OWASP 10 ta xavfsizlik xavfi | Umumiy koʻrinish
Mundarija
OWASP nima?
OWASP - bu veb-ilovalar xavfsizligini ta'minlashga bag'ishlangan notijorat tashkilot.
OWASP o'quv materiallari ularning veb-saytida mavjud. Ularning vositalari veb-ilovalar xavfsizligini yaxshilash uchun foydalidir. Bunga hujjatlar, vositalar, videolar va forumlar kiradi.
OWASP Top 10 - bu bugungi kunda veb-ilovalar uchun eng muhim xavfsizlik muammolarini ta'kidlaydigan ro'yxat. Ular xavfsizlik xavfini kamaytirish uchun barcha kompaniyalarga ushbu hisobotni o'z jarayonlariga kiritishni tavsiya qiladi. Quyida OWASP Top 10 2017 hisobotiga kiritilgan xavfsizlik xatarlari roʻyxati keltirilgan.
SQL injection
SQL in'ektsiyasi tajovuzkor dasturdagi dasturni buzish uchun veb-ilovaga nomaqbul ma'lumotlarni yuborganda sodir bo'ladi..
SQL in'ektsiyasiga misol:
Buzg'unchi SQL so'rovini ochiq matn foydalanuvchi nomini talab qiladigan kirish shakliga kiritishi mumkin. Agar kirish formasi himoyalanmagan bo'lsa, u SQL so'rovining bajarilishiga olib keladi. Bu havola qilinadi SQL in'ektsiyasi sifatida.
Veb-ilovalarni kod kiritishdan himoya qilish uchun ishlab chiquvchilaringiz foydalanuvchi tomonidan taqdim etilgan ma'lumotlarda kirish tekshiruvidan foydalanishiga ishonch hosil qiling.. Bu erda tasdiqlash noto'g'ri kiritilgan ma'lumotlarni rad etishni anglatadi. Ma'lumotlar bazasi menejeri miqdorini kamaytirish uchun boshqaruv elementlarini ham o'rnatishi mumkin axborot mumkin oshkor qilinsin in'ektsiya hujumida.
SQL in'ektsiyasining oldini olish uchun OWASP ma'lumotlarni buyruqlar va so'rovlardan alohida saqlashni tavsiya qiladi. Eng maqbul variant - himoya vositasidan foydalanish API tarjimondan foydalanishni oldini olish yoki Ob'ektlarga aloqador xaritalash vositalariga (ORMs) o'tish uchun.
Buzilgan autentifikatsiya
Autentifikatsiyadagi zaifliklar tajovuzkorga administrator hisobi yordamida foydalanuvchi hisoblariga kirish va tizimni buzishga ruxsat berishi mumkin. Kiberjinoyatchi skript yordamida tizimda minglab parollar kombinatsiyasini sinab ko'rishi mumkin.. Kiberjinoyatchi kirgach, foydalanuvchining shaxsini soxtalashtirishi mumkin va ularga maxfiy ma'lumotlarga kirish huquqini beradi..
Avtomatlashtirilgan tizimga kirishga ruxsat beruvchi veb-ilovalarda autentifikatsiya qilishda buzilgan zaiflik mavjud. Autentifikatsiya zaifligini tuzatishning mashhur usuli bu ko'p faktorli autentifikatsiyadan foydalanishdir. Bundan tashqari, kirish tezligi chegarasi bo'lishi mumkin kiritilishi shafqatsiz kuch hujumlarining oldini olish uchun veb-ilovada.
Nozik maʼlumotlarga taʼsir qilish
Agar veb-ilovalar himoya qilmasa, nozik tajovuzkorlar ularga kirishlari va foyda olishlari uchun foydalanishlari mumkin. Yo'lda hujum nozik ma'lumotlarni o'g'irlashning mashhur usulidir. Barcha maxfiy ma'lumotlar shifrlanganda, ta'sir qilish xavfi minimal bo'lishi mumkin. Veb-ishlab chiquvchilar hech qanday maxfiy ma'lumotlar brauzerda ko'rinmasligi yoki keraksiz saqlanishini ta'minlashi kerak.
