OWASP Top 10 Sécherheetsrisiken | Iwwersiicht
Inhaltsverzeechnes
Wat ass OWASP?
OWASP ass eng non-profit Organisatioun gewidmet fir Web App Sécherheetsausbildung.
D'OWASP Léiermaterial sinn op hirer Websäit zougänglech. Hir Tools sinn nëtzlech fir d'Sécherheet vu Webapplikatiounen ze verbesseren. Dëst beinhalt Dokumenter, Tools, Videoen a Foren.
Den OWASP Top 10 ass eng Lëscht déi d'Top Sécherheetsprobleemer fir Webapps haut beliicht. Si recommandéieren datt all Firmen dëse Bericht an hire Prozesser enthalen fir Sécherheetsrisiken ze reduzéieren. Drënner ass eng Lëscht vu Sécherheetsrisiken am OWASP Top 10 2017 Bericht abegraff.
SQL Injektioun
SQL Injektioun geschitt wann en Ugräifer onpassend Daten un eng Webapp schéckt fir de Programm an der Applikatioun ze stéieren.
E Beispill vun enger SQL Injektioun:
Den Ugräifer kéint eng SQL Ufro an eng Inputform aginn, déi e Benotzernumm Kloertext erfuerdert. Wann d'Inputform net geséchert ass, féiert dat zu der Ausféierung vun enger SQL Ufro. Dëst gëtt bezeechent als SQL Injektioun.
Fir Webapplikatioune vu Codeinjektioun ze schützen, vergewëssert Iech datt Är Entwéckler Input Validatioun op Benotzer presentéiert Daten benotzen. Validatioun bezitt sech hei op d'Oflehnung vun ongëlteg Inputen. A Datebank Manager kann och Kontrollen Formatioun de Montant vun reduzéieren Informatiounen dat kann opgedeckt ginn an enger Sprëtz Attack.
Fir SQL Injektioun ze vermeiden, recommandéiert OWASP Daten getrennt vu Kommandoen a Ufroen ze halen. Déi beléifste Optioun ass eng sécher ze benotzen API fir d'Benotzung vun engem Dolmetscher ze vermeiden, oder fir op Object Relational Mapping Tools (ORMs) ze migréieren..
Broken Authentifikatioun
Authentifikatiounsschwieregkeeten kënnen en Ugräifer erlaben Zougang zu Benotzerkonten an e System kompromittéiere mat engem Administratorkonto. E Cyberkriminell kann e Skript benotzen fir Dausende vu Passwuertkombinatiounen op engem System ze probéieren fir ze kucken wat funktionnéiert. Wann de Cyberkriminell erakomm ass, kënne se d'Identitéit vum Benotzer gefälscht ginn, hinnen Zougang zu vertraulech Informatioun ginn.
Eng gebrach Authentifikatiounsschwaachheet existéiert a Webapplikatiounen déi automatiséiert Login erlaben. E populäre Wee fir Authentifikatiounsschwaachheet ze korrigéieren ass d'Benotzung vu Multifaktor Authentifikatioun. Och eng Login Taux Limite kéint abegraff ginn an der Web App fir brute Force Attacken ze verhënneren.
Sensibel Daten Beliichtung
Wann Webapplikatiounen net sensibel Ugräifer schützen, kënnen se Zougang a benotzen fir hire Gewënn. En On-Pad Attack ass eng populär Method fir sensibel Informatioun ze klauen. De Risiko vun der Belaaschtung kann minimal sinn wann all sensibel Donnéeën verschlësselt sinn. Webentwéckler solle suergen datt keng sensibel Donnéeën am Browser ausgesat sinn oder onnéideg gespäichert ginn.
XML External Entities (XEE)
En Cyberkriminell kann fäeg sinn béiswëlleg XML Inhalter, Kommandoen oder Code an engem XML Dokument eropzelueden oder enthalen. Dëst erlaabt hinnen Dateien um Applikatiounsserver Dateisystem ze gesinn. Wann se Zougang hunn, kënne se mam Server interagéieren fir Server-Säit Ufro-Fälschung (SSRF) Attacke auszeféieren.
XML extern Entitéit Attacke kënnen verhënnert ginn duerch erlaabt Webapplikatiounen manner komplex Datentypen wéi JSON z'akzeptéieren. Desaktivéiere vun XML externen Entitéitsveraarbechtung reduzéiert och d'Chancen vun engem XEE Attack.
Broken Zougang Kontroll
Zougangskontroll ass e Systemprotokoll deen onerlaabten Benotzer op sensibel Informatioun beschränkt. Wann en Zougangskontrollsystem gebrach ass, kënnen Ugräifer d'Authentifikatioun ëmgoen. Dëst gëtt hinnen Zougang zu sensiblen Informatioun, wéi wa se Autorisatioun hunn. Zougangskontrolle ka geséchert ginn andeems Dir Autorisatioun Tokens beim Benotzer Login implementéiert. Op all Ufro e Benotzer mécht wärend authentifizéiert, gëtt d'Autorisatiounstoken mam Benotzer verifizéiert, wat signaliséiert datt de Benotzer autoriséiert ass dës Ufro ze maachen.
