OWASP Топ 10 Коопсуздук Тобокелдиктери | Обзор
Мазмуну
OWASP деген эмне?
OWASP - бул веб-тиркемелердин коопсуздугу боюнча билим берүүгө арналган коммерциялык эмес уюм.
OWASP окуу материалдары алардын веб-сайтында жеткиликтүү. Алардын куралдары веб-тиркемелердин коопсуздугун жогорулатуу үчүн пайдалуу. Буга документтер, куралдар, видеолор жана форумдар кирет.
OWASP Топ 10 - бул бүгүнкү күндө веб-тиркемелер үчүн эң жогорку коопсуздук маселелерин баса белгилеген тизме. Алар бардык компанияларга коопсуздук тобокелдиктерин азайтуу үчүн бул отчетту өз процесстерине киргизүүнү сунушташат. Төмөндө OWASP Топ 10 2017 отчетуна киргизилген коопсуздук тобокелдиктеринин тизмеси.
SQL инжектордук
SQL инъекциясы чабуулчу колдонмодогу программаны үзгүлтүккө учуратуу үчүн желе колдонмосуна туура эмес маалыматтарды жөнөткөндө пайда болот..
SQL инъекциясынын мисалы:
Чабуулчу SQL суроосун колдонуучунун ачык текстин талап кылган киргизүү формасына киргизиши мүмкүн. Киргизүү формасы корголбосо, ал SQL сурамынын аткарылышына алып келет. Бул шилтеме берилген SQL инъекциясы катары.
Веб колдонмолорун кодду киргизүүдөн коргоо үчүн, иштеп чыгуучуларыңыз колдонуучу тапшырган дайындарга киргизүү валидациясын колдонорун текшериңиз. Бул жерде валидация жараксыз киргизүүлөрдү четке кагууну билдирет. Берилиштер базасынын менеджери ошондой эле сумманы азайтуу үчүн башкаруу элементтерин орното алат маалымат бул мүмкүн ачыкка чыгарылсын инъекциялык чабуулда.
SQL инъекциясынын алдын алуу үчүн OWASP маалыматтарды буйруктардан жана сурамдардан өзүнчө сактоону сунуштайт. артыкчылыктуу параметр коопсуз колдонуу болуп саналат API котормочуну колдонууга жол бербөө же Объекттердин Реляциялык Карталоо Куралдарына (ORMs) өтүү үчүн.
Broken Authentication
Аутентификациянын алсыздыктары чабуулчуга администратордун каттоо эсебин колдонуу менен колдонуучу аккаунттарына кирүү жана системаны бузууга мүмкүндүк берет. Киберкылмышкер скрипт аркылуу системада миңдеген сырсөз айкалыштарын сынап көрүшү мүмкүн.. Киберкылмышкер киргенден кийин, алар колдонуучунун инсандыгын жасалмалап, аларга жашыруун маалыматка кирүү мүмкүнчүлүгүн берет..
Автоматташтырылган кирүү мүмкүнчүлүгүн берген веб-тиркемелерде бузулган аутентификациянын начардыгы бар. Аутентификациянын начардыгын оңдоонун популярдуу жолу - бул көп факторлуу аутентификацияны колдонуу. Ошондой эле, кирүү ылдамдыгы чеги болушу мүмкүн киргизилет катаал күч чабуулдарын алдын алуу үчүн желе колдонмосунда.
Сезимтал маалыматтардын таасири
Эгерде веб-тиркемелер корголбосо, сезимтал чабуулчулар аларды өз кызыкчылыгы үчүн колдоно алышат. Жолдогу чабуул - купуя маалыматты уурдоонун популярдуу ыкмасы. Бардык купуя маалыматтар шифрленгенде, таасир алуу коркунучу минималдуу болушу мүмкүн. Веб-иштеп чыгуучулар эч кандай купуя маалыматтар браузерде ачыкка чыкпасын же керексиз сакталбасын камсыз кылышы керек.
