OWASP Top 10 Κίνδυνοι Ασφαλείας | ΣΦΑΙΡΙΚΗ ΕΙΚΟΝΑ
Πίνακας περιεχομένων
Τι είναι το OWASP;
Το OWASP είναι ένας μη κερδοσκοπικός οργανισμός αφιερωμένος στην εκπαίδευση ασφάλειας εφαρμογών ιστού.
Το εκπαιδευτικό υλικό OWASP είναι προσβάσιμο στον ιστότοπό τους. Τα εργαλεία τους είναι χρήσιμα για τη βελτίωση της ασφάλειας των διαδικτυακών εφαρμογών. Αυτό περιλαμβάνει έγγραφα, εργαλεία, βίντεο και φόρουμ.
Το OWASP Top 10 είναι μια λίστα που υπογραμμίζει τις κορυφαίες ανησυχίες για την ασφάλεια των εφαρμογών ιστού σήμερα. Συνιστούν σε όλες τις εταιρείες να συμπεριλάβουν αυτήν την αναφορά στις διαδικασίες τους για να περιορίσουν τους κινδύνους ασφαλείας. Ακολουθεί μια λίστα με τους κινδύνους ασφαλείας που περιλαμβάνονται στην αναφορά OWASP Top 10 2017.
SQL Injection
Η ένεση SQL συμβαίνει όταν ένας εισβολέας στέλνει ακατάλληλα δεδομένα σε μια εφαρμογή Ιστού για να διακόψει το πρόγραμμα στην εφαρμογή.
Ένα παράδειγμα ένεσης SQL:
Ο εισβολέας θα μπορούσε να εισαγάγει ένα ερώτημα SQL σε μια φόρμα εισαγωγής που απαιτεί ένα απλό κείμενο ονόματος χρήστη. Εάν η φόρμα εισαγωγής δεν είναι ασφαλής, θα έχει ως αποτέλεσμα την εκτέλεση ενός ερωτήματος SQL. Αυτό αναφέρεται ως ένεση SQL.
Για να προστατέψετε τις εφαρμογές Ιστού από την ένεση κώδικα, βεβαιωθείτε ότι οι προγραμματιστές σας χρησιμοποιούν επικύρωση εισόδου σε δεδομένα που υποβάλλονται από τον χρήστη. Η επικύρωση εδώ αναφέρεται στην απόρριψη μη έγκυρων εισροών. Ένας διαχειριστής βάσης δεδομένων μπορεί επίσης να ορίσει στοιχεία ελέγχου για να μειώσει το ποσό των πληροφορίες που μπορει να αποκαλυφθεί σε μια επίθεση με ένεση.
Για να αποφευχθεί η ένεση SQL, το OWASP συνιστά τη διατήρηση των δεδομένων ξεχωριστά από εντολές και ερωτήματα. Η προτιμώμενη επιλογή είναι να χρησιμοποιήσετε ένα ασφαλές API για να αποτρέψετε τη χρήση διερμηνέα ή για μετεγκατάσταση στα Εργαλεία Σχεσιακής Χαρτογράφησης Αντικειμένων (ORM).
Σπασμένος έλεγχος ταυτότητας
Τα τρωτά σημεία ελέγχου ταυτότητας μπορούν να επιτρέψουν σε έναν εισβολέα να αποκτήσει πρόσβαση σε λογαριασμούς χρηστών και να παραβιάσει ένα σύστημα χρησιμοποιώντας έναν λογαριασμό διαχειριστή. Ένας κυβερνοεγκληματίας μπορεί να χρησιμοποιήσει ένα σενάριο για να δοκιμάσει χιλιάδες συνδυασμούς κωδικών πρόσβασης σε ένα σύστημα για να δει ποιος λειτουργεί. Μόλις εισέλθει ο κυβερνοεγκληματίας, μπορεί να παραποιήσει την ταυτότητα του χρήστη, δίνοντάς του πρόσβαση σε εμπιστευτικές πληροφορίες.