XML tashqi ob'ektlari (XEE)
Kiberjinoyatchi XML hujjatiga zararli XML kontenti, buyruqlar yoki kodlarni yuklashi yoki kiritishi mumkin. Bu ularga dastur serveri fayl tizimidagi fayllarni ko'rish imkonini beradi. Ular kirish huquqiga ega bo'lgach, ular server tomonidagi so'rovlarni soxtalashtirish (SSRF) hujumlarini amalga oshirish uchun server bilan o'zaro aloqada bo'lishlari mumkin.
XML tashqi ob'ekt hujumlari mumkin tomonidan oldini olish veb-ilovalarga JSON kabi kamroq murakkab ma'lumotlar turlarini qabul qilish imkonini beradi. XML tashqi ob'ektlarini qayta ishlashni o'chirib qo'yish XEE hujumi ehtimolini ham kamaytiradi.
Buzilgan kirish nazorati
Kirish nazorati - ruxsatsiz foydalanuvchilarni maxfiy ma'lumotlar bilan cheklaydigan tizim protokoli. Agar kirishni boshqarish tizimi buzilgan bo'lsa, tajovuzkorlar autentifikatsiyani chetlab o'tishlari mumkin. Bu ularga avtorizatsiyaga ega bo'lganidek, maxfiy ma'lumotlarga kirish imkonini beradi. Kirish nazorati foydalanuvchi kirishida avtorizatsiya belgilarini qo'llash orqali ta'minlanishi mumkin. Autentifikatsiya paytida foydalanuvchi qilgan har bir so'rovda foydalanuvchi bilan avtorizatsiya belgisi tekshiriladi, bu foydalanuvchi ushbu so'rovni amalga oshirish huquqiga ega ekanligini bildiradi.
Xavfsizlikni noto'g'ri sozlash
Xavfsizlikning noto'g'ri konfiguratsiyasi keng tarqalgan muammodir kiberxavfsizlik mutaxassislar veb-ilovalarda kuzatadilar. Bu noto'g'ri sozlangan HTTP sarlavhalari, buzilgan kirish boshqaruvlari va veb-ilovadagi ma'lumotlarni oshkor qiluvchi xatolarni ko'rsatish natijasida yuzaga keladi.. Foydalanilmayotgan xususiyatlarni olib tashlash orqali xavfsizlik noto'g'ri konfiguratsiyasini tuzatishingiz mumkin. Shuningdek, siz dasturiy ta'minot paketlarini tuzatishingiz yoki yangilashingiz kerak.
Saytlararo skript (XSS)
XSS zaifligi tajovuzkor ishonchli veb-saytning DOM API-ni foydalanuvchi brauzerida zararli kodni ishga tushirish uchun boshqarganida yuzaga keladi.. Ushbu zararli kodning bajarilishi ko'pincha foydalanuvchi ishonchli veb-saytdagi havolani bosganida sodir bo'ladi.. Agar veb-sayt XSS zaifligidan himoyalanmagan bo'lsa, u mumkin murosaga tushish. Bu zararli kod bajariladi tajovuzkorga foydalanuvchilarning kirish seansi, kredit karta ma'lumotlari va boshqa maxfiy ma'lumotlarga kirish imkonini beradi.
Saytlararo skriptni (XSS) oldini olish uchun HTML-ning yaxshi tozalanganligiga ishonch hosil qiling. Bu mumkin orqali erishiladi tanlangan tilga qarab ishonchli ramkalarni tanlash. Siz .Net, Ruby on Rails va React JS kabi tillardan foydalanishingiz mumkin, chunki ular HTML kodingizni tahlil qilish va tozalashga yordam beradi. Autentifikatsiya qilingan yoki autentifikatsiya qilinmagan foydalanuvchilarning barcha ma'lumotlarini ishonchsiz deb hisoblash XSS hujumlari xavfini kamaytirishi mumkin..
