OWASP Top 10 Хатари амният | Барраси
Мундариҷа
OWASP чист?
OWASP як ташкилоти ғайритиҷоратӣ мебошад, ки ба омӯзиши амнияти барномаҳои веб бахшида шудааст.
Маводҳои омӯзишии OWASP дар вебсайти онҳо дастрасанд. Воситаҳои онҳо барои беҳтар кардани амнияти барномаҳои веб муфиданд. Ин ҳуҷҷатҳо, асбобҳо, видеоҳо ва форумҳоро дар бар мегирад.
OWASP Top 10 рӯйхатест, ки нигарониҳои асосии амниятиро барои барномаҳои веб имрӯз таъкид мекунад. Онҳо тавсия медиҳанд, ки ҳамаи ширкатҳо ин гузоришро дар равандҳои худ барои коҳиш додани хатарҳои амниятӣ дохил кунанд. Дар зер рӯйхати хатарҳои амниятӣ дар гузориши OWASP Top 10 2017 оварда шудааст.
тазриќї SQL
Тазриқи SQL вақте рух медиҳад, ки ҳамлакунанда ба барномаи веб маълумоти номуносиб мефиристад, то барномаро дар барнома халалдор кунад..
Намунаи тазриқи SQL:
Ҳамлагар метавонад дархости SQL-ро ба шакли вуруд ворид кунад, ки номи корбарро матни оддиро талаб мекунад. Агар шакли вуруд муҳофизат карда нашавад, он боиси иҷрои дархости SQL мегардад. Ин ишора шудааст ҳамчун тазриқи SQL.
Барои муҳофизат кардани замимаҳои веб аз воридкунии код, боварӣ ҳосил кунед, ки таҳиягарони шумо тасдиқи вурудро дар маълумоти аз ҷониби корбар пешниҳодшуда истифода мебаранд. Тасдиқ дар ин ҷо ба рад кардани воридоти беэътибор дахл дорад. Менеҷери пойгоҳи додаҳо инчунин метавонад назоратро барои кам кардани миқдори маълумот ки метавонад ошкор карда шавад дар ҳамлаи тазриқӣ.
Барои пешгирии тазриқи SQL, OWASP тавсия медиҳад, ки маълумотро аз фармонҳо ва дархостҳо ҷудо нигоҳ доред. Варианти афзалиятнок ин истифодаи бехатар аст API барои пешгирии истифодаи тарҷумон ё гузаштан ба абзорҳои харитасозии объектҳо (ORMs).
Аутентификатсияи шикаста
Осебҳои аутентификатсия метавонанд ба ҳамлагар имкон диҳанд, ки ба ҳисобҳои корбар дастрасӣ пайдо кунанд ва бо истифода аз ҳисоби администратор системаро вайрон кунанд.. Киберҷинояткор метавонад аз скрипт истифода кунад, то ҳазорон комбинатсияи паролро дар система санҷад, то бубинад, ки кадомаш кор мекунад. Вақте ки киберҷинояткор ворид мешавад, онҳо метавонанд шахсияти корбарро қалбакӣ карда, ба онҳо ба маълумоти махфӣ дастрасӣ пайдо кунанд..
Дар барномаҳои веб осебпазирии вайроншудаи аутентификатсия мавҷуд аст, ки воридшавии автоматиро иҷозат медиҳад. Роҳи маъмули ислоҳи осебпазирии аутентификатсия ин истифодаи аутентификатсияи бисёрфакторӣ мебошад. Инчунин, маҳдудияти суръати воридшавӣ метавонад дохил карда шаванд дар барномаи веб барои пешгирии ҳамлаҳои бераҳмона.
Таъсири маълумоти ҳассос
Агар барномаҳои веб муҳофизат накунанд, ҳамлагарони ҳассос метавонанд ба онҳо дастрасӣ пайдо кунанд ва барои фоидаи худ истифода баранд. Ҳамла дар роҳ як усули маъмули дуздидани маълумоти ҳассос аст. Ҳангоме ки ҳама маълумоти ҳассос рамзгузорӣ шудаанд, хатари дучоршавӣ метавонад ҳадди ақалл бошад. Таҳиягарони веб бояд боварӣ ҳосил кунанд, ки ягон маълумоти ҳассос дар браузер фош нашавад ё безарур нигоҳ дошта нашавад.
