դրանք իրենց շահի համար: Ճանապարհի վրա հարձակումը զգայուն տեղեկատվություն գողանալու հանրաճանաչ մեթոդ է: Շփման վտանգը նվազագույն է, երբ բոլոր զգայուն տվյալները գաղտնագրված են: Վեբ մշակողները պետք է ապահովեն, որ որևէ զգայուն տվյալ չբացահայտվի զննարկիչում կամ չպահվի անհարկի:
XML արտաքին սուբյեկտներ (XEE)
Կիբերհանցագործը կարող է վերբեռնել կամ ներառել վնասակար XML բովանդակություն, հրամաններ կամ ծածկագիր XML փաստաթղթում. Սա թույլ է տալիս նրանց դիտել ֆայլերը հավելվածի սերվերի ֆայլային համակարգում: Երբ նրանք մուտք ունենան, նրանք կարող են փոխազդել սերվերի հետ՝ կատարել սերվերի կողմից հարցումների կեղծման (SSRF) հարձակումներ.
XML արտաքին կազմավորումների հարձակումները կարող են կանխվել է թույլ տալով վեբ հավելվածներին ընդունել ավելի քիչ բարդ տվյալների տեսակներ, ինչպիսիք են JSON-ը. XML արտաքին օբյեկտների մշակումն անջատելը նաև նվազեցնում է XEE հարձակման հավանականությունը:
Կոտրված մուտքի վերահսկում
Մուտքի վերահսկումը համակարգային արձանագրություն է, որը սահմանափակում է չարտոնված օգտվողներին զգայուն տեղեկատվության նկատմամբ: Եթե մուտքի վերահսկման համակարգը կոտրված է, հարձակվողները կարող են շրջանցել նույնականացումը: Սա նրանց թույլ է տալիս մուտք գործել զգայուն տեղեկատվություն, կարծես նրանք ունեն թույլտվություն: Մուտքի վերահսկումը կարող է ապահովվել օգտատիրոջ մուտքի վրա թույլտվության նշանների ներդրմամբ: Յուրաքանչյուր խնդրանքով, որը օգտատերը կատարում է նույնականացման ժամանակ, օգտատիրոջ հետ թույլտվության նշանը ստուգվում է, ինչը ցույց է տալիս, որ օգտատերը լիազորված է կատարել այդ հարցումը:
Անվտանգության սխալ կազմաձևում
Անվտանգության սխալ կազմաձևումը սովորական խնդիր է, որը կիբեռանվտանգության մասնագետները դիտարկում են վեբ հավելվածներում։ Սա տեղի է ունենում HTTP-ի սխալ կազմաձևված վերնագրերի, մուտքի վերահսկման խախտումների և վեբ հավելվածի տեղեկատվությունը բացահայտող սխալների հետևանքով:. Դուք կարող եք շտկել անվտանգության սխալ կազմաձևումը` հեռացնելով չօգտագործված գործառույթները: Դուք նաև պետք է կարկատեք կամ թարմացնեք ձեր ծրագրային փաթեթները:
Խաչմերուկների սցենար (XSS)
XSS-ի խոցելիությունը առաջանում է, երբ հարձակվողը շահարկում է վստահելի կայքի DOM API-ն՝ օգտագործողի բրաուզերում վնասակար կոդ գործարկելու համար:. Այս վնասակար կոդի գործարկումը հաճախ տեղի է ունենում, երբ օգտատերը կտտացնում է հղման վրա, որը կարծես վստահելի վեբկայքից է:. Եթե կայքը պաշտպանված չէ XSS խոցելիությունից, այն կարող է վտանգի ենթարկվել. Վնասակար կոդը, որը կատարվում է հարձակվողին հնարավորություն է տալիս մուտք գործել օգտատերերի մուտքի նիստ, կրեդիտ քարտի մանրամասներ և այլ զգայուն տվյալներ.
Cross-site Scripting-ը (XSS) կանխելու համար համոզվեք, որ ձեր HTML-ը լավ մաքրված է: Սա կարող է հասնելով վստահելի շրջանակների ընտրություն՝ կախված ընտրված լեզվից. Դուք կարող եք օգտագործել այնպիսի լեզուներ, ինչպիսիք են .Net-ը, Ruby on Rails-ը և React JS-ը, քանի որ դրանք կօգնեն վերլուծել և մաքրել ձեր HTML կոդը: Նույնականացված կամ չվավերացված օգտատերերի բոլոր տվյալները որպես անվստահելի համարելը կարող է նվազեցնել XSS-ի հարձակումների վտանգը.
