mikä on OWASP?
Open Web Application Security Project, tai OWASP on kansainvälinen voittoa tavoittelematon järjestö omistettu web application security. Yksi OWASP: n keskeisiä periaatteita on, että kaikki materiaalit ovat vapaasti käytettävissä ja helposti saatavilla niiden verkkosivuilla, jolloin se on mahdollista kaikille, parantaa omaa web-sovelluksen tietoturva. Heidän tarjoamiaan materiaaleja ovat muun muassa dokumentaatio, työkalut, videot ja foorumit. Ehkä heidän tunnetuin projektinsa on OWASP Top 10.
mikä on OWASP Top 10?,
OWASP Top 10 on säännöllisesti päivitettävä raportti, jossa esitetään huoli turvallisuudesta web application security, keskittyen 10 kriittisimmät riskit. Raportin kokoaa joukko turvallisuusasiantuntijoita eri puolilta maailmaa. OWASP viittaa Top 10 kuten tietoisuutta asiakirja’ ja he suosittelevat, että kaikki yritykset liittää raportin osaksi prosesseja, jotta voidaan minimoida ja/tai lieventää turvallisuusriskejä.
alla on OWASP Top 10 2017-raportissa ilmoitetut turvallisuusriskit:
1., Injektio
– Injektio hyökkäyksiä tapahtuu, kun epäluotettava data lähetetään koodi tulkki kautta muodossa tulo tai jokin muu tietojen toimittamista web-sovellus. Hyökkääjä voisi esimerkiksi syöttää SQL-tietokantakoodin muotoon, joka odottaa selkokielistä käyttäjätunnusta. Jos lomakkeen syöttöä ei ole varmistettu asianmukaisesti, tämä johtaisi siihen, että SQL-koodi toteutettaisiin. Tämä tunnetaan SQL-injektiohyökkäyksenä.
Injektiohyökkäyksiä voidaan estää validoimalla ja / tai puhdistamalla käyttäjien toimittamia tietoja., (Validointi tarkoittaa hylkääminen epäilyttäviä tietoja, kun taas desinfioinnit viittaa siivota epäilyttävän näköinen osien tiedot.) Lisäksi tietokannan ylläpitäjä voi asettaa hallintalaitteita, joilla minimoidaan pistoshyökkäyksen paljastaman tiedon määrä.
2. Broken Authentication
Haavoittuvuuksia todennus (login) järjestelmät voivat antaa hyökkääjän pääsy käyttäjän tilit ja jopa kyky vaarantaa koko järjestelmän käyttämällä järjestelmänvalvojan tili., Esimerkiksi, hyökkääjä voi ottaa listan, joka sisältää tuhansia tunnettuja käyttäjätunnus/salasana yhdistelmiä aikana saatujen tietojen rikkominen ja käyttää script kokeilla kaikkia näitä yhdistelmiä kirjautuminen järjestelmän nähdä, jos on olemassa mitään, että työtä.
Jotkut strategioita lieventämiseksi todennuksen haavoittuvuuksia vaativat kaksi-factor authentication (2FA) sekä rajoittaa tai viivyttää toistuva kirjautumisyrityksiä käyttäen nopeutta rajoittava.
3., Arkaluonteisten Tietojen Altistuminen
Jos web-sovellukset eivät suojaa arkaluonteisia tietoja, kuten taloudelliset tiedot ja salasanat, hyökkääjät voivat saada että tiedot ja sellor käyttää sitä ilkeä tarkoituksiin. Yksi suosittu keino arkaluontoisten tietojen varastamiseen on polkuhyökkäys.
tietojen altistumisriski voidaan minimoida salaamalla kaikki arkaluontoiset tiedot sekä poistamalla arkaluontoisten tietojen välimuistin* käytöstä. Lisäksi verkkosovellusten kehittäjien tulisi huolehtia siitä, etteivät he turhaan Tallenna arkaluontoisia tietoja.,
*välimuistissa on tapana säilyttää tietoja väliaikaisesti uudelleenkäyttöä varten. Esimerkiksi web-selaimet on usein välimuistiin verkkosivuja niin, että jos käyttäjä tarkistaisi thosepages sisällä kiinteä ajanjakso, selaimen ei tarvitse hakea sivuja web.
