OWASP Top 10 Risk Sekirite | Apèsi sou lekòl la
Table of Contents
ki sa ki OWASP?
OWASP se yon òganizasyon san bi likratif ki dedye a edikasyon sekirite aplikasyon entènèt.
Materyèl aprantisaj OWASP yo aksesib sou sit entènèt yo. Zouti yo itil pou amelyore sekirite aplikasyon entènèt yo. Sa a gen ladan dokiman, zouti, videyo, ak fowòm.
OWASP Top 10 la se yon lis ki mete aksan sou enkyetid prensipal yo sou sekirite pou aplikasyon entènèt jodi a. Yo rekòmande pou tout konpayi yo mete rapò sa a nan pwosesis yo pou koupe risk sekirite yo. Anba a se yon lis risk sekirite ki enkli nan rapò OWASP Top 10 2017 la.
SQL enjeksyon
Piki SQL rive lè yon atakè voye done ki pa apwopriye nan yon aplikasyon entènèt pou deranje pwogram nan aplikasyon an..
Yon egzanp yon piki SQL:
Atakè a ta ka antre nan yon rechèch SQL nan yon fòm opinyon ki mande pou yon non itilizatè. Si fòm nan opinyon pa an sekirite, li pral lakòz nan ekzekisyon an nan yon rechèch SQL. Sa a se refere kòm piki SQL.
Pou pwoteje aplikasyon entènèt yo kont piki kòd, asire w ke devlopè w yo sèvi ak validation opinyon sou done itilizatè yo soumèt. Validasyon isit la refere a rejè a nan entrain envalid. Yon manadjè baz done kapab tou mete kontwòl yo diminye kantite lajan an nan enfòmasyon ki ka dwe divilge nan yon atak piki.
Pou anpeche piki SQL, OWASP rekòmande pou kenbe done separe de kòmandman ak demann. Opsyon ki pi bon an se sèvi ak yon sekirite API pou anpeche itilize yon entèprèt, oswa pou imigre nan Zouti Kat Relasyon Objektif (ORM).
Otantifikasyon kase
Vulnerabilite otantifikasyon ka pèmèt yon atakè jwenn aksè nan kont itilizatè yo ak konpwomi yon sistèm lè l sèvi avèk yon kont admin. Yon sibèrkriminèl ka itilize yon script pou eseye plizyè milye konbinezon modpas sou yon sistèm pou wè kiyès ki fonksyone.. Yon fwa cyberkriminèl la antre, yo ka fo idantite itilizatè a, ba yo aksè a enfòmasyon konfidansyèl..
Yon vilnerabilite otantifikasyon kase egziste nan aplikasyon entènèt ki pèmèt koneksyon otomatik yo. Yon fason popilè pou korije vilnerabilite otantifikasyon se itilizasyon otantifikasyon miltifaktè. Epitou, yon limit to koneksyon te kapab dwe enkli nan aplikasyon entènèt la pou anpeche atak fòs brital.
Done sansibl ekspoze
Si aplikasyon entènèt yo pa pwoteje atakè sansib yo ka jwenn aksè epi sèvi ak yo pou benefis yo. Yon atak sou chemen se yon metòd popilè pou vòlè enfòmasyon sansib. Risk pou ekspoze ka se minim lè tout done sansib yo chiffres. Devlopè entènèt yo ta dwe asire ke pa gen okenn done sansib ekspoze sou navigatè a oswa ki estoke san nesesite.
Entite ekstèn XML (XEE)
Yon sibèrkriminèl kapab telechaje oswa mete kontni XML move, kòmandman, oswa kòd nan yon dokiman XML.. Sa pèmèt yo wè fichye yo sou sistèm fichye sèvè aplikasyon an. Yon fwa yo gen aksè, yo ka kominike avèk sèvè a pou fè atak falsifikasyon demann bò sèvè (SSRF)..
XML ekstèn antite atak kapab dwe anpeche pa ki pèmèt aplikasyon entènèt yo aksepte kalite done mwens konplèks tankou JSON. Enfim pwosesis XML ekstèn antite tou diminye chans pou yon atak XEE.
Kontwòl Aksè kase
Aksè kontwòl se yon pwotokòl sistèm ki mete restriksyon sou itilizatè san otorizasyon enfòmasyon sansib. Si yon sistèm kontwòl aksè kase, atakè yo ka kontoune otantifikasyon. Sa a ba yo aksè a enfòmasyon sansib tankou si yo gen otorizasyon. Kontwòl Aksè yo ka sekirize pa mete ann aplikasyon siy otorizasyon sou koneksyon itilizatè. Sou chak demann yon itilizatè fè pandan y ap otantifye, yo verifye siy otorizasyon ak itilizatè a, ki siyal ke itilizatè a gen otorizasyon pou fè demann sa a.