Անապահով ապասերիալիզացիա
Deserialization-ը սերիականացված տվյալների փոխակերպումն է սերվերից օբյեկտի: Տվյալների ապասերիալացումը սովորական երեւույթ է ծրագրային ապահովման մշակման մեջ: Այն անվտանգ չէ, երբ տվյալները ապասերիալացված է անվստահելի աղբյուրից: Սա կարող է Պոտենցիալ բացահայտել ձեր դիմումը հարձակումների: Անվտանգ ապասերիալիզացիան տեղի է ունենում, երբ անվստահելի աղբյուրից ապասերիալացված տվյալները հանգեցնում են DDOS գրոհների, հեռակառավարման կոդի կատարման գրոհների կամ նույնականացման շրջանցումների:.
Անապահով ապասերիալացումից խուսափելու համար հիմնական կանոնն է՝ երբեք չվստահել օգտատերերի տվյալներին: Յուրաքանչյուր օգտվողի մուտքագրման տվյալներ պետք է բուժվել as Պոտենցիալ չարամիտ. Խուսափեք անվստահելի աղբյուրներից տվյալների ապասերիալացումից: Ապահովել, որ deserialization գործում է օգտագործվել ձեր վեբ հավելվածում անվտանգ է:
Հայտնի խոցելիություններով բաղադրիչների օգտագործումը
Գրադարաններն ու Շրջանակները շատ ավելի արագ են դարձրել վեբ հավելվածների մշակումն առանց անիվը նորից հորինելու անհրաժեշտության. Սա նվազեցնում է կոդի գնահատման ավելորդությունը: Նրանք ճանապարհ են հարթում ծրագրավորողների համար՝ կենտրոնանալու հավելվածների ավելի կարևոր ասպեկտների վրա: Եթե հարձակվողները հայտնաբերեն շահագործում այս շրջանակներում, ապա կոդերի բազան, որն օգտագործում է շրջանակը վտանգի ենթարկվել.
Բաղադրիչների մշակողները հաճախ առաջարկում են անվտանգության պատչեր և թարմացումներ բաղադրիչ գրադարանների համար: Բաղադրիչի խոցելիություններից խուսափելու համար դուք պետք է սովորեք թարմացնել ձեր հավելվածները անվտանգության վերջին թարմացումներով և թարմացումներով:. Չօգտագործված բաղադրիչները պետք է հեռացվել հարձակման վեկտորները կտրելու հավելվածից:
Անբավարար գրանցում և մոնիտորինգ
Մուտքագրումն ու մոնիտորինգը կարևոր են ձեր վեբ հավելվածում գործողությունները ցուցադրելու համար: Գրանցամատյանները հեշտացնում են սխալները հետագծելը, վերահսկել օգտվողների մուտքերը և գործողությունները:
Անբավարար գրանցում և մոնիտորինգ տեղի է ունենում, երբ անվտանգության համար կարևոր իրադարձությունները գրանցված չեն պատշաճ կերպով. Հարձակվողներն օգտագործում են դա՝ ձեր հավելվածի վրա հարձակումներ իրականացնելու համար՝ նախքան որևէ նկատելի պատասխան լինելը.
Մուտքագրումը կարող է օգնել ձեր ընկերությանը խնայել գումար և ժամանակ, քանի որ ձեր մշակողները կարող են հեշտությամբ գտնել սխալներ. Սա թույլ է տալիս նրանց ավելի շատ կենտրոնանալ սխալների լուծման վրա, քան դրանք փնտրելու վրա: Փաստորեն, գրանցումը կարող է օգնել, որ ձեր կայքերն ու սերվերները ամեն անգամ աշխատեն և աշխատեն՝ առանց դրանց ընդհատման:.
Եզրափակում
Լավ կոդը չէ հենց նոր ֆունկցիոնալության մասին, դա ձեր օգտատերերի և հավելվածի անվտանգությունն է. OWASP Top 10-ը հավելվածների անվտանգության ամենակարևոր ռիսկերի ցանկն է, որը հիանալի անվճար ռեսուրս է մշակողների համար՝ անվտանգ վեբ և բջջային հավելվածներ գրելու համար:. Ձեր թիմի ծրագրավորողների ուսուցումը ռիսկերը գնահատելու և գրանցելու համար կարող է երկարաժամկետ հեռանկարում խնայել ձեր թիմի ժամանակն ու գումարը: Եթե ցանկանում եք Իմացեք ավելին այն մասին, թե ինչպես վարժեցնել ձեր թիմին OWASP Top 10-ում, սեղմեք այստեղ:
