OWASP ტოპ 10 უსაფრთხოების რისკი | მიმოხილვა
სარჩევი
რა არის OWASP?
OWASP არის არაკომერციული ორგანიზაცია, რომელიც ეძღვნება ვებ აპლიკაციების უსაფრთხოების განათლებას.
OWASP სასწავლო მასალები ხელმისაწვდომია მათ ვებსაიტზე. მათი ინსტრუმენტები სასარგებლოა ვებ აპლიკაციების უსაფრთხოების გასაუმჯობესებლად. ეს მოიცავს დოკუმენტებს, ხელსაწყოებს, ვიდეოებს და ფორუმებს.
OWASP ტოპ 10 არის სია, რომელიც ხაზს უსვამს დღეს ვებ აპლიკაციების უსაფრთხოების მთავარ პრობლემებს. ისინი რეკომენდაციას უწევენ, რომ ყველა კომპანიამ შეიტანოს ეს ანგარიში თავიანთ პროცესებში უსაფრთხოების რისკების შესამცირებლად. ქვემოთ მოცემულია უსაფრთხოების რისკების სია, რომლებიც შედის OWASP ტოპ 10 2017 წლის ანგარიშში.
SQL Injection
SQL ინექცია ხდება მაშინ, როდესაც თავდამსხმელი უგზავნის შეუსაბამო მონაცემებს ვებ აპს, რათა ხელი შეუშალოს პროგრამას აპლიკაციაში..
SQL ინექციის მაგალითი:
თავდამსხმელს შეუძლია შეიყვანოს SQL მოთხოვნა შეყვანის ფორმაში, რომელიც მოითხოვს მომხმარებლის სახელის მარტივ ტექსტს. თუ შეყვანის ფორმა არ არის დაცული, ეს გამოიწვევს SQL მოთხოვნის შესრულებას. ეს არის მოხსენიებული როგორც SQL ინექცია.
ვებ აპლიკაციების კოდის ინექციისგან დასაცავად, დარწმუნდით, რომ თქვენი დეველოპერები იყენებენ შეყვანის ვალიდაციას მომხმარებლის მიერ გამოგზავნილ მონაცემებზე. აქ ვალიდაცია გულისხმობს არასწორი შეყვანის უარყოფას. მონაცემთა ბაზის მენეჯერს ასევე შეუძლია დააყენოს კონტროლი, რათა შეამციროს ოდენობა ინფორმაცია რომ შეუძლია გამჟღავნდეს ინექციის შეტევისას.
SQL ინექციის თავიდან ასაცილებლად, OWASP რეკომენდაციას უწევს მონაცემების განცალკევებას ბრძანებებისა და მოთხოვნებისგან. სასურველი ვარიანტია გამოიყენოთ უსაფრთხო API თარჯიმნის გამოყენების თავიდან ასაცილებლად ან Object Relational Mapping Tools-ზე (ORMs) გადასატანად.
გატეხილი ავთენტიფიკაცია
ავტორიზაციის დაუცველობამ შეიძლება თავდამსხმელს მისცეს წვდომა მომხმარებლის ანგარიშებზე და დაარღვიოს სისტემა ადმინისტრატორის ანგარიშის გამოყენებით. კიბერკრიმინალს შეუძლია გამოიყენოს სკრიპტი, რათა სცადოს ათასობით პაროლის კომბინაცია სისტემაში, რათა ნახოს რომელი მუშაობს. მას შემდეგ, რაც კიბერდანაშაული შემოდის, მათ შეუძლიათ გააყალბონ მომხმარებლის ვინაობა, რაც მათ კონფიდენციალურ ინფორმაციაზე წვდომის საშუალებას მისცემს.
გატეხილი ავთენტიფიკაციის დაუცველობა არსებობს ვებ აპლიკაციებში, რომლებიც ავტომატიზირებულ შესვლას იძლევა. ავტორიზაციის დაუცველობის გამოსწორების პოპულარული გზა არის მრავალფაქტორიანი ავთენტიფიკაციის გამოყენება. ასევე, შესვლის სიჩქარის ლიმიტი შეიძლება იყოს ჩართული ვებ აპლიკაციაში უხეში ძალის შეტევების თავიდან ასაცილებლად.
სენსიტიური მონაცემების ექსპოზიცია
თუ ვებ აპლიკაციები არ იცავს მგრძნობიარე თავდამსხმელებს შეუძლიათ წვდომა და გამოიყენონ ისინი თავიანთი მიზნებისთვის. გზაზე შეტევა პოპულარული მეთოდია მგრძნობიარე ინფორმაციის მოპარვისთვის. ექსპოზიციის რისკი მინიმალურია, როდესაც ყველა მგრძნობიარე მონაცემი დაშიფრულია. ვებ დეველოპერებმა უნდა უზრუნველყონ, რომ არცერთი სენსიტიური მონაცემები არ არის გამოქვეყნებული ბრაუზერში ან ინახება ზედმეტად.
