OWASP Top 10 זיכערהייט ריסקס | איבערבליק
טיש פון קאָנטענץ
וואָס איז OWASP?
OWASP איז אַ נאַן-נוץ אָרגאַניזאַציע דעדאַקייטאַד צו וועב אַפּ זיכערהייט בילדונג.
די OWASP לערנען מאַטעריאַלס זענען צוטריטלעך אויף זייער וועבזייטל. זייער מכשירים זענען נוציק פֿאַר ימפּרוווינג די זיכערהייט פון וועב אַפּלאַקיישאַנז. דאָס כולל דאָקומענטן, מכשירים, ווידיאס און גרופּעס.
די OWASP Top 10 איז אַ רשימה וואָס כיילייץ די שפּיץ זיכערהייט קאַנסערנז פֿאַר וועב אַפּפּס הייַנט. זיי רעקאָמענדירן אַז אַלע קאָמפּאַניעס אַרייַננעמען דעם באַריכט אין זייער פּראַסעסאַז צו שנייַדן זיכערהייט ריסקס. ונטער איז אַ רשימה פון זיכערהייט ריסקס אַרייַנגערעכנט אין די OWASP Top 10 2017 באַריכט.
סקל ינדזשעקשאַן
SQL ינדזשעקשאַן אַקערז ווען אַ אַטאַקער סענדז ינאַפּראָופּרייט דאַטן צו אַ וועב אַפּ צו צעשטערן די פּראָגראַם אין די אַפּלאַקיישאַן.
אַ ביישפּיל פון אַ SQL ינדזשעקשאַן:
דער אַטאַקער קען אַרייַן אַ SQL אָנפֿרעג אין אַן אַרייַנשרייַב פאָרעם וואָס ריקווייערז אַ באַניצער נאָמען קלאָר טעקסט. אויב די אַרייַנשרייַב פאָרעם איז נישט סיקיורד, עס וועט רעזולטאַט אין די דורכפירונג פון אַ SQL אָנפֿרעג. דאס איז ריפערד צו ווי סקל ינדזשעקשאַן.
צו באַשיצן וועב אַפּלאַקיישאַנז פון קאָד ינדזשעקשאַן, מאַכן זיכער אַז דיין דעוועלאָפּערס נוצן אַרייַנשרייַב וואַלאַדיישאַן אויף באַניצער דערלאנגט דאַטן. וואַלאַדיישאַן דאָ רעפערס צו די רידזשעקשאַן פון פאַרקריפּלט ינפּוץ. א דאַטאַבייס פאַרוואַלטער קענען אויך שטעלן קאָנטראָלס צו רעדוצירן די סומע פון ינפאָרמאַציע וואָס קענען זיין דיסקלאָוזד אין אַ ינדזשעקשאַן באַפאַלן.
צו פאַרמייַדן SQL ינדזשעקשאַן, OWASP רעקאַמענדז בעכעסקעם דאַטן באַזונדער פון קאַמאַנדז און קוויריז. די בילכער אָפּציע איז צו נוצן אַ זיכער אַפּי צו פאַרמיידן די נוצן פון אַן יבערזעצער אָדער צו מייגרייט צו אָבדזשעקט ריליישאַנאַל מאַפּינג מכשירים (ORMs).
צעבראכן אָטענטאַקיישאַן
אָטענטאַקיישאַן וואַלנעראַביליטיז קענען לאָזן אַ אַטאַקער צו אַקסעס באַניצער אַקאַונץ און קאָמפּראָמיס אַ סיסטעם ניצן אַ אַדמין חשבון. א סייבער קרימינאַל קענען נוצן אַ שריפט צו פּרובירן טויזנטער פון פּאַראָל קאַמבאַניישאַנז אויף אַ סיסטעם צו זען וואָס אַרבעט. אַמאָל די סייבער קרימינאַל איז אין, זיי קענען שווינדל די אידענטיטעט פון די באַניצער, געבן זיי אַקסעס צו קאַנפאַדענשאַל אינפֿאָרמאַציע.