4. XML Ulkoiset Yksiköt (lukien xee)
Tämä on hyökkäys web-sovellus, joka jäsentää XML* input. Tämä tulo voi viitata ulkoinen yksikkö, yrittää hyödyntää haavoittuvuutta jäsennin. Tässä yhteydessä’ ulkopuolisella taholla ’ tarkoitetaan tallennusyksikköä, kuten kiintolevyä., XML-jäsennin voidaan huijata lähettämään tietoja luvattomalle ulkopuoliselle taholle, joka voi siirtää arkaluontoisia tietoja suoraan hyökkääjälle.
paras tapa estää lukien xee-hyökkäykset ovat web-sovelluksia hyväksyä vähemmän monimutkainen tyyppisiä tietoja, kuten JSON**, tai ainakin paikata XML-jäsentimiä ja poistaa ulkoisia yhteisöjä XML-sovellus.
*XML tai Extensible Markup Language on markup-kieli, joka on tarkoitettu sekä ihmisten luettavaksi että koneellisesti luettavaksi. Monimutkaisuutensa ja tietoturvahaavoittuvuutensa vuoksi sitä ollaan nyt poistamassa käytöstä monissa verkkosovelluksissa.,
**JavaScript Object Notation (JSON) on yksinkertainen, ihmisen luettavissa oleva notaatio, jota käytetään usein tietojen siirtämiseen internetissä. Vaikka se on alun perin luotu JavaScript, JSON on kieli-agnostikko, ja voidaan tulkita monia eri ohjelmointikieliä.
5. Rikkoutuneella kulunvalvonnalla
kulunvalvonnalla tarkoitetaan järjestelmää, joka ohjaa tietojen tai toimintojen saatavuutta. Murtuneiden kulunvalvontalaitteiden avulla hyökkääjät voivat ohittaa valtuutuksen ja suorittaa tehtäviä ikään kuin he olisivat etuoikeutettuja käyttäjiä, kuten ylläpitäjiä., Esimerkiksi web-sovellus voisi antaa käyttäjälle mahdollisuuden muuttaa, mille tilille he ovat kirjautuneet, yksinkertaisesti muuttamalla osan url, ilman muuta todentamista.
kulunvalvonta voidaan varmistaa varmistamalla, että Web-sovellus käyttää valtuutusosakkeita* ja asettaa niihin tiukat kontrollit.
*monet palvelut myöntävät valtuutusosakkeita, kun käyttäjät kirjautuvat sisään. Jokainen etuoikeutettu pyyntö, että käyttäjä tekee edellyttää, että valtuutus token on läsnä. Tämä on turvallinen tapa varmistaa, että käyttäjä on se, kuka he sanovat, että he ovat, ilman jatkuvasti syöttää kirjautumistiedot.
6., Turvallisuus Väärät
Turvallisuus-väärät on yleisin haavoittuvuus listalla, ja on usein seurausta käyttäen oletuksena kokoonpanoissa tai näyttää liian monisanainen virheitä. Sovellus voisi esimerkiksi näyttää käyttäjälle liian kuvailevia virheitä, jotka voivat paljastaa sovelluksen haavoittuvuuksia. Tätä voidaan lieventää poistamalla koodin käyttämättömät ominaisuudet ja varmistamalla, että virheilmoitukset ovat yleisempiä.
7., Cross-Site Scripting
Cross-site scripting haavoittuvuuksia syntyy, kun web-sovelluksia avulla käyttäjät voivat lisätä mukautettuja koodi url-polku tai päälle verkkosivuilla, joka näkyy muille käyttäjille. Haavoittuvuutta voidaan hyödyntää haitallisen JavaScript-koodin ajamiseen uhrin selaimella. Hyökkääjä voisi esimerkiksi lähettää uhrille sähköpostin, joka näyttää olevan luotetusta pankista, ja linkin pankin verkkosivuille. Tässä linkissä voi olla jokin haitallinen JavaScript-koodi, joka on merkitty url: n päähän., Jos pankin sivusto ei ole kunnolla suojattu cross-site scripting, niin, että haitallista koodia voidaan ajaa uhrin web-selain kun he klikkaa linkkiä.