Объектҳои берунии XML (XEE)
Киберҷинояткор метавонад дар дохили ҳуҷҷати XML мундариҷа, фармонҳо ё кодҳои зарароварро бор кунад ё дохил кунад. Ин ба онҳо имкон медиҳад, ки файлҳоро дар системаи файлии сервери барнома бинанд. Пас аз он ки онҳо дастрасӣ пайдо мекунанд, онҳо метавонанд бо сервер ҳамкорӣ кунанд, то ҳамлаҳои қалбакии дархост аз ҷониби сервер (SSRF) анҷом диҳанд.
Ҳамлаҳои объектҳои берунии XML метавонанд пешгирӣ карда шавад имкон медиҳад, ки барномаҳои веб барои қабули намудҳои камтар мураккаби маълумот ба монанди JSON. Хомӯш кардани коркарди объекти берунии XML инчунин эҳтимолияти ҳамлаи XEE-ро коҳиш медиҳад.
Назорати дастрасии шикаста
Назорати дастрасӣ протоколи системаест, ки корбарони беиҷозатро ба маълумоти ҳассос маҳдуд мекунад. Агар системаи назорати дастрасӣ вайрон шавад, ҳамлагарон метавонанд аутентификатсияро гузаранд. Ин ба онҳо имкон медиҳад, ки ба маълумоти махфӣ дастрасӣ дошта бошанд, ки гӯё онҳо иҷозат доранд. Назорати дастрасиро тавассути татбиқи аломатҳои авторизатсия дар воридшавии корбар таъмин кардан мумкин аст. Дар ҳар як дархосте, ки корбар ҳангоми тасдиқи аслӣ медиҳад, аломати авторизатсия бо корбар тасдиқ карда мешавад, ки ин нишон медиҳад, ки корбар барои иҷрои ин дархост ваколатдор шудааст.
Танзими нодурусти амният
Конфигуратсияи нодурусти амният як масъалаи маъмул аст, ки киберамният мутахассисон дар барномаҳои веб мушоҳида мекунанд. Ин дар натиҷаи танзими нодурусти сарлавҳаҳои HTTP, назорати вайроншудаи дастрасӣ ва намоиши хатогиҳое, ки маълумотро дар як барномаи веб фош мекунанд, рух медиҳад.. Шумо метавонед конфигуратсияи бехатариро тавассути нест кардани хусусиятҳои истифоданашуда ислоҳ кунед. Шумо инчунин бояд бастаҳои нармафзори худро часпонед ё навсозӣ кунед.
Сценарийи байнисайёравӣ (XSS)
Ҳангоме, ки ҳамлагар DOM API-и вебсайти боэътимодро барои иҷро кардани рамзи зараровар дар браузери корбар идора мекунад, осебпазирии XSS рух медиҳад.. Иҷрои ин рамзи зараровар аксар вақт вақте рух медиҳад, ки корбар истинодеро, ки аз вебсайти боэътимод ба назар мерасад, клик мекунад. Агар вебсайт аз осебпазирии XSS ҳифз карда нашавад, он метавонад созиш карда шавад. Рамзи зараровар, ки иҷро карда мешавад ба ҳамлагар дастрасӣ ба сессияи воридшавии корбарон, тафсилоти корти кредитӣ ва дигар маълумоти ҳассосро медиҳад.
Барои пешгирӣ кардани скрипти байнисоҳавӣ (XSS), боварӣ ҳосил кунед, ки HTML-и шумо хуб тоза карда шудааст. Ин метавонад ба даст оварда шавад интихоби чаҳорчӯбаҳои боэътимод вобаста ба забони интихоб. Шумо метавонед забонҳоро ба монанди .Net, Ruby on Rails ва React JS истифода баред, зеро онҳо барои таҳлил ва тоза кардани коди HTML-и шумо кӯмак мекунанд. Муносибати ҳама маълумот аз корбарони тасдиқшуда ё тасдиқнашуда ҳамчун беэътимод метавонад хатари ҳамлаҳои XSS-ро коҳиш диҳад..