Ishonchsiz deserializatsiya
Seriyadan chiqarish - seriyali ma'lumotlarni serverdan ob'ektga aylantirish. Ma'lumotlarning seriyasizlanishi dasturiy ta'minotni ishlab chiqishda keng tarqalgan hodisadir. Ma'lumotlardan foydalanish xavfli seriyadan chiqarilgan ishonchsiz manbadan. Bu mumkin mumkin ilovangizni hujumlarga duchor qiling. Ishonchsiz manbadan olingan ma'lumotlar seriyali yo'q qilinishi DDOS hujumlariga, masofaviy kodni bajarish hujumlariga yoki autentifikatsiyani chetlab o'tishga olib kelganda xavfsiz seriyani bekor qilish sodir bo'ladi..
Xavfsiz deserializatsiyani oldini olish uchun asosiy qoida foydalanuvchi ma'lumotlariga hech qachon ishonmaslikdir. Har bir foydalanuvchi ma'lumotlarini kiritishi kerak davolanmoq as mumkin zararli. Ishonchsiz manbalardan olingan ma'lumotlarni seriyasizlashtirishdan saqlaning. Seriyadan chiqarish funksiyasi ishlashiga ishonch hosil qiling ishlatilishi kerak veb-ilovangiz xavfsiz.
Ma'lum zaifliklari bo'lgan komponentlardan foydalanish
Kutubxonalar va ramkalar g'ildirakni qayta ixtiro qilmasdan veb-ilovalarni ishlab chiqishni ancha tezlashtirdi. Bu kodni baholashda ortiqchalikni kamaytiradi. Ular ishlab chiquvchilarga ilovalarning muhimroq jihatlariga e'tibor qaratishlari uchun yo'l ochadi. Agar tajovuzkorlar ushbu ramkalarda ekspluatatsiyalarni aniqlasalar, bu ramkadan foydalanadigan har bir kod bazasi murosaga tushish.
Komponent ishlab chiquvchilari ko'pincha komponentlar kutubxonalari uchun xavfsizlik yamoqlari va yangilanishlarini taklif qilishadi. Komponentlardagi zaifliklarning oldini olish uchun siz ilovalaringizni so'nggi xavfsizlik tuzatishlari va yangilanishlari bilan yangilab turishni o'rganishingiz kerak.. Ishlatilmagan komponentlar kerak olib tashlanadi hujum vektorlarini kesish uchun ilovadan.
Ro‘yxatga olish va monitoring yetarli emas
Jurnallar va monitoring veb-ilovangizdagi faoliyatni ko'rsatish uchun muhimdir. Ro'yxatga olish xatolarni kuzatishni osonlashtiradi, Monitor foydalanuvchi loginlari va faoliyati.
Xavfsizlik nuqtai nazaridan muhim voqealar qayd etilmaganda, yetarlicha qayd qilinmagan va monitoring sodir bo'ladi to'g'ri. Hujumchilar bundan foydalanib, sizning ilovangizga biron bir sezilarli javob bo'lishidan oldin hujumlarni amalga oshiradilar.
Ro'yxatga olish kompaniyangizga pul va vaqtni tejashga yordam beradi, chunki sizning ishlab chiquvchilaringiz mumkin Osonlik bilan xatolarni toping. Bu ularga xatolarni qidirishdan ko'ra ularni hal qilishga ko'proq e'tibor qaratish imkonini beradi. Darhaqiqat, ro'yxatga olish saytlaringiz va serverlaringizni har safar uzilishlarsiz ishlamasligiga yordam beradi.
Xulosa
Yaxshi kod emas faqat funksionallik haqida, bu sizning foydalanuvchilaringiz va ilovangizni xavfsiz saqlash haqida. OWASP Top 10 - ilovalar xavfsizligi uchun eng muhim xavflar ro'yxati - ishlab chiquvchilar uchun xavfsiz veb va mobil ilovalarni yozish uchun ajoyib bepul manba. Jamoangizdagi ishlab chiquvchilarni xavflarni baholash va qayd qilish uchun o'rgatish uzoq muddatda jamoangizning vaqtini va pulini tejashga yordam beradi. Agar xohlasangiz OWASP Top 10 bo'yicha jamoangizni qanday tayyorlash haqida ko'proq bilib oling bu yerga bosing.