Lieventäminen strategioita cross-site scripting sisällä pakenevat luotettu HTTP-pyyntöjä sekä validointi ja/tai puhdistus on käyttäjien luomaa sisältöä. Käyttämällä nykyaikaisia web-kehitystä puitteet kuten ReactJS ja Ruby on Rails tarjoaa myös joitakin sisäänrakennettu cross-site scripting-suojaus.
8. Epävarma Deserialization
Tämä uhka kohdistuu monia web-sovelluksia, jotka usein sarjoittaa ja deserialize tiedot., Sarjallistaminen tarkoittaa objektien ottamista sovelluskoodista ja niiden muuntamista muotoon, jota voidaan käyttää muuhun tarkoitukseen, kuten datan tallentamiseen levylle tai suoratoistoon. Deserialization on juuri päinvastainen: muuntaa serialisoitu data takaisin objekteja sovellus voi käyttää. Serialization on tavallaan kuin pakkaus huonekalut pois laatikoihin, ennen kuin liikkua, ja deserialization on kuin purkaminen laatikot ja kokoaminen huonekalut muuton jälkeen. Epävarma deserialisaatiohyökkäys on kuin ottaisi muuttomiehet peukaloimaan laatikoiden sisältöä ennen kuin ne puretaan.,
turvaton deserialization hyödyntää on seurausta android tiedot epäluotettavista lähteistä, ja voi aiheuttaa vakavia seurauksia, kuten DDoS hyökkäykset ja koodin suorittamisen verkon hyökkäyksiä. Vaikka vaiheet voidaan kokeilla ja saalis hyökkääjät, kuten seuranta deserialization ja toteuttamisessa tyyppi tarkastukset, ainoa varma tapa suojautua epävarmalta deserialization hyökkäyksiä on kieltää deserialization tietoa epäluotettavista lähteistä.
9., Komponentteja käyttäen Tunnettuja Haavoittuvuuksia
Monet nykyaikaiset web-kehittäjät käyttää komponentteja, kuten kirjastot ja puitteita niiden web-sovelluksia. Nämä komponentit ovat paloja ohjelmisto, joka auttaa kehittäjiä välttää turhaa työtä ja tarjota tarvittavia toimintoja; yleinen esimerkki ovat front-end puitteet kuten Reagoivat ja pienempiä kirjastoja, jotka käytetään lisätä jaa kuvakkeet tai a/b-testaus. Jotkut hyökkääjät etsivät haavoittuvuuksia näistä komponenteista, joita he voivat sitten käyttää hyökkäysten järjestämiseen., Jotkut enemmän suosittuja komponentteja käytetään satoja tuhansia sivustoja; hyökkääjä löytää tietoturva-aukko, yksi näistä komponenteista voi jättää satoja tuhansia sivustoja alttiita hyödyntää.
– Komponentti kehittäjät tarjoavat usein tietoturvapäivitykset ja päivitykset, plug up tunnettuja haavoittuvuuksia, mutta web-sovellusten kehittäjät ei aina ole paikattu tai tuoreinta versiota osat käynnissä niiden sovelluksia., Riskin minimoimiseksi käynnissä komponentit tunnettuja haavoittuvuuksia, kehittäjien pitäisi poistaa käyttämättömiä komponentteja niiden hankkeiden, sekä varmistamaan, että he saavat osia luotettavasta lähteestä ja varmistetaan, että ne ovat ajan tasalla.
10. Riittämätön Kirjaaminen Ja Seuranta
Monet web-sovellukset eivät ota tarpeeksi vaiheet havaita tietoturvaloukkauksia. Rikkomuksen keskimääräinen löytöaika on noin 200 päivää tapahtuneen jälkeen. Tämä antaa hyökkääjille paljon aikaa vahinkojen aiheuttamiseen, ennen kuin asiaan reagoidaan., OWASP suosittelee, että web-kehittäjät pitäisi toteuttaa hakkuut ja seuranta sekä incident response suunnitelmat varmistaa, että he ovat tietoisia hyökkäykset niiden sovelluksia.
enemmän teknisiä ja syvällistä tarkastella OWASP Top 10, katso virallinen raportti .