XML გარე ერთეულები (XEE)
კიბერკრიმინალს შეუძლია ატვირთოს ან ჩართოს მავნე XML შინაარსი, ბრძანებები ან კოდი XML დოკუმენტში. ეს საშუალებას აძლევს მათ ნახონ ფაილები პროგრამის სერვერის ფაილურ სისტემაში. მას შემდეგ, რაც მათ ექნებათ წვდომა, მათ შეუძლიათ სერვერთან ურთიერთობა სერვერის მხრიდან მოთხოვნის გაყალბების (SSRF) შეტევების შესასრულებლად.
XML გარე ერთეულზე თავდასხმები შეიძლება თავიდან აიცილოს საშუალებას აძლევს ვებ აპლიკაციებს მიიღონ ნაკლებად რთული მონაცემთა ტიპები, როგორიცაა JSON. XML გარე ერთეულის დამუშავების გამორთვა ასევე ამცირებს XEE შეტევის შანსებს.
გატეხილი წვდომის კონტროლი
წვდომის კონტროლი არის სისტემის პროტოკოლი, რომელიც ზღუდავს არაავტორიზებულ მომხმარებლებს სენსიტიური ინფორმაციისთვის. თუ წვდომის კონტროლის სისტემა გატეხილია, თავდამსხმელებს შეუძლიათ აუთენტიფიკაციის გვერდის ავლით. ეს მათ აძლევს წვდომას სენსიტიურ ინფორმაციაზე, თითქოს მათ აქვთ ავტორიზაცია. წვდომის კონტროლის დაცვა შესაძლებელია მომხმარებლის შესვლაზე ავტორიზაციის ნიშნების დანერგვით. ყოველი მოთხოვნაზე, რომელსაც მომხმარებელი აკეთებს ავტორიზაციის დროს, ავტორიზაციის ჟეტონი მომხმარებელთან დამოწმებულია, რაც მიუთითებს იმაზე, რომ მომხმარებელი უფლებამოსილია განახორციელოს ეს მოთხოვნა.
უსაფრთხოების არასწორი კონფიგურაცია
უსაფრთხოების არასწორი კონფიგურაცია ჩვეულებრივი პრობლემაა კიბერ უსაფრთხოება სპეციალისტები აკვირდებიან ვებ აპლიკაციებში. ეს ხდება არასწორი კონფიგურაციის შედეგად. თქვენ შეგიძლიათ შეასწოროთ უსაფრთხოების არასწორი კონფიგურაცია გამოუყენებელი ფუნქციების წაშლით. თქვენ ასევე უნდა დააყენოთ ან განაახლოთ თქვენი პროგრამული პაკეტები.
ჯვარედინი სკრიპტირება (XSS)
XSS დაუცველობა ჩნდება, როდესაც თავდამსხმელი მანიპულირებს სანდო ვებსაიტის DOM API-ით, რათა შეასრულოს მავნე კოდი მომხმარებლის ბრაუზერში.. ამ მავნე კოდის შესრულება ხშირად ხდება, როდესაც მომხმარებელი დააწკაპუნებს ბმულზე, რომელიც, როგორც ჩანს, სანდო ვებსაიტიდან არის. თუ ვებსაიტი არ არის დაცული XSS დაუცველობისგან, მას შეუძლია იყოს კომპრომეტირებული. მავნე კოდი რომ შესრულებულია აძლევს თავდამსხმელს წვდომას მომხმარებლის შესვლის სესიაზე, საკრედიტო ბარათის დეტალებზე და სხვა სენსიტიურ მონაცემებზე.
ჯვარედინი სკრიპტის (XSS) თავიდან ასაცილებლად, დარწმუნდით, რომ თქვენი HTML კარგად არის გაწმენდილი. Ამას შეუძლია მიღწეული იყოს სანდო ჩარჩოების არჩევა არჩეული ენის მიხედვით. თქვენ შეგიძლიათ გამოიყენოთ ენები, როგორიცაა .Net, Ruby on Rails და React JS, რადგან ისინი დაგეხმარებათ თქვენი HTML კოდის გაანალიზებაში და გაწმენდაში. ავტორიზებული ან არაავთენტიფიცირებული მომხმარებლების ყველა მონაცემის არასანდო დამუშავებამ შეიძლება შეამციროს XSS შეტევების რისკი.