Υπάρχει ένα σπασμένο θέμα ευπάθειας ελέγχου ταυτότητας σε εφαρμογές web που επιτρέπουν αυτοματοποιημένες συνδέσεις. Ένας δημοφιλής τρόπος για τη διόρθωση ευπάθειας ελέγχου ταυτότητας είναι η χρήση του ελέγχου ταυτότητας πολλαπλών παραγόντων. Επίσης, ένα όριο ποσοστού σύνδεσης θα μπορούσε να συμπεριληφθεί στην εφαρμογή Ιστού για την αποτροπή επιθέσεων ωμής βίας.
Ευαίσθητη έκθεση δεδομένων
Εάν οι εφαρμογές Ιστού δεν προστατεύουν, οι ευαίσθητοι εισβολείς μπορούν να έχουν πρόσβαση και να τις χρησιμοποιήσουν για το κέρδος τους. Μια επίθεση στο μονοπάτι είναι μια δημοφιλής μέθοδος για την κλοπή ευαίσθητων πληροφοριών. Ο κίνδυνος έκθεσης μπορεί να είναι ελάχιστος όταν όλα τα ευαίσθητα δεδομένα είναι κρυπτογραφημένα. Οι προγραμματιστές ιστού θα πρέπει να διασφαλίζουν ότι δεν εκτίθενται ευαίσθητα δεδομένα στο πρόγραμμα περιήγησης ή αποθηκεύονται άσκοπα.
Εξωτερικές οντότητες XML (XEE)
Ένας κυβερνοεγκληματίας μπορεί να μπορεί να ανεβάσει ή να συμπεριλάβει κακόβουλο περιεχόμενο XML, εντολές ή κώδικα σε ένα έγγραφο XML. Αυτό τους επιτρέπει να προβάλλουν αρχεία στο σύστημα αρχείων διακομιστή εφαρμογών. Μόλις αποκτήσουν πρόσβαση, μπορούν να αλληλεπιδράσουν με τον διακομιστή για να εκτελέσουν επιθέσεις πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF)..
Οι επιθέσεις εξωτερικών οντοτήτων XML μπορούν να αποτραπεί από επιτρέποντας στις εφαρμογές Ιστού να δέχονται λιγότερο σύνθετους τύπους δεδομένων όπως το JSON. Η απενεργοποίηση της επεξεργασίας εξωτερικής οντότητας XML μειώνει επίσης τις πιθανότητες επίθεσης XEE.
Έλεγχος σπασμένης πρόσβασης
Ο έλεγχος πρόσβασης είναι ένα πρωτόκολλο συστήματος που περιορίζει τους μη εξουσιοδοτημένους χρήστες σε ευαίσθητες πληροφορίες. Εάν ένα σύστημα ελέγχου πρόσβασης είναι κατεστραμμένο, οι εισβολείς μπορούν να παρακάμψουν τον έλεγχο ταυτότητας. Αυτό τους δίνει πρόσβαση σε ευαίσθητες πληροφορίες σαν να έχουν εξουσιοδότηση. Ο έλεγχος πρόσβασης μπορεί να ασφαλιστεί με την εφαρμογή διακριτικών εξουσιοδότησης στη σύνδεση χρήστη. Σε κάθε αίτημα που κάνει ένας χρήστης κατά τον έλεγχο ταυτότητας, επαληθεύεται το διακριτικό εξουσιοδότησης με τον χρήστη, σηματοδοτώντας ότι ο χρήστης είναι εξουσιοδοτημένος να υποβάλει αυτό το αίτημα.
