Ang OWASP Top 10 nga Mga Risgo sa Seguridad | Overview
Kaundan
Unsa ang OWASP?
Ang OWASP usa ka non-profit nga organisasyon nga gipahinungod sa edukasyon sa seguridad sa web app.
Ang mga materyales sa pagkat-on sa OWASP ma-access sa ilang website. Ang ilang mga himan mapuslanon alang sa pagpalambo sa seguridad sa mga aplikasyon sa web. Naglakip kini sa mga dokumento, himan, video, ug mga forum.
Ang OWASP Top 10 usa ka lista nga nagpasiugda sa mga nag-unang kabalaka sa seguridad alang sa mga web apps karon. Girekomenda nila nga ang tanan nga mga kompanya ilakip kini nga taho sa ilang mga proseso aron maputol ang mga peligro sa seguridad. Sa ubos usa ka lista sa mga peligro sa seguridad nga gilakip sa OWASP Top 10 2017 nga taho.
SQL Injection
Ang SQL injection mahitabo kung ang tig-atake nagpadala sa dili angay nga datos sa usa ka web app aron makabalda sa programa sa aplikasyon.
Usa ka pananglitan sa usa ka SQL Injection:
Ang tig-atake mahimong mosulod sa SQL query ngadto sa usa ka input form nga nagkinahanglan og username plaintext. Kung ang input nga porma dili masiguro, kini moresulta sa pagpatuman sa usa ka SQL nga pangutana. Kini gipunting ingon nga SQL injection.
Aron mapanalipdan ang mga aplikasyon sa web gikan sa pag-injection sa code, siguroha nga ang imong mga developers mogamit sa input validation sa data nga gisumite sa user. Ang validation dinhi nagtumong sa pagsalikway sa dili balido nga mga input. Ang usa ka database manager mahimo usab nga magbutang mga kontrol aron makunhuran ang kantidad sa impormasyon nga mahimo ibutyag sa pag-atake sa indeyksiyon.
Aron mapugngan ang SQL injection, girekomenda sa OWASP ang pagtipig sa datos nga lahi sa mga mando ug pangutana. Ang labing maayo nga kapilian mao ang paggamit sa usa ka luwas API aron mapugngan ang paggamit sa usa ka tighubad, o sa pagbalhin ngadto sa Object Relational Mapping Tools (ORMs).
Naguba nga Pagpamatuod
Ang mga kahuyangan sa pag-authenticate mahimong magtugot sa usa ka tig-atake nga maka-access sa mga account sa gumagamit ug makompromiso ang usa ka sistema gamit ang usa ka admin account. Ang usa ka cybercriminal mahimong mogamit usa ka script aron sulayan ang libu-libo nga mga kombinasyon sa password sa usa ka sistema aron makita kung unsa ang molihok. Kung naa na ang cybercriminal, mahimo nilang peke ang identidad sa tiggamit, nga hatagan sila og access sa kompidensyal nga kasayuran.
Ang usa ka guba nga pagkahuyang sa pag-authenticate anaa sa mga aplikasyon sa web nga nagtugot sa mga awtomatikong pag-login. Usa ka popular nga paagi aron matul-id ang kahuyangan sa pag-authenticate mao ang paggamit sa multifactor authentication. Usab, ang limitasyon sa rate sa pag-login mahimo iapil sa web app aron mapugngan ang mga pag-atake sa brute force.
Sensitibo nga Data Exposure
Kung ang mga aplikasyon sa web dili manalipod sa sensitibo nga mga tig-atake mahimong maka-access ug magamit kini alang sa ilang ganansya. Ang on-path attack maoy usa ka popular nga pamaagi sa pagpangawat sa sensitibong impormasyon. Ang peligro sa pagkaladlad gamay ra kung ang tanan nga sensitibo nga datos na-encrypt. Kinahanglang sigurohon sa mga tig-develop sa web nga walay sensitibo nga datos ang mabutyag sa browser o gitipigan nga wala kinahanglana.