არასაიმედო დესერიალიზაცია
დესერიალიზაცია არის სერიული მონაცემების ტრანსფორმაცია სერვერიდან ობიექტად. მონაცემთა დესერიალიზაცია ჩვეულებრივი მოვლენაა პროგრამული უზრუნველყოფის შემუშავებაში. სახიფათოა მონაცემების დროს დესერილიზებულია არასანდო წყაროდან. Ამას შეუძლია პოტენციურად გაამჟღავნეთ თქვენი აპლიკაცია შეტევებზე. არასაიმედო დესერიალიზაცია ხდება მაშინ, როდესაც არასანდო წყაროდან დესერიალიზებული მონაცემები იწვევს DDOS შეტევებს, დისტანციური კოდის შესრულების შეტევებს ან ავთენტიფიკაციის გვერდის ავლებს..
არასაიმედო დესერიალიზაციის თავიდან აცილების მიზნით, პრაქტიკული წესია არასოდეს ენდოთ მომხმარებლის მონაცემებს. ყველა მომხმარებლის შეყვანის მონაცემები უნდა მკურნალობენ as პოტენციურად მავნე. მოერიდეთ მონაცემების დესერიალიზაციას არასანდო წყაროებიდან. დარწმუნდით, რომ დესერიალიზაციის ფუნქცია იყო გამოყენებული თქვენს ვებ აპლიკაციაში უსაფრთხოა.
კომპონენტების გამოყენება ცნობილი დაუცველობით
ბიბლიოთეკებმა და Frameworks-მა ბევრად უფრო სწრაფი გახადა ვებ აპლიკაციების შემუშავება ბორბლის ხელახლა გამოგონების გარეშე. ეს ამცირებს ზედმეტობას კოდის შეფასებაში. ისინი გზას უხსნიან დეველოპერებს აპლიკაციების უფრო მნიშვნელოვან ასპექტებზე ფოკუსირებისთვის. თუ თავდამსხმელები აღმოაჩენენ ექსპლოიტებს ამ ჩარჩოებში, ყველა კოდის ბაზა, რომელიც იყენებს Framework-ს იყოს კომპრომეტირებული.
კომპონენტების დეველოპერები ხშირად გვთავაზობენ უსაფრთხოების პატჩებს და განახლებებს კომპონენტების ბიბლიოთეკებისთვის. კომპონენტების დაუცველობის თავიდან ასაცილებლად, თქვენ უნდა ისწავლოთ თქვენი აპლიკაციების განახლება უახლესი უსაფრთხოების პატჩებითა და განახლებებით.. გამოუყენებელი კომპონენტები უნდა მოიხსნება აპლიკაციიდან თავდასხმის ვექტორების მოჭრა.
არასაკმარისი აღრიცხვა და მონიტორინგი
შესვლა და მონიტორინგი მნიშვნელოვანია თქვენს ვებ აპლიკაციაში აქტივობების საჩვენებლად. ჟურნალი აადვილებს შეცდომებს, მონიტორინგი მომხმარებლის შესვლა და აქტივობები.
არასაკმარისი აღრიცხვა და მონიტორინგი ხდება მაშინ, როდესაც უსაფრთხოებისთვის კრიტიკული მოვლენები არ არის ჩაწერილი სწორად. თავდამსხმელები ამას იყენებენ, რათა განახორციელონ თავდასხმები თქვენს აპლიკაციაზე, სანამ რაიმე შესამჩნევი პასუხი იქნება.
ლოგინგს შეუძლია დაეხმაროს თქვენს კომპანიას დაზოგოს ფული და დრო, რადგან თქვენს დეველოპერებს შეუძლიათ მარტივად შეცდომების პოვნა. ეს საშუალებას აძლევს მათ უფრო მეტი ყურადღება გაამახვილონ შეცდომების გადაჭრაზე, ვიდრე მათ ძებნაზე. ფაქტობრივად, ჟურნალი დაგეხმარებათ შეინარჩუნოთ თქვენი საიტები და სერვერები ყოველ ჯერზე, ყოველგვარი შეფერხების გარეშე..
დასკვნა
კარგი კოდი არაა მხოლოდ რაც შეეხება ფუნქციონირებას, ეს ეხება თქვენი მომხმარებლებისა და აპლიკაციის უსაფრთხოებას. OWASP ტოპ 10 არის აპლიკაციის უსაფრთხოების ყველაზე კრიტიკული რისკების სია, არის შესანიშნავი უფასო რესურსი დეველოპერებისთვის უსაფრთხო ვებ და მობილური აპლიკაციების დასაწერად.. თქვენი გუნდის დეველოპერების ტრენინგი რისკების შესაფასებლად და აღრიცხვის მიზნით, შეუძლია დაზოგოს თქვენი გუნდის დრო და ფული გრძელვადიან პერსპექტივაში. თუ გნებავთ შეიტყვეთ მეტი იმის შესახებ, თუ როგორ უნდა მოამზადოთ თქვენი გუნდი OWASP ტოპ 10-ში, დააწკაპუნეთ აქ.
