Погледнете топ проекта 10 на OWASP: Защита на вашите уеб приложения

Автор: Roger Morrison
Дата На Създаване: 28 Септември 2021
Дата На Актуализиране: 5 Може 2024
Anonim
Погледнете топ проекта 10 на OWASP: Защита на вашите уеб приложения - Технология
Погледнете топ проекта 10 на OWASP: Защита на вашите уеб приложения - Технология

Съдържание


Източник: Андрей Русанов / Dreamstime.com

За вкъщи:

Според проекта за сигурност на отворените уеб приложения (OWASP) това са най-големите уязвимости на уеб приложенията. Рискувате ли?

Трябва да дадете някакъв кредит на хакерите. Те са настойчиви, креативни и често успешни. Представете си какво биха могли да направят, ако само насочиха усилията си към положителни стремежи. Хакерите ще атакуват мрежовите услуги по всякакъв начин, по който могат. И какъв по-добър начин от удара директно в сърцето на интернет: уеб приложението. Организация, наречена Проект за защита на отворени уеб приложения (OWASP), редовно компилира общи уязвимости на уеб приложения. Те го наричат ​​OWASP Top 10 Project. Следва обобщение на тези подвизи.

A1: 2017 - инжектиране

Може да мислите, че компютрите са интелигентни, но те почти правят това, което им кажете да правят. Ако дадете команда на компютър, можете да разчитате на него, за да се опитате да го изпълните, ако няма нищо, което да го противодейства. И ако някой - някой - плъзне команда някъде, която компютърът разпознава, той ще има всички причини да го изпълни по най-добрия начин. Така хакерите се опитват да намерят начини за инжектиране на команди, където могат. Както казва сайтът OWASP:


„Пропуски в инжектирането, като SQL, NoSQL, OS и LDAP инжектиране, възникват, когато ненадеждни данни се изпращат на преводач като част от команда или заявка.“

Как правят това? Те изпращат команди в изявленията, които въвеждате на екрана. Три типа инжекции са несанитизиран вход, сляпо SQL инжектиране и инжектиране на базата на грешки.

Техническият автор Джоузеф Кокс нарича SQL инжектирането „най-лесният начин за хакване“ и „заплаха номер едно за уебсайтовете“.

A2: 2017 - Счупена автентификация

Всички сме чували истории за компрометиране на пароли. Потребителските идентификационни номера и паролите се използват за удостоверяване в повечето приложения. Счупеното удостоверяване се случва, когато хакер прихваща идентификационния номер и паролата на потребителя или идентификационния номер на сесията, който се създава, когато потребителят влезе. Има много начини да направите това.

OWASP изброява общи методи за този хак и те предлагат примери и начини за предотвратяването му. Тези подвизи се възползват от такива слабости като некриптирани връзки, слаби пароли и идентификационни номера на сесията, които не изтичат. Оставянето на администратора по подразбиране като администратор / администратор е аматьорска грешка, но това се случва. И кой би използвал думата „парола“ като своя парола? Изборът на трудна парола е интелигентен избор. Паролите, които са незашифровани, независимо дали по време на влизане или когато се съхраняват, предизвикват проблеми. (За повече информация относно паролите, вижте Проста защита: Промяна на изискванията за парола по-лесно за потребителите.)


Използването на многофакторна автентификация е един от начините за предотвратяване на тази уязвимост. Администраторите също трябва да ограничат неуспешните опити за влизане и да се уверят, че идентификационният номер на сесията не се вижда в URL адреса.

Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви

Не можете да подобрите уменията си за програмиране, когато никой не се интересува от качеството на софтуера.

A3: 2017 - Чувствително излагане на данни

Виждате го непрекъснато в новините: още едно нарушение на сигурността! Съхранените номера на кредитни карти и други поверителни данни се съхраняват в бази данни от компании за уеб услуги. Но хакерите са умни - и упорити. Според EE Online „слаб шифър се дефинира като алгоритъм за криптиране / декриптиране, който използва ключ с недостатъчна дължина.“ Слабите шифри улесняват пропукването на криптирането. И те могат да бъдат използвани от хакерите като заден план към вашата база данни. С непринудена TLS или слабо криптиране, уебсайтът ви може да бъде понижен от HTTPS до HTTP, което позволява на лошите хора да влязат.