XML External Entities (XEE)
Ang usa ka cybercriminal mahimong maka-upload o makaapil sa malisyosong XML nga sulod, mga sugo, o code sulod sa usa ka XML nga dokumento. Kini nagtugot kanila sa pagtan-aw sa mga file sa application server file system. Kung naa na silay access, mahimo na silang makig-interact sa server para magbuhat ug server-side request forgery (SSRF) attacks.
Ang mga pag-atake sa XML external entity mahimo mapugngan sa pagtugot sa mga aplikasyon sa web sa pagdawat sa dili kaayo komplikado nga mga tipo sa datos sama sa JSON. Ang pag-disable sa XML external entity processing makapamenos usab sa kahigayonan sa pag-atake sa XEE.
Naguba nga Pagkontrol sa Pag-access
Ang kontrol sa pag-access usa ka protocol sa sistema nga nagpugong sa mga dili awtorisado nga tiggamit sa sensitibo nga kasayuran. Kung ang usa ka sistema sa pagkontrol sa pag-access nabuak, ang mga tig-atake mahimong makalikay sa pag-authenticate. Kini naghatag kanila og access sa sensitibo nga impormasyon nga daw sila adunay pagtugot. Ang Pagkontrol sa Pag-access mahimong masiguro pinaagi sa pagpatuman sa mga token sa pagtugot sa pag-login sa gumagamit. Sa matag hangyo nga gihimo sa usa ka tiggamit samtang gipamatud-an, ang timaan sa pagtugot sa tiggamit gipamatud-an, nga nagtimaan nga gitugotan ang tiggamit sa paghimo sa kana nga hangyo.
Sayup nga pag-configure sa Security
Ang sayop nga pag-configure sa seguridad usa ka kasagaran nga isyu nga Cybersecurity ang mga espesyalista nag-obserbar sa mga aplikasyon sa web. Nahitabo kini tungod sa sayop nga pag-configure sa mga header sa HTTP, guba nga mga kontrol sa pag-access, ug pagpakita sa mga sayup nga nagpadayag sa impormasyon sa usa ka web app.. Mahimo nimong matul-id ang usa ka Misconfiguration sa Seguridad pinaagi sa pagtangtang sa wala magamit nga mga bahin. Kinahanglan usab nimo nga i-patch o i-upgrade ang imong mga pakete sa software.
Scripts sa Cross-Site (XSS)
Ang pagkahuyang sa XSS mahitabo kung ang usa ka tig-atake nagmaniobra sa DOM API sa usa ka kasaligan nga website aron ipatuman ang malisyosong code sa browser sa usa ka user. Ang pagpatuman niining malisyoso nga code kasagaran mahitabo kung ang usa ka user mag-klik sa usa ka link nga makita nga gikan sa usa ka kasaligan nga website. Kung ang website dili mapanalipdan gikan sa pagkahuyang sa XSS, mahimo kini makompromiso. Ang malicious code nga gipatuman naghatag ug access sa tig-atake sa sesyon sa pag-login sa mga tiggamit, mga detalye sa credit card, ug uban pang sensitibong datos.
Aron mapugngan ang Cross-site Scripting (XSS), siguruha nga ang imong HTML maayo nga sanitized. Mahimo kini makab-ot pinaagi sa pagpili sa kasaligan nga mga gambalay depende sa pinulongan nga gipili. Mahimo nimong gamiton ang mga pinulongan sama sa .Net, Ruby on Rails, ug React JS kay makatabang sila sa pag-parse ug paglimpyo sa imong HTML code. Ang pagtratar sa tanang datos gikan sa mga authenticated o non-authenticated nga mga tiggamit ingon nga dili kasaligan makapakunhod sa risgo sa mga pag-atake sa XSS.