א צעבראכן אָטענטאַקיישאַן וואַלנעראַביליטי יגזיסץ אין וועב אַפּלאַקיישאַנז וואָס לאָזן אָטאַמייטיד לאָגינס. א פאָלקס וועג צו ריכטיק אָטענטאַקיישאַן וואַלנעראַביליטי איז די נוצן פון מולטי-פאַקטאָר אָטענטאַקיישאַן. אויך, אַ לאָגין קורס שיעור קען זיין אַרייַנגערעכנט אין די וועב אַפּ צו פאַרמייַדן ברוט קראַפט אנפאלן.
סענסיטיוו דאַטאַ ויסשטעלן
אויב וועב אַפּלאַקיישאַנז טאָן ניט באַשיצן שפּירעוודיק אַטאַקערז קענען אַקסעס און נוצן זיי פֿאַר זייער געווינען. אַן אַטאַק אויף-דרך איז אַ פאָלקס אופֿן צו גנבענען שפּירעוודיק אינפֿאָרמאַציע. די ריזיקירן פון ויסשטעלן איז מינימאַל ווען אַלע שפּירעוודיק דאַטן זענען ינקריפּטיד. וועב דעוועלאָפּערס זאָל ענשור אַז קיין שפּירעוודיק דאַטן זענען יקספּאָוזד אין דעם בלעטערער אָדער סטאָרד אַננעסאַסעראַלי.
XML פונדרויסנדיק ענטיטיז (XEE)
א סייבער קרימינאַל קען זיין ביכולת צו צופֿעליקער אָדער אַרייַננעמען בייזע קסמל אינהאַלט, קאַמאַנדז אָדער קאָד אין אַ קסמל דאָקומענט. דאָס אַלאַוז זיי צו זען טעקעס אויף די אַפּלאַקיישאַן סערווער טעקע סיסטעם. אַמאָל זיי האָבן צוטריט, זיי קענען ינטעראַקט מיט די סערווער צו דורכפירן סערווער-זייַט בעטן פאָרדזשערי (SSRF) אנפאלן.
קסמל פונדרויסנדיק ענטיטי אנפאלן קענען זיין פּריווענטיד דורך אַלאַוינג וועב אַפּלאַקיישאַנז צו אָננעמען ווייניקער קאָמפּליצירט דאַטן טייפּס אַזאַ ווי JSON. דיסייבאַלינג XML פונדרויסנדיק ענטיטי פּראַסעסינג אויך ראַדוסאַז די גיכער פון אַן XEE באַפאַלן.
צעבראכן אַקסעס קאָנטראָל
אַקסעס קאָנטראָל איז אַ סיסטעם פּראָטאָקאָל וואָס באַגרענעצט אַנאָטערייזד ניצערס צו שפּירעוודיק אינפֿאָרמאַציע. אויב אַ אַקסעס קאָנטראָל סיסטעם איז צעבראכן, אַטאַקערז קענען בייפּאַס אָטענטאַקיישאַן. דאָס גיט זיי אַקסעס צו שפּירעוודיק אינפֿאָרמאַציע ווי אויב זיי האָבן דערלויבעניש. אַקסעס קאָנטראָל קענען זיין סיקיורד דורך ימפּלאַמענינג דערלויבעניש טאָקענס אויף באַניצער לאָגין. אויף יעדער בעטן אַ באַניצער מאכט בשעת אָטענטאַקייטאַד, די דערלויבעניש סימען מיט דער באַניצער איז וועראַפייד, סיגנאַלינג אַז דער באַניצער איז אָטערייזד צו מאַכן דעם בעטן.