Десериализатсияи бехатар
Десериализатсия табдил додани маълумоти силсилавӣ аз сервер ба объект мебошад. Десериализатсияи додаҳо як ҳодисаи маъмул дар таҳияи нармафзор аст. Вақте ки маълумот бехатар аст сериализатсия карда мешавад аз манбаи боваринок. Ин метавонад имконпазир аст аризаи худро ба ҳамлаҳо дучор кунед. Десериализатсияи ноамн вақте рух медиҳад, ки маълумоти бесерияшуда аз манбаи беэътимод ба ҳамлаҳои DDOS, ҳамлаҳои иҷрои коди дурдаст ё гузаргоҳҳои аутентификатсия оварда мерасонад..
Барои роҳ надодан ба десериализатсияи бехатар, қоидаи асосӣ ин аст, ки ҳеҷ гоҳ ба маълумоти корбар бовар накунед. Ҳар як маълумоти воридкунандаи корбар бояд табобат карда шавад as имконпазир аст бадхоҳ. Аз бесериализатсияи маълумот аз манбаъҳои нобовар худдорӣ намоед. Боварӣ ҳосил кунед, ки десериализатсия ба истифода шавад дар барномаи веби шумо бехатар аст.
Истифодаи ҷузъҳо бо осебпазириҳои маълум
Китобхонаҳо ва чаҳорчӯбаҳо таҳияи барномаҳои вебро бе ихтироъ кардани чарх хеле тезтар карданд. Ин зиёдатӣ дар арзёбии кодро коҳиш медиҳад. Онҳо роҳро барои таҳиягарон барои тамаркуз ба ҷанбаҳои муҳимтари барномаҳо мекушоянд. Агар ҳамлагарон истисморҳоро дар ин чаҳорчӯбаҳо кашф кунанд, ҳар як пойгоҳи коди бо истифода аз чаҳорчӯба созиш карда шавад.
Таҳиягарони ҷузъҳо аксар вақт часбҳои амниятӣ ва навсозиро барои китобхонаҳои ҷузъӣ пешниҳод мекунанд. Барои роҳ надодан ба осебпазирии ҷузъҳо, шумо бояд омӯзед, ки замимаҳои худро бо навтарин часбҳои амниятӣ ва такомулот навсозӣ кунед.. Компонентҳои истифоданашуда бояд хориҷ карда шавад аз барнома барои буридани векторҳои ҳамла.
Бақайдгирӣ ва мониторинги нокифоя
Бақайдгирӣ ва мониторинг барои нишон додани фаъолиятҳо дар барномаи веби шумо муҳим аст. Бақайдгирӣ пайгирии хатогиҳоро осон мекунад, монитор воридшавии корбар, ва фаъолият.
Бақайдгирӣ ва мониторинги нокифоя ҳангоми сабт нашудани рӯйдодҳои аз ҷиҳати амният муҳим ба амал меояд дуруст. Ҳамлагарон аз ин истифода мекунанд, то ба аризаи шумо ҳамла кунанд, то пеш аз он ки ягон вокуниши назаррасе пайдо шавад.
Гузариш ба ширкати шумо кӯмак мекунад, ки пул ва вақтро сарфа кунад, зеро таҳиягарони шумо метавонанд ба осонӣ пайдо кардани хатогиҳо. Ин ба онҳо имкон медиҳад, ки бештар ба ҳалли хатогиҳо диққат диҳанд, на ҷустуҷӯи онҳо. Дарвоқеъ, сабти ном метавонад барои нигоҳ доштани сайтҳо ва серверҳои шумо кӯмак кунад, ки ҳар дафъа бидуни аз кор мондани онҳо кор кунанд.
хулоса
Рамзи хуб нест танҳо дар бораи функсия, он дар бораи бехатар нигоҳ доштани корбарон ва барномаи шумост. OWASP Top 10 феҳристи муҳимтарин хатарҳои амнияти барномаҳо мебошад, ки манбаи олии ройгон барои таҳиягарон барои навиштани барномаҳои бехатари веб ва мобилӣ мебошад.. Омӯзиши таҳиягарон дар дастаи шумо барои арзёбӣ ва сабти хатарҳо метавонад вақт ва пули дастаи шуморо дар муддати тӯлонӣ сарфа кунад. Агар шумо хоҳед Маълумоти бештарро дар бораи чӣ гуна омӯзонидани дастаи худ дар OWASP Top 10 ин ҷо клик кунед.