XML тышкы объектилери (XEE)
Киберкылмышкер XML документине зыяндуу XML мазмунун, буйруктарын же коддорун жүктөп же камтышы мүмкүн. Бул аларга колдонмо серверинин файл тутумундагы файлдарды көрүүгө мүмкүндүк берет. Алар кирүү мүмкүнчүлүгүнө ээ болгондон кийин, алар сервер тараптагы өтүнүчтөрдү жасалмалоо (SSRF) чабуулдарын аткаруу үчүн сервер менен иштеше алышат.
XML тышкы объект чабуулдары мүмкүн тарабынан алдын алуу желе колдонмолору, мисалы, JSON сыяктуу анча татаал маалымат түрлөрүн кабыл алууга мүмкүндүк берет. XML тышкы объект иштетүүнү өчүрүү, ошондой эле XEE кол салуу мүмкүнчүлүгүн азайтат.
Бузулган мүмкүндүк башкаруу
Мүмкүнчүлүктү башкаруу – бул уруксатсыз колдонуучуларды купуя маалымат менен чектеген тутум протоколу. Кирүүнү башкаруу системасы бузулса, чабуулчулар аутентификацияны кыйгап өтө алышат. Бул аларга уруксаты бар сыяктуу купуя маалыматка мүмкүнчүлүк берет. Колдонуучунун кирүүсүнө авторизация белгилерин киргизүү аркылуу мүмкүндүктү башкарууну камсыз кылууга болот. Колдонуучу аныктыгын текшерүү учурунда жасаган ар бир суроодо, колдонуучу менен авторизациялоо белгиси текшерилет, бул колдонуучунун ошол өтүнүчтү аткарууга ыйгарым укуктуу экендигин билдирет.
Коопсуздукту туура эмес конфигурациялоо
Коопсуздук туура эмес конфигурациясы жалпы көйгөй болуп саналат кибер коопсуздук адистер веб-тиркемелерде байкашат. Бул туура эмес конфигурацияланган HTTP аталыштарынын, бузулган кирүү башкарууларынын жана желе колдонмосундагы маалыматты ачыкка чыгарган каталардын көрүнүшүнүн натыйжасында пайда болот. Колдонулбаган функцияларды алып салуу менен Коопсуздуктун туура эмес конфигурациясын оңдой аласыз. Сиз ошондой эле программалык пакеттериңизди жаңыртышыңыз керек.
Кайчылаш Сценарий (XSS)
XSS аялуулугу чабуулчу колдонуучунун браузеринде зыяндуу кодду ишке ашыруу үчүн ишенимдүү веб-сайттын DOM API'син манипуляциялаганда пайда болот.. Бул зыяндуу коддун аткарылышы көп учурда колдонуучу ишенимдүү вебсайттан чыккан шилтемени чыкылдатканда пайда болот.. Эгер веб-сайт XSS аялуулугунан корголбосо, анда ал мүмкүн компромисске кабылуу. Бул зыяндуу код аткарылат чабуулчуга колдонуучулардын кирүү сессиясына, кредиттик картанын маалыматына жана башка купуя маалыматтарга мүмкүнчүлүк берет.
Сайттар аралык скрипттерди (XSS) алдын алуу үчүн, HTML'иңиз жакшы тазаланганын текшериңиз. Бул алат менен жетишилет тандалган тилге жараша ишенимдүү алкактарды тандоо. Сиз .Net, Ruby on Rails жана React JS сыяктуу тилдерди колдонсоңуз болот, анткени алар HTML кодуңузду талдоо жана тазалоого жардам берет. Аутентификацияланган же аутентификацияланбаган колдонуучулардын бардык маалыматтарын ишенимсиз катары кароо XSS чабуулдарынын коркунучун азайтат.
