OWASP ең жақсы 10 қауіпсіздік тәуекелдері | Шолу
Мазмұны
OWASP дегеніміз не?
OWASP – веб-бағдарлама қауіпсіздігін оқытуға арналған коммерциялық емес ұйым.
OWASP оқу материалдары олардың веб-сайтында қолжетімді. Олардың құралдары веб-қосымшалардың қауіпсіздігін жақсарту үшін пайдалы. Бұған құжаттар, құралдар, бейнелер және форумдар кіреді.
OWASP Top 10 - бүгінгі күні веб-бағдарламалар үшін басты қауіпсіздік мәселелерін көрсететін тізім. Олар қауіпсіздік тәуекелдерін азайту үшін барлық компанияларға осы есепті өз процестеріне қосуды ұсынады. Төменде OWASP Top 10 2017 есебіне енгізілген қауіпсіздік тәуекелдерінің тізімі берілген.
SQL Injection
SQL инъекциясы шабуылдаушы қолданбадағы бағдарламаны бұзу үшін веб-бағдарламаға сәйкес емес деректерді жіберген кезде орын алады..
SQL инъекциясының мысалы:
Шабуылдаушы пайдаланушы аты ашық мәтінді қажет ететін енгізу пішініне SQL сұрауын енгізе алады. Енгізу пішіні қорғалмаған болса, ол SQL сұрауының орындалуына әкеледі. Бұл сілтеме жасалған SQL инъекциясы ретінде.
Веб қолданбаларды кодты енгізуден қорғау үшін әзірлеушілер пайдаланушы жіберген деректерде енгізуді тексеруді пайдаланатынына көз жеткізіңіз.. Мұндағы тексеру жарамсыз енгізулерді қабылдамауды білдіреді. Сондай-ақ, дерекқор менеджері санын азайту үшін басқару элементтерін орната алады ақпарат мүмкін ашылады инъекциялық шабуылда.
SQL инъекциясын болдырмау үшін OWASP деректерді пәрмендер мен сұраулардан бөлек сақтауды ұсынады. Ең жақсы нұсқа - қауіпсіз пайдалану API аудармашыны пайдалануды болдырмау немесе Объектілік қатынасты салыстыру құралдарына (ORMs) көшу үшін.
Бұзылған аутентификация
Аутентификацияның осалдықтары шабуылдаушыға пайдаланушы тіркелгілеріне кіруге және әкімші тіркелгісін пайдаланып жүйені бұзуға мүмкіндік береді.. Киберқылмыскер жүйеде мыңдаған құпия сөз тіркесімдерін қолданып көру үшін сценарийді пайдалана алады және қайсысы жұмыс істейтінін көре алады.. Киберқылмыскер кіргеннен кейін олар пайдаланушының жеке басын қолданып, оларға құпия ақпаратқа қол жеткізе алады..
Автоматтандырылған кіруге мүмкіндік беретін веб-қосымшаларда бұзылған аутентификация осалдығы бар. Аутентификацияның осалдығын түзетудің танымал тәсілі көп факторлы аутентификацияны пайдалану болып табылады. Сондай-ақ, кіру жылдамдығының шегі болуы мүмкін қосылуы дөрекі күш шабуылдарын болдырмау үшін веб-бағдарламада.
Сезімтал деректер экспозициясы
Егер веб-қосымшалар қорғамаса, сезімтал шабуылдаушылар оларға қол жеткізіп, пайда табу үшін пайдалана алады. Жолдағы шабуыл құпия ақпаратты ұрлаудың танымал әдісі болып табылады. Барлық құпия деректер шифрланған кезде әсер ету қаупі аз болуы мүмкін. Веб-әзірлеушілер құпия деректердің браузерде көрсетілмеуін немесе қажетсіз сақталмауын қамтамасыз етуі керек.
XML сыртқы нысандары (XEE)
Киберқылмыскер зиянды XML мазмұнын, пәрмендерін немесе XML құжатындағы кодты жүктеп салуы немесе қамтуы мүмкін.. Бұл оларға қолданба серверінің файлдық жүйесіндегі файлдарды көруге мүмкіндік береді. Олар қол жеткізгеннен кейін серверлік сұрауды жалған жасау (SSRF) шабуылдарын орындау үшін сервермен әрекеттесе алады.
XML сыртқы нысан шабуылдары мүмкін арқылы алдын алу веб-қосымшаларға JSON сияқты күрделірек деректер түрлерін қабылдауға мүмкіндік береді. XML сыртқы нысанын өңдеуді өшіру XEE шабуылының ықтималдығын азайтады.
Бұзылған қол жеткізуді басқару
Қолжетімділікті басқару – рұқсат етілмеген пайдаланушыларды құпия ақпаратпен шектейтін жүйелік протокол. Егер қол жеткізуді басқару жүйесі бұзылса, шабуылдаушылар аутентификацияны айналып өтуі мүмкін. Бұл оларға құпия ақпаратқа рұқсаты бар сияқты қол жеткізуге мүмкіндік береді. Қолжетімділікті басқаруды пайдаланушы логинінде авторизация белгілерін енгізу арқылы қорғауға болады. Түпнұсқалығы расталған кезде пайдаланушы жасаған әрбір сұрауда пайдаланушымен авторизация белгісі тексеріледі, бұл пайдаланушының осы сұрауды жасауға рұқсаты бар екенін білдіреді.