Λανθασμένη διαμόρφωση ασφαλείας
Η εσφαλμένη ρύθμιση παραμέτρων ασφαλείας είναι ένα κοινό πρόβλημα που κυβερνασφάλεια οι ειδικοί παρατηρούν σε διαδικτυακές εφαρμογές. Αυτό συμβαίνει ως αποτέλεσμα εσφαλμένων ρυθμίσεων κεφαλίδων HTTP, κατεστραμμένων στοιχείων ελέγχου πρόσβασης και εμφάνισης σφαλμάτων που εκθέτουν πληροφορίες σε μια εφαρμογή ιστού. Μπορείτε να διορθώσετε μια εσφαλμένη διαμόρφωση ασφαλείας καταργώντας λειτουργίες που δεν χρησιμοποιούνται. Θα πρέπει επίσης να επιδιορθώσετε ή να αναβαθμίσετε τα πακέτα λογισμικού σας.
Scripting μεταξύ ιστότοπων (XSS)
Η ευπάθεια XSS εμφανίζεται όταν ένας εισβολέας χειρίζεται το DOM API ενός αξιόπιστου ιστότοπου για να εκτελέσει κακόβουλο κώδικα στο πρόγραμμα περιήγησης ενός χρήστη. Η εκτέλεση αυτού του κακόβουλου κώδικα συμβαίνει συχνά όταν ένας χρήστης κάνει κλικ σε έναν σύνδεσμο που φαίνεται να προέρχεται από έναν αξιόπιστο ιστότοπο. Εάν ο ιστότοπος δεν προστατεύεται από ευπάθεια XSS, μπορεί να συμβιβαστεί. Ο κακόβουλος κώδικας που εκτελείται δίνει σε έναν εισβολέα πρόσβαση στην περίοδο σύνδεσης των χρηστών, στα στοιχεία της πιστωτικής κάρτας και σε άλλα ευαίσθητα δεδομένα.
Για να αποτρέψετε τη δέσμη ενεργειών μεταξύ τοποθεσιών (XSS), βεβαιωθείτε ότι το HTML σας είναι καλά απολυμασμένο. Αυτό μπορεί να επιτευχθεί με επιλέγοντας αξιόπιστα πλαίσια ανάλογα με τη γλώσσα επιλογής. Μπορείτε να χρησιμοποιήσετε γλώσσες όπως .Net, Ruby on Rails και React JS, καθώς θα βοηθούσαν στην ανάλυση και τον καθαρισμό του κώδικα HTML σας. Η αντιμετώπιση όλων των δεδομένων από επαληθευμένους ή μη χρήστες ως μη αξιόπιστα μπορεί να μειώσει τον κίνδυνο επιθέσεων XSS.
Ασφαλής αποεπιεριοποίηση
Deserialization είναι ο μετασχηματισμός σειριακών δεδομένων από διακομιστή σε αντικείμενο. Η αποσειριοποίηση δεδομένων είναι ένα σύνηθες φαινόμενο στην ανάπτυξη λογισμικού. Δεν είναι ασφαλές όταν τα δεδομένα είναι αποσειροποιημένο από αναξιόπιστη πηγή. Αυτό μπορεί ενδεχομένως εκθέστε την εφαρμογή σας σε επιθέσεις. Η μη ασφαλής αποσειράπωση συμβαίνει όταν τα δεδομένα που έχουν αποσυνδεθεί από μια μη αξιόπιστη πηγή οδηγούν σε επιθέσεις DDOS, επιθέσεις απομακρυσμένης εκτέλεσης κώδικα ή παρακάμψεις ελέγχου ταυτότητας.
Για να αποφευχθεί η ανασφαλής αποδεσμοποίηση, ο εμπειρικός κανόνας είναι να μην εμπιστεύεστε ποτέ τα δεδομένα των χρηστών. Κάθε χρήστης θα πρέπει να εισάγει δεδομένα να αντιμετωπιστεί as ενδεχομένως κακεντρεχής. Αποφύγετε την απελευθέρωση δεδομένων από μη αξιόπιστες πηγές. Βεβαιωθείτε ότι η αποσειριοποίηση λειτουργεί σε να χρησιμοποιηθούν στην εφαρμογή Ιστού σας είναι ασφαλής.