סעקוריטי מיס קאַנפיגיעריישאַן
זיכערהייט מיסקאָנפיגוראַטיאָן איז אַ פּראָסט אַרויסגעבן אַז סיבערסעקוריטי ספּעשאַלאַסץ אָבסערווירן אין וועב אַפּלאַקיישאַנז. דאָס אַקערז ווי אַ רעזולטאַט פון מיסקאַנפיגיערד הטטפּ כעדערז, צעבראכן אַקסעס קאָנטראָלס און די אַרויסווייַזן פון ערראָרס וואָס ויסשטעלן אינפֿאָרמאַציע אין אַ וועב אַפּ. איר קענען פאַרריכטן אַ זיכערהייט מיסקאָנפיגוראַטיאָן דורך רימוווינג אַניוזד פֿעיִקייטן. איר זאָל אויך פּאַטש אָדער אַפּגרייד דיין ווייכווארג פּאַקאַדזשאַז.
קראָססיטע סקריפּטינג (XSS)
XSS וואַלנעראַביליטי אַקערז ווען אַ אַטאַקער מאַניפּיאַלייץ די DOM API פון אַ טראַסטיד וועבזייטל צו ויספירן בייזע קאָד אין אַ באַניצער 'ס בלעטערער. די דורכפירונג פון דעם בייזע קאָד אָפט אַקערז ווען אַ באַניצער קליקס אויף אַ לינק וואָס איז פֿון אַ טראַסטיד וועבזייטל. אויב די וועבזייטל איז נישט פּראָטעקטעד פון XSS וואַלנעראַביליטי, עס קען זיין קאַמפּראַמייזד. די בייזע קאָד אַז איז עקסאַקיוטאַד גיט אַן אַטאַקער אַקסעס צו די באַניצער 'ס לאָגין סעסיע, קרעדיט קאַרטל דעטאַילס און אנדערע שפּירעוודיק דאַטן.
צו פאַרמייַדן קרייַז-פּלאַץ סקריפּטינג (קססס), ענשור אַז דיין HTML איז געזונט סאַניטייזד. This can ווערן דערגרייכט דורך טשוזינג טראַסטיד פראַמעוואָרקס דיפּענדינג אויף די שפּראַך פון ברירה. איר קענט נוצן שפּראַכן ווי .נעט, Ruby on Rails און React JS, ווייַל זיי וועלן העלפֿן צו פּאַרסירן און ריין דיין HTML קאָד. טרעאַטינג אַלע דאַטן פון אָטענטאַקייטאַד אָדער ניט-אָטענטאַקייטאַד ניצערס ווי אַנטראַסטיד קענען רעדוצירן די ריזיקירן פון XSS אנפאלן.
ינסאַקיער דעסעריאַליזאַטיאָן
דעסעריאַליזאַטיאָן איז די טראַנספאָרמאַציע פון סיריאַליזעד דאַטן פון אַ סערווער צו אַ כייפעץ. דעסעריאַליזאַטיאָן פון דאַטן איז אַ פּראָסט געשעעניש אין ווייכווארג אַנטוויקלונג. עס איז אַנסייף ווען דאַטן איז דעסעריאַליזעד פון אַן אַנטראַסט מקור. דאס קען potentially ויסשטעלן דיין אַפּלאַקיישאַן צו אנפאלן. ינסאַקיער דעסעריאַליזיישאַן אַקערז ווען דיסעריאַליזעד דאַטן פון אַן אַנטראַסטיד מקור פירט צו DDOS אנפאלן, ווייַט קאָד דורכפירונג אנפאלן אָדער אָטענטאַקיישאַן בייפּאַסיז.
צו ויסמיידן ינסאַקיער דעסיריאַליזיישאַן, די הערשן פון גראָבער פינגער איז צו קיינמאָל צוטרוי באַניצער דאַטן. יעדער באַניצער אַרייַנשרייַב דאַטן זאָל ווערן באהאנדלט as potentially בייזע. ויסמיידן דיסעריאַליזיישאַן פון דאַטן פֿון אַנטראַסט קוואלן. פאַרזיכערן אַז די דעסיריאַליזיישאַן פונקציאָנירן צו זיין געוויינט אין דיין וועב אַפּלאַקיישאַן איז זיכער.