Қауіпсіздікті конфигурациялау
Қауіпсіздік конфигурациясының қателігі - бұл жиі кездесетін мәселе киберқауіпсіздік мамандар веб-қосымшаларда бақылайды. Бұл дұрыс конфигурацияланбаған HTTP тақырыптары, бұзылған кіруді басқару және веб-бағдарламадағы ақпаратты ашатын қателерді көрсету нәтижесінде орын алады.. Пайдаланылмаған мүмкіндіктерді жою арқылы Қауіпсіздік қате конфигурациясын түзетуге болады. Сондай-ақ бағдарламалық құрал бумаларын түзету немесе жаңарту керек.
Сайтаралық сценарий (XSS)
XSS осалдығы шабуылдаушы пайдаланушы браузерінде зиянды кодты орындау үшін сенімді веб-сайттың DOM API интерфейсін басқарғанда пайда болады.. Бұл зиянды кодтың орындалуы көбінесе пайдаланушы сенімді веб-сайттағы сілтемені басқан кезде орын алады.. Егер веб-сайт XSS осалдығынан қорғалмаған болса, ол мүмкін ымыраға келу. Бұл зиянды код орындалады шабуылдаушыға пайдаланушылардың кіру сеансына, несие картасының мәліметтеріне және басқа құпия деректерге рұқсат береді.
Сайтаралық сценарийлерді (XSS) болдырмау үшін, HTML жақсы тазартылғанына көз жеткізіңіз. Бұл мүмкін арқылы қол жеткізуге болады таңдау тіліне байланысты сенімді фреймворктарды таңдау. HTML кодын талдауға және тазалауға көмектесетін .Net, Ruby on Rails және React JS сияқты тілдерді пайдалануға болады. Аутентификацияланған немесе аутентификацияланбаған пайдаланушылардың барлық деректерін сенімсіз ретінде қарастыру XSS шабуылдарының қаупін азайтады..
Қауіпсіз сериядан шығару
Сериясыздандыру – серияланған деректерді серверден нысанға түрлендіру. Деректерді сериядан шығару бағдарламалық жасақтаманы әзірлеуде жиі кездесетін құбылыс. Деректер болған кезде ол қауіпті сериядан шығарылады сенімсіз көзден. Бұл мүмкін ықтимал қолданбаңызды шабуылдарға ұшыратыңыз. Қауіпсіз сериядан шығару сенімсіз көзден алынған деректер DDOS шабуылдарына, қашықтан кодты орындау шабуылдарына немесе аутентификацияны айналып өтуге әкелгенде орын алады..
Қауіпсіз сериядан шығаруды болдырмау үшін пайдаланушы деректеріне ешқашан сенбеу негізгі ереже болып табылады. Әрбір пайдаланушы деректерін енгізуі керек емделу as ықтимал зиянды. Сенімсіз көздерден алынған деректерді сериядан шығарудан аулақ болыңыз. Сериядан шығару функциясының орындалатынына көз жеткізіңіз пайдаланылады сіздің веб-қосымшаңыз қауіпсіз.
Белгілі осалдықтары бар құрамдастарды пайдалану
Кітапханалар мен жақтаулар дөңгелекті қайта ойлап таппай-ақ веб-қосымшаларды әзірлеуді әлдеқайда жылдам етті. Бұл кодты бағалаудағы артықшылықты азайтады. Олар әзірлеушілерге қосымшалардың маңызды аспектілеріне назар аударуға жол ашады. Егер шабуылдаушылар осы фреймворктарда эксплойттарды тапса, фреймворкті пайдаланатын әрбір код базасы болады ымыраға келу.
Құрамдас әзірлеушілер көбінесе қауіпсіздік патчтары мен құрамдас кітапханалар үшін жаңартуларды ұсынады. Компоненттердің осалдығын болдырмау үшін қолданбаларды соңғы қауіпсіздік патчтары мен жаңартуларымен жаңартып отыруды үйренуіңіз керек.. Пайдаланылмаған компоненттер болуы керек алынып тасталсын қолданбадан шабуыл векторларын кесуге арналған.
Тіркеу және бақылау жеткіліксіз
Тіркеу және бақылау веб-бағдарламадағы әрекеттерді көрсету үшін маңызды. Тіркеу қателерді бақылауды жеңілдетеді, монитор пайдаланушы логиндері және әрекеттері.
Қауіпсіздік маңызды оқиғалар журналға тіркелмегенде жеткіліксіз тіркеу және бақылау орын алады дұрыс. Шабуыл жасаушылар осыны пайдаланып, кез келген елеулі жауап болмағанға дейін қолданбаңызға шабуыл жасайды.
Тіркеу сіздің компанияңызға ақша мен уақытты үнемдеуге көмектеседі, себебі әзірлеушілеріңіз жасай алады оңай қателерді табыңыз. Бұл оларға қателерді іздеуден гөрі оларды шешуге көбірек көңіл бөлуге мүмкіндік береді. Іс жүзінде, журнал жүргізу тораптарыңыз бен серверлеріңізді тоқтап қалмай, жұмыс істеп тұрған сайын сақтауға көмектеседі.
қорытынды
Жақсы код емес әділ функционалдық туралы, бұл сіздің пайдаланушыларыңыз бен қолданбаңызды қауіпсіз сақтау туралы. OWASP Top 10 - қолданбалардың қауіпсіздігіне қатысты ең маңызды тәуекелдердің тізімі - әзірлеушілерге қауіпсіз веб және мобильді қолданбаларды жазуға арналған тамаша тегін ресурс. Тәуекелдерді бағалау және тіркеу үшін командаңыздағы әзірлеушілерді оқыту ұзақ мерзімді перспективада командаңыздың уақыты мен ақшасын үнемдей алады. Қаласаңыз OWASP Top 10 бойынша өз командаңызды қалай оқыту керектігі туралы қосымша ақпаратты мына жерді басыңыз.
