OWASP 10 principals riscos de seguretat | Visió general
Taula de continguts
Què és OWASP?
OWASP és una organització sense ànim de lucre dedicada a l'educació en seguretat d'aplicacions web.
Els materials d'aprenentatge de l'OWASP són accessibles al seu lloc web. Les seves eines són útils per millorar la seguretat de les aplicacions web. Això inclou documents, eines, vídeos i fòrums.
L'OWASP Top 10 és una llista que destaca les principals preocupacions de seguretat per a les aplicacions web actuals. Recomanen que totes les empreses incloguin aquest informe en els seus processos per reduir els riscos de seguretat. A continuació es mostra una llista dels riscos de seguretat inclosos a l'informe OWASP Top 10 2017.
Injecció SQL
La injecció d'SQL es produeix quan un atacant envia dades inadequades a una aplicació web per interrompre el programa de l'aplicació..
Un exemple d'injecció SQL:
L'atacant podria introduir una consulta SQL en un formulari d'entrada que requereixi un nom d'usuari text sense format. Si el formulari d'entrada no està assegurat, donarà lloc a l'execució d'una consulta SQL. Això és referit com a injecció SQL.
Per protegir les aplicacions web de la injecció de codi, assegureu-vos que els vostres desenvolupadors utilitzen la validació d'entrada a les dades enviades per l'usuari. La validació aquí es refereix al rebuig d'entrades no vàlides. Un gestor de bases de dades també pot establir controls per reduir-ne la quantitat informació que pot ser divulgat en un atac d'injecció.
Per evitar la injecció SQL, OWASP recomana mantenir les dades separades de les ordres i consultes. L'opció preferible és utilitzar un segur API per evitar l'ús d'un intèrpret o per migrar a les eines de mapeig relacional d'objectes (ORM).
Autenticació trencada
Les vulnerabilitats d'autenticació poden permetre a un atacant accedir als comptes d'usuari i comprometre un sistema mitjançant un compte d'administrador. Un cibercriminal pot utilitzar un script per provar milers de combinacions de contrasenyes en un sistema per veure quina funciona. Un cop el ciberdelinqüent es troba dins, poden falsificar la identitat de l'usuari, donant-li accés a informació confidencial..
Hi ha una vulnerabilitat d'autenticació trencada a les aplicacions web que permeten inicis de sessió automatitzats. Una manera popular de corregir la vulnerabilitat de l'autenticació és l'ús de l'autenticació multifactorial. A més, un límit de taxa d'inici de sessió podria estar inclòs a l'aplicació web per evitar atacs de força bruta.
Exposició de dades sensibles
Si les aplicacions web no protegeixen els atacants sensibles poden accedir-hi i utilitzar-les per obtenir-ne benefici. Un atac al camí és un mètode popular per robar informació sensible. El risc d'exposició a la llauna és mínim quan totes les dades sensibles estan xifrades. Els desenvolupadors web s'han d'assegurar que no s'exposi cap dada sensible al navegador ni s'emmagatzemi innecessàriament.
Entitats externes XML (XEE)
Un cibercriminal pot carregar o incloure contingut XML maliciós, ordres o codi dins d'un document XML. Això els permet veure fitxers al sistema de fitxers del servidor d'aplicacions. Un cop tinguin accés, poden interactuar amb el servidor per dur a terme atacs de falsificació de sol·licituds del servidor (SSRF)..
Els atacs d'entitats externes XML poden ser prevenida per permetent que les aplicacions web acceptin tipus de dades menys complexos, com ara JSON. La desactivació del processament d'entitats externes XML també redueix les possibilitats d'un atac XEE.
Control d'accés trencat
El control d'accés és un protocol del sistema que restringeix els usuaris no autoritzats a informació sensible. Si un sistema de control d'accés està trencat, els atacants poden evitar l'autenticació. Això els dóna accés a informació sensible com si tinguessin autorització. El control d'accés es pot assegurar mitjançant la implementació de fitxes d'autorització a l'inici de sessió de l'usuari. A cada sol·licitud que fa un usuari mentre està autenticat, es verifica el testimoni d'autorització amb l'usuari, que indica que l'usuari està autoritzat per fer aquesta sol·licitud.