Χρήση στοιχείων με γνωστά τρωτά σημεία
Οι βιβλιοθήκες και τα πλαίσια έχουν κάνει πολύ πιο γρήγορη την ανάπτυξη εφαρμογών ιστού χωρίς να χρειάζεται να εφεύρουμε ξανά τον τροχό. Αυτό μειώνει τον πλεονασμό στην αξιολόγηση κώδικα. Ανοίξτε το δρόμο για τους προγραμματιστές να επικεντρωθούν σε πιο σημαντικές πτυχές των εφαρμογών. Εάν οι εισβολείς ανακαλύψουν εκμεταλλεύσεις σε αυτά τα πλαίσια, κάθε βάση κώδικα που χρησιμοποιεί το πλαίσιο θα το κάνει να συμβιβαστεί.
Οι προγραμματιστές στοιχείων προσφέρουν συχνά ενημερώσεις κώδικα ασφαλείας και ενημερώσεις για βιβλιοθήκες στοιχείων. Για να αποφύγετε ευπάθειες στοιχείων, θα πρέπει να μάθετε να διατηρείτε τις εφαρμογές σας ενημερωμένες με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και αναβαθμίσεις. Τα αχρησιμοποίητα εξαρτήματα θα πρέπει να αφαιρεθεί από την εφαρμογή για την αποκοπή διανυσμάτων επίθεσης.
Ανεπαρκής καταγραφή και παρακολούθηση
Η καταγραφή και η παρακολούθηση είναι σημαντικές για την εμφάνιση δραστηριοτήτων στην εφαρμογή Ιστού σας. Η καταγραφή διευκολύνει τον εντοπισμό σφαλμάτων, μηνυτής συνδέσεις χρηστών και δραστηριότητες.
Ανεπαρκής καταγραφή και παρακολούθηση συμβαίνουν όταν δεν καταγράφονται συμβάντα κρίσιμα για την ασφάλεια δεόντως. Οι εισβολείς εκμεταλλεύονται αυτό για να πραγματοποιήσουν επιθέσεις στην εφαρμογή σας προτού υπάρξει κάποια αξιοσημείωτη απάντηση.
Η καταγραφή μπορεί να βοηθήσει την εταιρεία σας να εξοικονομήσει χρήματα και χρόνο επειδή οι προγραμματιστές σας μπορούν εύκολα βρείτε σφάλματα. Αυτό τους επιτρέπει να επικεντρωθούν περισσότερο στην επίλυση των σφαλμάτων παρά στην αναζήτησή τους. Στην πραγματικότητα, η καταγραφή μπορεί να σας βοηθήσει να διατηρήσετε τους ιστότοπους και τους διακομιστές σας σε λειτουργία κάθε φορά χωρίς να αντιμετωπίζουν χρόνο διακοπής λειτουργίας.
Συμπέρασμα
Ο καλός κώδικας δεν είναι μόλις σχετικά με τη λειτουργικότητα, έχει να κάνει με τη διατήρηση της ασφάλειας των χρηστών και της εφαρμογής σας. Το OWASP Top 10 είναι μια λίστα με τους πιο κρίσιμους κινδύνους ασφαλείας εφαρμογών είναι ένας εξαιρετικός δωρεάν πόρος για τους προγραμματιστές να γράφουν ασφαλείς εφαρμογές ιστού και κινητών. Η εκπαίδευση προγραμματιστών στην ομάδα σας για την αξιολόγηση και την καταγραφή των κινδύνων μπορεί να εξοικονομήσει χρόνο και χρήμα της ομάδας σας μακροπρόθεσμα. Αν θέλεις μάθετε περισσότερα για το πώς να εκπαιδεύσετε την ομάδα σας στο OWASP Top 10 κάντε κλικ εδώ.