Номерата на кредитните карти, които се дешифрират след извличането, стават добре дошли за уеб атаки. Същото важи за всички чувствителни данни, съхранявани на уеб сървъри. Според OWASP криптирането на всички чувствителни данни, независимо дали се съхраняват или са в транзит, е един от начините да се предотврати този хак. Правилната класификация на поверителната информация е от съществено значение за борбата с тази уязвимост.

A4: 2017 - XML ​​външни единици (XXE)

Както обяснява W3 Schools, XML е проектиран да носи данни. Тя означава eXtensible Markup Language. Уеб приложения анализират XML данни, съхранявани на уеб сървърите. Entity е термин за програмиране, който се отнася до „всеки един единствен, идентифицируем и отделен обект.“ Външно образувание би било обект, който съществува извън сървъра.

Проблемът с тази уязвимост е в анализа. Джон Уагън от F5 обяснява, че лош човек може да въведе злонамерен код, за да подмами уеб приложението си да прави нещо, което не трябва. „Ако XML анализаторът не е конфигуриран правилно“, казва той, „тогава ще изпълним тази команда и ще разлеете всички тези данни - и това не е добро.“ XXE се възползва от XML парсерите, за да обработва лоши данни.

Съветите за превенция от OWASP включват:

  • Използвайте по-малко сложни формати на данни.
  • Patch или ъпгрейд на XML процесори или библиотеки.
  • Деактивиране на XML обработка на външно образувание.
  • Използвайте валидиране на XML схема (XSD).

A5: 2017 - прекъснат контрол на достъпа

Достъпът не е същото като удостоверяването. Можете да влезете в уебсайт чрез удостоверяване, но след това ще имате достъп само до онези услуги, за които имате разрешения. Администраторите имат много по-големи разрешения от нормалните потребители. Повишаването на привилегията на потребителите е в основата на този хак.

Веднъж удостоверени, потребителите са ограничени чрез проверки за контрол на достъпа. Хакерите търсят начини да заобиколят тези проверки чрез промяна на URL адреса или по някакъв друг начин. За да предотврати тази атака, Wagnon препоръчва много ръчно тестване на текущия ви контрол на достъп. Когато нормалните потребители имат достъп до ресурси, предназначени само за потребители с повече привилегии, това означава, че имате нарушен контрол на достъпа. OWASP казва, че можете да се справите с това, като отказвате достъп по подразбиране, налагане на собственост върху записа и регистриране и докладване на грешки в достъпа.

A6: 2017 - Неправилна конфигурация

Втвърдяването на вашия сървър е ключът към защитата от злонамерени атаки и поддържането му онлайн. Но трябва да се направи по правилния начин. Липсата на неща или добавянето на ненужни функции може да направи приложението ви уязвимо. Сценарий №1 от OWASP е свързан със сървър на приложения, който се предлага с примерни приложения, които не са премахнати в производството. И в този сценарий примерните приложения имат известни недостатъци. Правилното закаляване на сървъра би уловило подобни неща.

За да предотвратите неправилно конфигуриране на сигурността, трябва да заключите вашия сървър. Във всеки сървър има много битове и парчета, а стандартните инсталации често се предлагат с много екстри, които не са ви необходими. Тези функции по подразбиране могат да ви създадат проблеми. Както казва Wagnon, „Не използвайте онова, което не ви е необходимо.“ OWASP препоръчва „минимална платформа без излишни функции, компоненти, документация и образци.“ И трябва редовно да преглеждате и актуализирате конфигурациите за сигурност на вашия уеб сървър. За това трябва да използвате повтарящи се процеси на втвърдяване.

