OWASP İlk 10 Güvenlik Riski | genel bakış
İçindekiler
OWASP nedir?
OWASP, web uygulaması güvenlik eğitimine adanmış kar amacı gütmeyen bir kuruluştur.
OWASP öğrenme materyallerine web sitelerinden erişilebilir. Araçları, web uygulamalarının güvenliğini artırmak için kullanışlıdır. Buna belgeler, araçlar, videolar ve forumlar dahildir.
OWASP İlk 10, günümüzde web uygulamaları için en önemli güvenlik endişelerini vurgulayan bir listedir. Güvenlik risklerini azaltmak için tüm şirketlerin süreçlerine bu raporu dahil etmelerini tavsiye ediyorlar.. Aşağıda, OWASP İlk 10 2017 raporunda yer alan güvenlik risklerinin bir listesi bulunmaktadır.
SQL Injection
SQL enjeksiyonu, bir saldırgan uygulamadaki programı bozmak için bir web uygulamasına uygunsuz veriler gönderdiğinde gerçekleşir..
Bir SQL Enjeksiyonu örneği:
Saldırgan, bir kullanıcı adı düz metin gerektiren bir giriş formuna bir SQL sorgusu girebilir. Giriş formu güvenli değilse, bir SQL sorgusunun yürütülmesine neden olur. Bu sevk edildi SQL enjeksiyonu olarak.
Web uygulamalarını kod enjeksiyonundan korumak için, geliştiricilerinizin kullanıcı tarafından gönderilen verilerde giriş doğrulama kullandığından emin olun.. Buradaki doğrulama, geçersiz girdilerin reddini ifade eder. Bir veri tabanı yöneticisi, veri miktarını azaltmak için kontroller de ayarlayabilir. bilgi O can ifşa olmak enjeksiyon saldırısında.
SQL enjeksiyonunu önlemek için OWASP, verilerin komutlardan ve sorgulardan ayrı tutulmasını önerir. Tercih edilen seçenek, güvenli bir API yorumlayıcı kullanımını önlemek veya Nesne İlişkisel Eşleme Araçları'na (ORM'ler) geçiş yapmak için.
Bozuk Kimlik Doğrulama
Kimlik doğrulama güvenlik açıkları, bir saldırganın kullanıcı hesaplarına erişmesine ve yönetici hesabı kullanarak bir sistemin güvenliğini aşmasına izin verebilir.. Bir siber suçlu, hangisinin işe yaradığını görmek için bir sistem üzerinde binlerce şifre kombinasyonunu denemek için bir komut dosyası kullanabilir.. Siber suçlu içeri girdikten sonra, kullanıcının kimliğini taklit ederek gizli bilgilere erişmelerini sağlayabilir..
Otomatik oturum açmaya izin veren web uygulamalarında bozuk bir kimlik doğrulama güvenlik açığı bulunmaktadır. Kimlik doğrulama güvenlik açığını düzeltmenin popüler bir yolu, çok faktörlü kimlik doğrulamanın kullanılmasıdır. Ayrıca, bir oturum açma oranı sınırı dahil olmak kaba kuvvet saldırılarını önlemek için web uygulamasında.
Hassas Veri Maruziyeti
Web uygulamaları hassas saldırganları korumazsa, bunlara erişebilir ve kendi çıkarları için kullanabilir. Yolda saldırı, hassas bilgileri çalmak için popüler bir yöntemdir. Tüm hassas veriler şifrelendiğinde açığa çıkma riski minimum düzeydedir. Web geliştiricileri, tarayıcıda hiçbir hassas verinin açığa çıkmamasını veya gereksiz yere saklanmamasını sağlamalıdır.
XML Harici Varlıkları (XEE)
Bir siber suçlu, bir XML belgesine kötü amaçlı XML içeriği, komutları veya kodları yükleyebilir veya dahil edebilir. Bu, uygulama sunucusu dosya sistemindeki dosyaları görüntülemelerine izin verir. Erişime sahip olduklarında, sunucu tarafı istek sahteciliği (SSRF) saldırıları gerçekleştirmek için sunucuyla etkileşim kurabilirler..
XML harici varlık saldırıları, tarafından engellenmek web uygulamalarının JSON gibi daha az karmaşık veri türlerini kabul etmesine olanak tanır. XML harici varlık işlemeyi devre dışı bırakmak, XEE saldırısı olasılığını da azaltır.
Bozuk Erişim Kontrolü
Erişim kontrolü, yetkisiz kullanıcıları hassas bilgilere kısıtlayan bir sistem protokolüdür. Bir erişim kontrol sistemi bozulursa, saldırganlar kimlik doğrulamasını atlayabilir. Bu, yetkileri varmış gibi hassas bilgilere erişmelerini sağlar. Erişim Kontrolü, kullanıcı oturumunda yetkilendirme belirteçleri uygulanarak güvence altına alınabilir. Bir kullanıcının kimliği doğrulanırken yaptığı her istekte, kullanıcıyla olan yetkilendirme belirteci doğrulanır ve kullanıcının bu isteği yapmaya yetkili olduğunun sinyalini verir.
Yanlış Güvenlik Yapılandırması
Güvenlik yanlış yapılandırması yaygın bir sorundur siber güvenlik uzmanlar web uygulamalarında gözlemler. Bu, yanlış yapılandırılmış HTTP üstbilgilerinin, bozuk erişim kontrollerinin ve bir web uygulamasında bilgileri açığa çıkaran hataların görüntülenmesinin bir sonucu olarak ortaya çıkar.. Kullanılmayan özellikleri kaldırarak bir Güvenlik Yanlış Yapılandırmasını düzeltebilirsiniz. Ayrıca yazılım paketlerinizi yamamalı veya yükseltmelisiniz.
