OWASP Top 10 Təhlükəsizlik Riskləri | Ümumi baxış
Mündəricat
OWASP nədir?
OWASP veb tətbiqi təhlükəsizliyi təhsilinə həsr olunmuş qeyri-kommersiya təşkilatıdır.
OWASP təlim materialları onların veb saytından əldə edilə bilər. Onların alətləri veb proqramların təhlükəsizliyini artırmaq üçün faydalıdır. Buraya sənədlər, alətlər, videolar və forumlar daxildir.
OWASP Top 10, bu gün veb proqramlar üçün əsas təhlükəsizlik problemlərini vurğulayan siyahıdır. Onlar bütün şirkətlərə təhlükəsizlik risklərini azaltmaq üçün bu hesabatı öz proseslərinə daxil etməyi tövsiyə edirlər. Aşağıda OWASP Top 10 2017 hesabatına daxil edilmiş təhlükəsizlik risklərinin siyahısı verilmişdir.
SQL Injection
SQL inyeksiyası təcavüzkar proqramdakı proqramı pozmaq üçün veb tətbiqinə uyğun olmayan məlumatlar göndərdikdə baş verir..
SQL injection nümunəsi:
Təcavüzkar istifadəçi adı açıq mətn tələb edən giriş formasına SQL sorğusunu daxil edə bilər. Əgər daxiletmə forması qorunmursa, bu, SQL sorğusunun icrası ilə nəticələnəcək. Bu istinad edilir SQL inyeksiyası kimi.
Veb tətbiqlərini kod inyeksiyasından qorumaq üçün tərtibatçılarınızın istifadəçi tərəfindən təqdim olunan datada giriş yoxlamasından istifadə etdiyinə əmin olun.. Burada doğrulama etibarsız daxiletmələrin rədd edilməsinə aiddir. Verilənlər bazası meneceri həmçinin məbləği azaltmaq üçün nəzarətləri təyin edə bilər məlumat edə bilər açıqlansın enjeksiyon hücumunda.
SQL inyeksiyasının qarşısını almaq üçün OWASP verilənləri əmrlərdən və sorğulardan ayrı saxlamağı tövsiyə edir. Ən yaxşı seçim təhlükəsiz istifadə etməkdir API tərcüməçinin istifadəsinin qarşısını almaq və ya Obyekt Əlaqəli Xəritəçəkmə Alətlərinə (ORMs) köçmək üçün.
Qırılmış Doğrulama
Doğrulama boşluqları təcavüzkarın istifadəçi hesablarına daxil olmasına və idarəetmə hesabından istifadə edərək sistemi ələ keçirməsinə icazə verə bilər.. Kibercinayətkar hansının işlədiyini görmək üçün sistemdə minlərlə parol birləşməsini sınamaq üçün skriptdən istifadə edə bilər.. Kibercinayətkar içəri daxil olduqdan sonra istifadəçinin şəxsiyyətini saxtalaşdıra, onlara məxfi məlumatlara giriş imkanı verə bilər..
Avtomatlaşdırılmış girişlərə icazə verən veb proqramlarda pozulmuş autentifikasiya zəifliyi mövcuddur. İdentifikasiya zəifliyini düzəltməyin məşhur yolu çoxfaktorlu autentifikasiyanın istifadəsidir. Həmçinin, giriş dərəcəsi limiti ola bilər daxil olunsun kobud güc hücumlarının qarşısını almaq üçün veb tətbiqində.
Həssas Məlumatlara məruz qalma
Veb proqramları qorumursa, həssas təcavüzkarlar onlara daxil ola və öz mənfəətləri üçün istifadə edə bilərlər. Yolda hücum həssas məlumatları oğurlamaq üçün məşhur bir üsuldur. Bütün həssas məlumatlar şifrələndikdə məruz qalma riski minimal ola bilər. Veb tərtibatçıları heç bir həssas məlumatın brauzerdə ifşa edilməməsini və ya lazımsız yerə saxlanmamasını təmin etməlidirlər.