A7: 2017 - Сценарии за различни сайтове (XSS)

Ние въвеждаме данни в уебсайтове през цялото време. Скрипт на различни сайтове (XSS) възниква, когато нападател инжектира собствения си код в уеб страница, за да извлече чувствителна информация от базата данни на сайта. HTML страница, която позволява въвеждането на скриптове в такива полета, като полета за коментари, се отваря за всички видове проблеми. Нападателят може да инжектира код между да дава команди на сървъра. OWASP нарича XSS втория най-разпространен проблем в топ 10 на OWASP.

Проблемът тук е инжектирането на недоверчиви данни. Това трябва да бъде отделено от активното съдържание на браузъра. „Бягството“ е ключът към превенцията. Това означава да се уверите, че инжектираният код не се изпълнява. Вижте „XSS (Cross Site Scripting) Prevention Cheat Sheet“, за да научите повече за избягването на недоверие. (За да научите за уеб разработката, разгледайте 10 неща, които всеки съвременен уеб програмист трябва да знае.)

A8: 2017 - Несигурна десериализация

Сериализацията е свързана с преобразуването на информацията за състоянието на обекта в двоична форма или форма. Това е програма за разговори за въвеждане на някаква единица код в поток от данни, така че тя да може да се предава по мрежа и да излезе някак в същото състояние. Десериализацията се случва, когато обектът се трансформира от байтов поток обратно в обект. Несигурната десериализация нарушава този процес.

Това е форма на подправяне на данни. Може би се използва същата структура на данните, но съдържанието е променено. Ненадеждните данни от нападател променят байтовия поток. Един пример от OWASP е на хакер, който променя PHP сериализиран обект, за да си даде администраторски привилегии. Отговорите на този хак включват цифров подпис и мониторинг на десериализацията.

A9: 2017 - Използване на компоненти с известни уязвимости

Този проблем е сравнително сам по себе си. Неподдържаният остарял софтуер е особено уязвим. В този случай невежеството не е блаженство. Мениджърите на информационната сигурност трябва да бъдат в крак с най-новите информационни бюлетини, лепенки и надстройки. OWASP препоръчва непрекъсната инвентаризация на версиите на софтуера и наблюдение на библиотеките и софтуерните компоненти. И го обобщават добре:

„Всяка организация трябва да гарантира, че съществува текущ план за наблюдение, триаж и прилагане на актуализации или промени в конфигурацията за целия живот на приложението или портфолиото.“

A10: 2017 - Недостатъчна сеч и мониторинг

Според OWASP „Експлоатацията на недостатъчна сеч и мониторинг е основата на почти всеки голям инцидент.“ Всяка ИТ система трябва да има система за регистриране на събития. Независимо дали е мрежово устройство или сървър за данни, трябва да има запис кога нещата се объркват. Ако входът на потребителя не успее, той трябва да бъде в дневниците. Ако дадена програма не работи, системата ви трябва да я запише. Ако някой хардуерен компонент спре да работи, той трябва да бъде регистриран.

Всяко значително събитие трябва да бъде регистрирано. Ако се чудите какво може да отговаря на изискванията, можете да разгледате „Дневник на измамите“ на OWASP. Подобно на мрежовите аларми, тези събития могат да бъдат записани, когато бъде достигнат определен праг. Тези прагове могат да бъдат коригирани според нуждите.

Но дневниците и алармите не означават нищо, ако те не се наблюдават. Това може да бъде чрез проактивна автоматизация или човешко наблюдение. С правилната регистрация и наблюдение ИТ персоналът може да реагира навреме на въпроси.

заключение

Тук сме обхванали доста материал. Но има още много да научим. За да проучим допълнително, разгледайте източниците, от които проведохме нашето изследване. Видеоклиповете от John Wagnon от F5 DevCentral са чудесен ресурс, за което сме благодарни. И OWASP има PDF документ, който подробно обхваща всички тези подвизи. Това проучване може да е много работа, но не забравяйте, че и хакерите работят извънредно.