Configuració incorrecta de seguretat
La configuració incorrecta de seguretat és un problema comú seguretat cibernètica els especialistes observen en aplicacions web. Això es produeix com a resultat de les capçaleres HTTP mal configurades, els controls d'accés trencats i la visualització d'errors que exposen informació en una aplicació web.. Podeu corregir una configuració incorrecta de seguretat eliminant les funcions no utilitzades. També hauríeu de pegar o actualitzar els vostres paquets de programari.
Scripts entre llocs (XSS)
La vulnerabilitat XSS es produeix quan un atacant manipula l'API DOM d'un lloc web de confiança per executar codi maliciós al navegador d'un usuari.. L'execució d'aquest codi maliciós sovint es produeix quan un usuari fa clic en un enllaç que sembla provenir d'un lloc web de confiança.. Si el lloc web no està protegit de la vulnerabilitat XSS, sí estar compromesa. El codi maliciós que s'executa ofereix a un atacant accés a la sessió d'inici de sessió dels usuaris, als detalls de la targeta de crèdit i a altres dades sensibles.
Per evitar Cross-site Scripting (XSS), assegureu-vos que el vostre HTML estigui ben desinfectat. Això pot ser aconseguit per triar marcs de confiança en funció de l'idioma escollit. Podeu utilitzar idiomes com .Net, Ruby on Rails i React JS perquè us ajudaran a analitzar i netejar el vostre codi HTML. Tractar totes les dades d'usuaris autenticats o no autenticats com a no fiables pot reduir el risc d'atacs XSS.
Deserialització insegura
La deserialització és la transformació de dades serialitzades d'un servidor a un objecte. La deserialització de dades és un fet habitual en el desenvolupament de programari. No és segur quan les dades està deserialitzat d'una font no fiable. Això pot potencialment exposa la teva aplicació a atacs. La deserialització insegura es produeix quan les dades deserialitzades d'una font no fiable condueixen a atacs DDOS, atacs d'execució de codi remota o ignoracions d'autenticació..
Per evitar la deserialització insegura, la regla general és no confiar mai en les dades dels usuaris. Cada usuari introdueix les dades ser tractat as potencialment maliciós. Eviteu la deserialització de dades de fonts no fiables. Assegureu-vos que la funció de deserialització s'utilitza a la vostra aplicació web és segur.
Ús de components amb vulnerabilitats conegudes
Les biblioteques i els marcs han fet que sigui molt més ràpid desenvolupar aplicacions web sense necessitat de reinventar la roda. Això redueix la redundància en l'avaluació del codi. Obrin el camí perquè els desenvolupadors se centren en aspectes més importants de les aplicacions. Si els atacants descobreixen exploits en aquests marcs, totes les bases de codi que utilitzin el marc ho farien estar compromesa.
Els desenvolupadors de components sovint ofereixen pedaços i actualitzacions de seguretat per a les biblioteques de components. Per evitar vulnerabilitats dels components, hauríeu d'aprendre a mantenir les vostres aplicacions actualitzades amb els darrers pedaços i actualitzacions de seguretat.. Els components no utilitzats haurien de ser ser eliminat de l'aplicació per tallar vectors d'atac.
Registre i seguiment insuficients
El registre i el seguiment són importants per mostrar activitats a la vostra aplicació web. El registre facilita el seguiment dels errors, controlar inicis de sessió dels usuaris i activitats.
Es produeix un registre i una supervisió insuficients quan els esdeveniments crítics per a la seguretat no es registren correctament. Els atacants aprofiten això per dur a terme atacs a la vostra aplicació abans que hi hagi cap resposta notable.
El registre pot ajudar a la vostra empresa a estalviar diners i temps perquè els vostres desenvolupadors ho poden fer fàcilment trobar errors. Això els permet centrar-se més a resoldre els errors que a buscar-los. En efecte, el registre pot ajudar a mantenir els vostres llocs i servidors en funcionament cada vegada sense que experimentin cap temps d'inactivitat.
Conclusió
El bon codi no ho és només sobre la funcionalitat, es tracta de mantenir els usuaris i les aplicacions segurs. L'OWASP Top 10 és una llista dels riscos de seguretat de les aplicacions més crítics és un gran recurs gratuït perquè els desenvolupadors escriguin aplicacions web i mòbils segures. Formar desenvolupadors del vostre equip per avaluar i registrar riscos pot estalviar temps i diners al vostre equip a la llarga. Si voleu obteniu més informació sobre com entrenar el vostre equip al Top 10 de l'OWASP, feu clic aquí.