Siteler arası komut dosyası çalıştırma (XSS)
XSS güvenlik açığı, bir saldırgan, bir kullanıcının tarayıcısında kötü amaçlı kod yürütmek için güvenilir bir web sitesinin DOM API'sini manipüle ettiğinde ortaya çıkar.. Bu kötü amaçlı kodun çalıştırılması genellikle, bir kullanıcı güvenilir bir web sitesinden geliyormuş gibi görünen bir bağlantıya tıkladığında gerçekleşir.. Web sitesi XSS güvenlik açığından korunmuyorsa, taviz vermek. Kötü amaçlı kod Idam edildi bir saldırganın kullanıcıların oturum açma oturumuna, kredi kartı ayrıntılarına ve diğer hassas verilere erişmesine olanak tanır.
Siteler Arası Komut Dosyası Çalıştırmayı (XSS) önlemek için HTML'nizin iyi bir şekilde temizlendiğinden emin olun. Bu olabilir tarafından elde edilmek tercih edilen dile bağlı olarak güvenilir çerçevelerin seçilmesi. .Net, Ruby on Rails ve React JS gibi dilleri HTML kodunuzu ayrıştırmaya ve temizlemeye yardımcı olacak şekilde kullanabilirsiniz. Kimliği doğrulanmış veya kimliği doğrulanmamış kullanıcılardan gelen tüm verileri güvenilmez olarak ele almak, XSS saldırıları riskini azaltabilir.
Güvensiz Patlatma
Serileştirme, seri hale getirilmiş verilerin bir sunucudan bir nesneye dönüştürülmesidir. Verilerin seri hale getirilmesi, yazılım geliştirmede yaygın bir durumdur. Veriler güvenli değil serisi kaldırılmış güvenilmeyen bir kaynaktan. Bu olabilir potansiyel uygulamanızı saldırılara maruz bırakın. Güvensiz bir kaynaktan seri durumundan çıkarılan veriler DDOS saldırılarına, uzaktan kod yürütme saldırılarına veya kimlik doğrulama baypaslarına yol açtığında, güvenli olmayan seri hale getirme oluşur.
Güvenli olmayan serileştirmeyi önlemek için temel kural, kullanıcı verilerine asla güvenmemektir. Her kullanıcı girişi verisi Davranılmak as potansiyel kötü niyetli. Güvenilmeyen kaynaklardan gelen verilerin seri durumundan çıkarılmasından kaçının. Seri durumdan çıkarma işlevinin kullanılabilir web uygulamanızda güvenlidir.
Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma
Kitaplıklar ve Çerçeveler, tekerleği yeniden icat etmeye gerek kalmadan web uygulamaları geliştirmeyi çok daha hızlı hale getirdi. Bu, kod değerlendirmesinde fazlalığı azaltır. Geliştiricilerin uygulamaların daha önemli yönlerine odaklanmasının yolunu açarlar. Saldırganlar bu çerçevelerde açıklardan yararlanma keşfederse, çerçeveyi kullanan her kod tabanı taviz vermek.
Bileşen geliştiricileri genellikle bileşen kitaplıkları için güvenlik yamaları ve güncellemeler sunar. Bileşen güvenlik açıklarından kaçınmak için, uygulamalarınızı en son güvenlik yamaları ve yükseltmeleri ile güncel tutmayı öğrenmelisiniz.. Kullanılmayan bileşenler kaldırılmak uygulamadan saldırı vektörlerini kesmek için.
Yetersiz Kayıt ve İzleme
Günlüğe kaydetme ve izleme, web uygulamanızdaki etkinlikleri göstermek için önemlidir. Günlüğe kaydetme, hataları izlemeyi kolaylaştırır, izlemek kullanıcı oturumları ve etkinlikler.
Güvenlik açısından kritik olaylar günlüğe kaydedilmediğinde yetersiz günlük kaydı ve izleme oluşur uygun şekilde. Saldırganlar, gözle görülür herhangi bir yanıt olmadan önce uygulamanıza saldırılar gerçekleştirmek için bundan yararlanır..
Günlüğe kaydetme, şirketinizin paradan ve zamandan tasarruf etmesine yardımcı olabilir çünkü geliştiricileriniz şunları yapabilir: kolayca böcek bul. Bu, hataları aramaktan çok çözmeye odaklanmalarını sağlar. Gerçekte, günlük kaydı, sitelerinizi ve sunucularınızı herhangi bir kesinti yaşamadan her zaman çalışır durumda tutmanıza yardımcı olabilir..
Sonuç
İyi kod değil sadece işlevsellik hakkında, kullanıcılarınızı ve uygulamanızı güvende tutmakla ilgilidir. OWASP İlk 10, en kritik uygulama güvenlik risklerinin bir listesidir, geliştiricilerin güvenli web ve mobil uygulamalar yazmaları için harika bir ücretsiz kaynaktır.. Riskleri değerlendirmek ve günlüğe kaydetmek için ekibinizdeki geliştiricileri eğitmek, uzun vadede ekibinize zaman ve para kazandırabilir. Eğer istersen OWASP İlk 10'da takımınızı nasıl eğiteceğiniz hakkında daha fazla bilgi için buraya tıklayın.