XML Xarici Təşkilatları (XEE)
Kibercinayətkar XML sənədinə zərərli XML məzmunu, əmrləri və ya kodu yükləyə və ya daxil edə bilər. Bu, onlara proqram serverinin fayl sistemindəki fayllara baxmaq imkanı verir. Onlar giriş əldə etdikdən sonra server tərəfi sorğu saxtakarlığı (SSRF) hücumlarını həyata keçirmək üçün serverlə əlaqə saxlaya bilərlər.
XML xarici varlıq hücumları edə bilər tərəfindən qarşısı alınmalıdır veb tətbiqlərinə JSON kimi daha az mürəkkəb məlumat növlərini qəbul etməyə imkan verir. XML xarici obyekt emalını söndürmək də XEE hücumu şansını azaldır.
Sınıq Giriş İdarəsi
Giriş nəzarəti icazəsiz istifadəçiləri həssas məlumatlarla məhdudlaşdıran bir sistem protokoludur. Girişə nəzarət sistemi pozulursa, təcavüzkarlar autentifikasiyadan yan keçə bilərlər. Bu, onlara səlahiyyətləri varmış kimi həssas məlumatlara giriş imkanı verir. Girişə Nəzarət istifadəçi girişində avtorizasiya nişanlarının tətbiqi ilə təmin edilə bilər. İstifadəçinin autentifikasiya zamanı etdiyi hər sorğuda istifadəçi ilə avtorizasiya nişanı yoxlanılır və istifadəçinin həmin sorğunu etmək səlahiyyətinin olduğunu bildirir.
Təhlükəsizlik səhv konfiqurasiya
Təhlükəsizlik səhv konfiqurasiyası ümumi bir problemdir kibertəhlükəsizlik mütəxəssislər veb proqramlarda müşahidə edirlər. Bu, yanlış konfiqurasiya edilmiş HTTP başlıqları, pozulmuş giriş nəzarətləri və veb tətbiqində məlumatı ifşa edən xətaların göstərilməsi nəticəsində baş verir.. İstifadə olunmamış funksiyaları silməklə Təhlükəsizlik Yanlış Konfiqurasiyasını düzəldə bilərsiniz. Siz həmçinin proqram paketlərinizi yeniləməli və ya təkmilləşdirməlisiniz.
Saytlararası skript (XSS)
XSS zəifliyi təcavüzkar istifadəçinin brauzerində zərərli kodu icra etmək üçün etibarlı vebsaytın DOM API-ni manipulyasiya etdikdə baş verir.. Bu zərərli kodun icrası tez-tez istifadəçi etibarlı veb-saytdan görünən linki kliklədikdə baş verir.. Əgər veb-sayt XSS zəifliyindən qorunmursa, ola bilər güzəştə getmək. Zərərli kod icra olunur təcavüzkarın istifadəçilərin giriş sessiyasına, kredit kartı məlumatlarına və digər həssas məlumatlarına giriş imkanı verir.
Saytlararası Skriptin (XSS) qarşısını almaq üçün HTML-nizin yaxşı təmizləndiyinə əmin olun. Bu edə bilər ilə nail olmaq seçdiyiniz dildən asılı olaraq etibarlı çərçivələrin seçilməsi. HTML kodunuzu təhlil etmək və təmizləmək üçün .Net, Ruby on Rails və React JS kimi dillərdən istifadə edə bilərsiniz. Doğrulanmış və ya təsdiqlənməmiş istifadəçilərin bütün məlumatlarını etibarsız hesab etmək XSS hücumları riskini azalda bilər..