Dili Seguridad nga Deseryalisasyon
Ang deserialization mao ang pagbag-o sa serialized data gikan sa usa ka server ngadto sa usa ka butang. Ang deserialization sa datos kay kasagarang panghitabo sa software development. Kini mao ang dili luwas kon data kay deserialized gikan sa dili kasaligan nga tinubdan. Kini mahimo kalagmitan ibutyag ang imong aplikasyon sa mga pag-atake. Ang dili kasegurohan nga deserialization mahitabo kung ang deserialized nga datos gikan sa usa ka dili kasaligan nga tinubdan mosangpot sa mga pag-atake sa DDOS, remote code execution attacks, o authentication bypass.
Aron malikayan ang dili sigurado nga deseryalisasyon, ang lagda sa kumagko mao ang dili pagsalig sa datos sa tiggamit. Ang matag user input data kinahanglan matambalan as kalagmitan malisyoso. Likayi ang deserialization sa datos gikan sa dili kasaligang tinubdan. Siguroha nga ang deserialization naglihok sa magamit sa imong web application luwas.
Paggamit sa Mga Sangkap nga May Nailhan nga mga Kakulangan
Ang mga Libraries ug Frameworks naghimo niini nga mas paspas sa paghimo sa mga aplikasyon sa web nga dili na kinahanglan nga bag-ohon ang ligid. Gipamenos niini ang redundancy sa code evaluation. Gihatagan nila ang dalan alang sa mga developer nga magpunting sa labi ka hinungdanon nga mga aspeto sa mga aplikasyon. Kung madiskobrehan sa mga tig-atake ang mga pagpahimulos sa kini nga mga balangkas, ang matag codebase nga naggamit sa balangkas mahimo makompromiso.
Ang mga nag-develop sa sangkap kanunay nga nagtanyag mga patch sa seguridad ug mga update alang sa mga librarya sa sangkap. Aron malikayan ang mga kahuyangan sa sangkap, kinahanglan nimong mahibal-an nga ipadayon ang imong mga aplikasyon nga labing bag-o sa labing bag-ong mga patch sa seguridad ug pag-upgrade.. Ang wala magamit nga mga sangkap kinahanglan tangtangon gikan sa aplikasyon aron maputol ang mga vector sa pag-atake.
Dili igo nga Pag-log ug Pag-monitor
Ang pag-log ug pag-monitor hinungdanon aron ipakita ang mga kalihokan sa imong aplikasyon sa web. Ang pag-log makapadali sa pagsubay sa mga sayup, Monitor user logins, ug mga kalihokan.
Ang dili igo nga pag-log ug pag-monitor mahitabo kung ang mga kritikal nga panghitabo sa seguridad wala ma-log husto. Gipahimuslan kini sa mga tig-atake aron mahimo ang mga pag-atake sa imong aplikasyon sa wala pa adunay bisan unsang mamatikdan nga tubag.
Makatabang ang pag-log sa imong kompanya nga makadaginot sa kuwarta ug oras tungod kay mahimo sa imong mga developer dali pagpangita og mga bug. Kini nagtugot kanila sa pag-focus sa dugang sa pagsulbad sa mga bug kay sa pagpangita kanila. Sa epekto, ang pag-log makatabang sa pagpadayon sa imong mga site ug mga server ug pagdagan matag oras nga wala sila makasinati bisan unsang downtime.
Panapos
Maayo nga code dili lang bahin sa pagpaandar, kini mahitungod sa pagtipig sa imong mga tiggamit ug aplikasyon nga luwas. Ang OWASP Top 10 usa ka lista sa labing kritikal nga mga peligro sa seguridad sa aplikasyon usa ka maayo nga libre nga kapanguhaan alang sa mga nag-develop sa pagsulat sa luwas nga web ug mobile apps. Ang pagbansay sa mga developer sa imong team sa pag-assess ug pag-log sa mga risgo makadaginot sa imong team sa oras ug kwarta sa kadugayan. Kung gusto nimo pagkat-on og dugang kon unsaon pagbansay ang imong team sa OWASP Top 10 click dinhi.