ניצן קאַמפּאָונאַנץ מיט באַוווסט וואַלנעראַביליטיז
ליבראַריעס און פראַמעוואָרקס האָבן געמאכט עס פיל פאַסטער צו אַנטוויקלען וועב אַפּלאַקיישאַנז אָן דאַרפֿן צו ריינווענט די ראָד. דאָס ראַדוסאַז יבעריקייַט אין קאָד אפשאצונג. זיי ויסברוקירן דעם וועג פֿאַר דעוועלאָפּערס צו פאָקוס אויף מער וויכטיק אַספּעקץ פון אַפּלאַקיישאַנז. אויב אַטאַקערז אַנטדעקן עקספּלויץ אין די פראַמעוואָרקס, יעדער קאָדעבאַסע ניצן די פריימווערק וואָלט זיין קאַמפּראַמייזד.
קאָמפּאָנענט דעוועלאָפּערס אָפט פאָרשלאָגן זיכערהייט פּאַטשאַז און דערהייַנטיקונגען פֿאַר קאָמפּאָנענט לייברעריז. צו ויסמיידן קאָמפּאָנענט וואַלנעראַביליטיז, איר זאָל לערנען צו האַלטן דיין אַפּלאַקיישאַנז דערהייַנטיקט מיט די לעצטע זיכערהייט פּאַטשאַז און אַפּגריידז. אַניוזד קאַמפּאָונאַנץ זאָל ווערן אַוועקגענומען פון די אַפּלאַקיישאַן צו שנייַדן באַפאַלן וועקטאָרס.
ניט גענוגיק לאָגינג און מאָניטאָרינג
לאָגינג און מאָניטאָרינג זענען וויכטיק צו ווייַזן אַקטיוויטעטן אין דיין וועב אַפּלאַקיישאַן. לאָגינג מאכט עס גרינג צו שפּור ערראָרס, מאָניטאָר באַניצער לאָגינס און אַקטיוויטעטן.
ניט גענוגיק לאָגינג און מאָניטאָרינג פאַלן ווען זיכערהייט-קריטיש געשעענישן זענען נישט לאָגד ריכטיק. אַטאַקערז קאַפּיטאַלייז אויף דעם צו דורכפירן אַטאַקס אויף דיין אַפּלאַקיישאַן איידער עס איז קיין באמערקט ענטפער.
לאָגינג קענען העלפֿן דיין פירמע שפּאָרן געלט און צייט ווייַל דיין דעוועלאָפּערס קענען לייכט געפֿינען באַגז. דאָס אַלאַוז זיי צו פאָקוס מער אויף סאַלווינג די באַגז ווי זוכן פֿאַר זיי. אין פאַקט, לאָגינג קענען העלפֿן האַלטן דיין זייטלעך און סערווערס אַרויף און פליסנדיק יעדער מאָל אָן קיין דאַונטיים..
סאָף
גוט קאָד איז נישט פּונקט וועגן פאַנגקשאַנאַליטי, עס ס וועגן בעכעסקעם דיין ניצערס און אַפּלאַקיישאַן זיכער. די OWASP Top 10 איז אַ רשימה פון די מערסט קריטיש אַפּלאַקיישאַן זיכערהייט ריסקס איז אַ גרויס פריי מיטל פֿאַר דעוועלאָפּערס צו שרייַבן זיכער וועב און רירעוודיק אַפּפּס.. טראַינינג דעוועלאָפּערס אויף דיין מאַנשאַפֿט צו אַססעסס און קלאָץ ריסקס קענען שפּאָרן דיין מאַנשאַפֿט צייט און געלט אין די לאַנג לויפן. אויב איר ווילט לערנען מער וועגן ווי צו באַן דיין מאַנשאַפֿט אויף די OWASP Top 10 דריקט דאָ.