Sekirite mal konfigirasyon
Sekirite move konfigirasyon se yon pwoblèm komen ki cybersecurity espesyalis obsève nan aplikasyon entènèt. Sa rive kòm yon rezilta move tèt HTTP, kontwòl aksè kase, ak ekspozisyon erè ki ekspoze enfòmasyon nan yon aplikasyon entènèt.. Ou ka korije yon move konfigirasyon sekirite lè w retire karakteristik ki pa itilize yo. Ou ta dwe tou patch oswa ajou pakè lojisyèl ou yo.
Kwa-Site Scripting (XSS)
Vulnerabilite XSS rive lè yon atakè manipile API DOM nan yon sit entènèt ou fè konfyans pou egzekite kòd move nan navigatè yon itilizatè.. Egzekisyon kòd move sa a souvan rive lè yon itilizatè klike sou yon lyen ki sanble soti nan yon sit entènèt ou fè konfyans.. Si sit entènèt la pa pwoteje kont vilnerabilite XSS, li kapab dwe konpwomèt. Kòd la move sa se egzekite bay yon atakè aksè nan sesyon itilizatè yo konekte, detay kat kredi, ak lòt done sansib.
Pou anpeche Cross-site Scripting (XSS), asire w ke HTML ou a byen dezenfekte. Sa a kapab dwe reyalize pa chwazi fondasyon ou fè konfyans depann sou lang ou chwazi a. Ou ka sèvi ak lang tankou .Net, Ruby on Rails, ak React JS jan yo ta ede analize ak netwaye kòd HTML ou. Trete tout done ki soti nan itilizatè otantifye oswa ki pa otantifye kòm moun ki pa fè konfyans ka diminye risk pou atak XSS..
Ensekirite Deserialization
Deserialization se transfòmasyon done seri soti nan yon sèvè nan yon objè. Deserializasyon done se yon bagay komen nan devlopman lojisyèl. Li pa an sekirite lè done yo se deserialize soti nan yon sous ki pa fè konfyans. Sa a kapab potansyèlman ekspoze aplikasyon w lan nan atak. Deserializasyon ensekirite rive lè done deserialize ki soti nan yon sous ki pa fè konfyans mennen nan atak DDOS, atak ekzekisyon kòd aleka, oswa otantifikasyon kontourne..
Pou evite deserialization ensekirite, règ la nan gwo pous se pa janm fè konfyans done itilizatè yo. Chak done done itilizatè ta dwe dwe trete as potansyèlman move. Evite deserializasyon done ki soti nan sous ki pa fè konfyans. Asire ke fonksyon deserialization a dwe itilize nan aplikasyon w lan an sekirite.
Sèvi ak konpozan ak vilnerabilite li te ye
Bibliyotèk ak kad yo te fè li pi vit pou devlope aplikasyon entènèt san yo pa bezwen reenvante volan an. Sa a diminye redondance nan evalyasyon kòd. Yo ale wout la pou devlopè yo konsantre sou aspè ki pi enpòtan nan aplikasyon yo. Si atakè yo dekouvri èksplwatasyon nan kad sa yo, chak baz kod ki itilize kad la ta dwe konpwomèt.
Devlopè eleman yo souvan ofri plak sekirite ak mizajou pou bibliyotèk eleman yo. Pou evite frajilite konpozan, ou ta dwe aprann kenbe aplikasyon w yo ajou ak dènye plak sekirite ak amelyorasyon.. Konpozan ki pa itilize yo ta dwe dwe retire li soti nan aplikasyon an koupe vektè atak.
Ensifizan Logging ak Siveyans
Anrejistre ak siveyans enpòtan pou montre aktivite nan aplikasyon w lan. Enregistrement fè li fasil pou trase erè, pou kontwole koneksyon itilizatè, ak aktivite yo.
Ensifizan anrejistreman ak siveyans rive lè evènman ki enpòtan pou sekirite yo pa konekte byen. Atakè yo pwofite sou sa a pou fè atak sou aplikasyon w lan anvan gen okenn repons aparan.
Logging ka ede konpayi ou ekonomize lajan ak tan paske devlopè ou yo kapab fasil jwenn pinèz. Sa pèmèt yo konsantre plis sou rezoud pinèz yo pase pou chèche yo. An reyalite, antre ka ede kenbe sit ou yo ak sèvè yo ak fonksyone chak fwa san yo pa gen okenn tan D '.
konklizyon
Bon kòd se pa jis sou fonksyonalite, li nan sou kenbe itilizatè ou yo ak aplikasyon an sekirite. OWASP Top 10 se yon lis risk sekirite aplikasyon ki pi enpòtan yo se yon gwo resous gratis pou devlopè yo ekri aplikasyon ki an sekirite entènèt ak mobil.. Fòmasyon devlopè nan ekip ou a pou evalye ak anrejistre risk yo ka ekonomize tan ak lajan ekip ou a alontèm. Si ou ta renmen aprann plis sou fason pou fòme ekip ou a sou Top 10 OWASP klike la a.