Sécherheet Misconfiguration
Sécherheetsfehlerkonfiguratioun ass e gemeinsame Problem deen cybersecurity Spezialisten observéieren an Webapplikatiounen. Dëst geschitt als Resultat vu falsch konfiguréierten HTTP-Header, futtis Zougangskontrollen, an d'Affichage vu Feeler déi Informatioun an enger Webapp exponéieren. Dir kënnt eng Sécherheetsfehlkonfiguratioun korrigéieren andeems Dir onbenotzt Features ewechhuelt. Dir sollt och Är Software Packagen patchen oder upgraden.
Cross-Site Skripting (XSS)
XSS Schwachstelle geschitt wann en Ugräifer d'DOM API vun enger vertrauter Websäit manipuléiert fir béiswëlleg Code am Browser vum Benotzer auszeféieren. D'Ausféierung vun dësem béisaarteg Code geschitt dacks wann e Benotzer op e Link klickt, deen aus enger vertrauter Websäit schéngt.. Wann d'Websäit net vu XSS Schwachstelle geschützt ass, kann et kompromittéiert ginn. Déi béiswëlleg Code datt ausgefouert gëtt gëtt engem Ugräifer Zougang zu de Benotzer 'Login Sessioun, Kreditkaart Detailer, an aner sensibel Donnéeën.
Fir Cross-Site Scripting (XSS) ze vermeiden, gitt sécher datt Ären HTML gutt desinfizéiert ass. Dëst kann erreecht ginn duerch trauen Kaderen auswielen ofhängeg vun der Sprooch vun der Wiel. Dir kënnt Sprooche benotzen wéi .Net, Ruby on Rails, a React JS well se hëllefe fir Ären HTML Code ze analyséieren an ze botzen. All Donnéeën vun authentifizéierten oder net authentifizéierte Benotzer als net trauen behandelen kann de Risiko vun XSS Attacke reduzéieren.
Onsécher Deserialiséierung
Deserialiséierung ass d'Transformatioun vu serialiséierten Donnéeën vun engem Server op en Objet. Deserialiséierung vun Daten ass e gemeinsamt Optriede bei der Softwareentwécklung. Et ass onsécher wann Daten ass deserialiséiert vun enger net zouverlässeg Quell. Dëst kann potenziell aussetzt Är Applikatioun un Attacken. Onsécher Deserialiséierung geschitt wann deserialiséierter Donnéeën vun enger net vertrauter Quell zu DDOS Attacken, Remote Code Ausféierung Attacken oder Authentifikatiounsbypass féieren.
Fir onsécher Deserialiséierung ze vermeiden, ass d'Faumregel ni Benotzerdaten ze trauen. All Benotzer Input Daten soll behandelt ginn as potenziell béiswëlleg. Vermeiden Deserialiséierung vun Daten aus net zouverléissege Quellen. Sécherstellen, datt d'deserialization Funktioun ze benotzt ginn an Ärer Webapplikatioun ass sécher.
Benotzt Komponente mat bekannte Schwachstelle
Bibliothéiken a Frameworks hunn et vill méi séier gemaach fir Webapplikatiounen z'entwéckelen ouni d'Rad nei ze erfannen. Dëst reduzéiert Redundanz an der Code Evaluatioun. Si bereet de Wee fir Entwéckler op méi wichteg Aspekter vun Uwendungen ze fokusséieren. Wann Ugräifer Exploiten an dëse Kaderen entdecken, da géif all Codebase de Kader benotzen kompromittéiert ginn.
Komponententwéckler bidden dacks Sécherheetspatches an Updates fir Komponentbibliothéiken. Fir Komponent Schwachstelle ze vermeiden, sollt Dir léiere fir Är Uwendungen um neiste Stand ze halen mat de leschte Sécherheetspatches an Upgrades. Onbenotzt Komponenten sollen ewechgeholl ginn vun der Applikatioun fir Attacke Vektoren ze schneiden.
Net genuch Logging a Iwwerwaachung
Logging an Iwwerwaachung si wichteg fir Aktivitéiten an Ärer Webapplikatioun ze weisen. Logging mécht et einfach Feeler ze verfolgen, Iwwerwaachen Benotzer Login, an Aktivitéiten.
Net genuch Logbuch an Iwwerwaachung geschitt wann Sécherheetskritesch Eventer net protokolléiert ginn richteg. Ugräifer profitéiere vun dësem fir Attacken op Är Applikatioun auszeféieren ier et eng merkbar Äntwert gëtt.
Logging kann Är Firma hëllefen Suen an Zäit ze spueren well Är Entwéckler kënnen liicht fannen Käfere. Dëst erlaabt hinnen méi op d'Léisung vun de Bugs ze fokusséieren wéi no hinnen ze sichen. Tatsächlech kann d'Protokolléierung hëllefen Är Siten a Serveren all Kéier op a lafen ze halen ouni datt se all Ausdauer erliewen.
Konklusioun
Gutt Code ass net just iwwer Funktionalitéit, et geet drëm Är Benotzer an Uwendung sécher ze halen. Den OWASP Top 10 ass eng Lëscht vun de kriteschsten Uwendungssécherheetsrisiken ass eng super gratis Ressource fir Entwéckler fir sécher Web a mobil Apps ze schreiwen. Training Entwéckler op Ärem Team fir Risiken ze bewäerten an ze protokolléieren kënnen Äert Team Zäit a Suen op laang Siicht spueren. Wann Dir wëllt léiere méi iwwer wéi Dir Äert Team op den OWASP Top 10 trainéiert klickt hei.