Кооптуу сериядан чыгаруу
Сериялаштыруу - серверден объектке серияланган маалыматтарды трансформациялоо. Маалыматтарды сериядан чыгаруу программалык камсыздоону иштеп чыгууда кеңири таралган көрүнүш. Бул дайындар кооптуу болуп саналат сериядан чыгарылат ишенимсиз булактан. Бул болот мүмкүн болгон Колдонмоңузду чабуулдарга дуушар кылуу. Кооптуу десериализация ишенимсиз булактан алынган берилиштер DDOS чабуулдарына, кодду алыстан аткаруу чабуулдарына же аутентификацияны айланып өтүүгө алып келгенде пайда болот..
Кооптуу десериализацияны болтурбоо үчүн, колдонуучунун маалыматтарына эч качан ишенбөө керек. Ар бир колдонуучу маалымат киргизиши керек дарылануу as мүмкүн болгон зыяндуу. Ишенимсиз булактардан алынган маалыматтарды сериядан чыгаруудан качыңыз. Сериялаштыруу функциясын камсыз кылыңыз колдонулат сиздин веб-тиркемеңиз коопсуз.
Белгилүү кемчиликтери бар компоненттерди колдонуу
Китепканалар жана алкактар дөңгөлөктү кайра ойлоп табууну талап кылбастан, веб-тиркемелерди иштеп чыгууну бир топ ылдамдатышты. Бул кодду баалоодо ашыкчалыкты азайтат. Алар иштеп чыгуучуларга тиркемелердин маанилүү аспектилерине көңүл бурууга жол ачат. Эгерде чабуулчулар бул алкактарда эксплуатацияларды табышса, анда алкакты колдонгон ар бир код базасы ачылат компромисске кабылуу.
Компонентти иштеп чыгуучулар көбүнчө компоненттер китепканалары үчүн коопсуздук тактарын жана жаңыртууларын сунушташат. Компоненттин алсыздыктарын болтурбоо үчүн, сиз тиркемелериңизди акыркы коопсуздук тактары жана жаңыртуулары менен жаңыртып турууну үйрөнүшүңүз керек.. Колдонулбаган компоненттер керек алынып салынсын кол салуу векторлорун кесүү үчүн колдонмодон.
Жетишсиз каттоо жана мониторинг
Веб тиркемеңиздеги аракеттерди көрсөтүү үчүн журналды каттоо жана мониторинг жүргүзүү маанилүү. Каттоо каталарды байкоону жеңилдетет, ченөө колдонуучунун логиндери жана аракеттери.
Жетишсиз каттоо жана мониторинг коопсуздук үчүн маанилүү окуялар катталбаганда пайда болот туура. Чабуулчулар муну колдонуп, кандайдыр бир байкаларлык жооп келгенге чейин колдонмоңузга чабуул жасашат.
Каттоо сиздин компанияңызга акчаны жана убакытты үнөмдөөгө жардам берет, анткени сиздин иштеп чыгуучуларыңыз мүмкүн жонокой мүчүлүштүктөрдү табуу. Бул аларга мүчүлүштүктөрдү издөөгө караганда аларды чечүүгө көбүрөөк көңүл бурууга мүмкүндүк берет. Чындыгында, каттоо сайттарыңыздын жана серверлериңиздин үзгүлтүккө учурашысыз ар дайым иштеп турууга жардам берет.
жыйынтыктоо
Жакшы код эмес так функционалдуулук жөнүндө, бул колдонуучуларыңыздын жана колдонмоңуздун коопсуздугу жөнүндө. OWASP Топ 10 - бул тиркемелердин коопсуздугу боюнча эң маанилүү тобокелдиктердин тизмеси, иштеп чыгуучулар үчүн коопсуз веб жана мобилдик тиркемелерди жазуу үчүн эң сонун акысыз булак.. Командаңыздагы иштеп чыгуучуларды тобокелдиктерге баа берүү жана каттоо үчүн окутуу узак мөөнөттүү келечекте командаңыздын убактысын жана акчасын үнөмдөйт. Эгер кааласаңыз OWASP Топ 10 боюнча өз командаңызды кантип үйрөтүү керектиги тууралуу көбүрөөк билүү үчүн бул жерди басыңыз.