Təhlükəsiz Serializasiya
Deserializasiya seriallaşdırılmış verilənlərin serverdən obyektə çevrilməsidir. Məlumatların seriyadan çıxarılması proqram təminatının hazırlanmasında adi haldır. Verilən zaman təhlükəlidir sıradan çıxarılır etibarsız mənbədən. Bu olar potensial olaraq tətbiqinizi hücumlara məruz qoyun. Etibarsız mənbədən seriyasızlaşdırılmış məlumat DDOS hücumlarına, uzaqdan kod icrası hücumlarına və ya autentifikasiyadan yan keçmələrə səbəb olduqda etibarlı olmayan seriyasızlaşdırma baş verir..
Təhlükəsiz seriyasızlaşdırmanın qarşısını almaq üçün əsas qayda istifadəçi məlumatlarına heç vaxt etibar etməməkdir. Hər bir istifadəçi məlumatı daxil etməlidir müalicə olunsun as potensial olaraq pis niyyətli. Etibarsız mənbələrdən verilənlərin seriyadan çıxarılmasından çəkinin. Seriyadan çıxarmanın funksiyasını yerinə yetirdiyinə əmin olun istifadə olunmaq veb tətbiqinizdə təhlükəsizdir.
Məlum Zəiflikləri Olan Komponentlərdən İstifadə
Kitabxanalar və Çərçivələr təkəri yenidən ixtira etmədən veb proqramların hazırlanmasını daha sürətli etdi. Bu, kod qiymətləndirməsində artıqlığı azaldır. Onlar tərtibatçıların tətbiqlərin daha vacib aspektlərinə diqqət yetirmələrinə yol açır. Təcavüzkarlar bu çərçivələrdə istismarlar aşkar edərlərsə, çərçivədən istifadə edən hər bir kod bazası olardı güzəştə getmək.
Komponent tərtibatçıları tez-tez komponent kitabxanaları üçün təhlükəsizlik yamaları və yeniləmələri təklif edirlər. Komponent zəifliklərinin qarşısını almaq üçün tətbiqlərinizi ən son təhlükəsizlik yamaları və təkmilləşdirmələri ilə güncəl saxlamağı öyrənməlisiniz.. İstifadə edilməmiş komponentlər olmalıdır silinəcək hücum vektorlarını kəsmək üçün tətbiqdən.
Qeyri-kafi Logging və Monitorinq
Giriş və monitorinq veb tətbiqinizdə fəaliyyət göstərmək üçün vacibdir. Logging səhvləri izləməyi asanlaşdırır, nəzarət istifadəçi girişləri və fəaliyyətləri.
Təhlükəsizlik baxımından kritik hadisələr qeydə alınmadıqda kifayət qədər qeydiyyat və monitorinq baş verir düzgündür. Hücumçular hər hansı nəzərə çarpan cavab gəlməmişdən əvvəl tətbiqinizə hücum etmək üçün bundan istifadə edirlər.
Giriş şirkətinizə pul və vaxta qənaət etməyə kömək edə bilər, çünki tərtibatçılarınız edə bilər asanlıqla səhvləri tapın. Bu, onlara səhvləri axtarmaqdan daha çox onların həllinə diqqət yetirməyə imkan verir. Əslində, giriş saytlarınızı və serverlərinizi hər hansı bir fasilə yaşamadan hər dəfə işlək vəziyyətdə saxlamağa kömək edə bilər.
Nəticə
Yaxşı kod deyil yalnız funksionallıq haqqında, bu, istifadəçilərinizi və tətbiqinizi təhlükəsiz saxlamaqdır. OWASP Top 10 ən kritik proqram təhlükəsizliyi risklərinin siyahısıdır, tərtibatçılar üçün təhlükəsiz veb və mobil proqramlar yazmaq üçün əla pulsuz mənbədir.. Riskləri qiymətləndirmək və qeyd etmək üçün komandanızda tərtibatçılara təlim vermək uzun müddətdə komandanızın vaxtına və puluna qənaət edə bilər. İstəsəniz OWASP Top 10-da komandanızı necə yetişdirmək barədə daha çox məlumat əldə edin bura klikləyin.
