Hatari 10 Kuu za Usalama za OWASP | Muhtasari
Orodha ya Yaliyomo
OWASP ni nini?
OWASP ni shirika lisilo la faida linalojitolea kwa elimu ya usalama ya programu ya wavuti.
Nyenzo za kujifunzia za OWASP zinapatikana kwenye tovuti yao. Zana zao ni muhimu kwa kuboresha usalama wa programu za wavuti. Hii ni pamoja na hati, zana, video na vikao.
Top 10 ya OWASP ni orodha inayoangazia maswala makuu ya usalama kwa programu za wavuti leo. Wanapendekeza kwamba kampuni zote zijumuishe ripoti hii katika michakato yao ili kupunguza hatari za usalama. Ifuatayo ni orodha ya hatari za usalama zilizojumuishwa katika ripoti ya OWASP Top 10 2017.
SQL sindano
Sindano ya SQL hutokea wakati mshambuliaji anatuma data isiyofaa kwa programu ya wavuti ili kutatiza programu katika programu..
Mfano wa Sindano ya SQL:
Mshambulizi anaweza kuingiza swali la SQL katika fomu ya ingizo ambayo inahitaji maandishi wazi ya jina la mtumiaji. Ikiwa fomu ya ingizo haijalindwa, itasababisha utekelezaji wa hoja ya SQL. Hii inatajwa kama sindano ya SQL.
Ili kulinda programu za wavuti dhidi ya kudunga msimbo, hakikisha kuwa wasanidi programu wako wanatumia uthibitishaji wa ingizo kwenye data iliyowasilishwa na mtumiaji. Uthibitishaji hapa unarejelea kukataliwa kwa ingizo batili. Kidhibiti hifadhidata pia kinaweza kuweka vidhibiti ili kupunguza kiasi cha habari ambayo inaweza kufichuliwa katika shambulio la sindano.
Ili kuzuia sindano ya SQL, OWASP inapendekeza kuweka data tofauti na amri na hoja. Chaguo bora ni kutumia salama API kuzuia matumizi ya mkalimani, au kuhamia Zana za Ramani za Kipengele (ORMs).
Uthibitishaji Uliovunjwa
Athari za uthibitishaji zinaweza kumruhusu mvamizi kufikia akaunti za watumiaji na kuathiri mfumo kwa kutumia akaunti ya msimamizi.. Mhalifu wa mtandao anaweza kutumia hati kujaribu maelfu ya mchanganyiko wa nenosiri kwenye mfumo ili kuona ni ipi inafanya kazi. Mara mhalifu wa mtandao anapoingia, anaweza kughushi utambulisho wa mtumiaji, na kuwapa ufikiaji wa habari za siri..
Athari iliyoharibika ya uthibitishaji ipo katika programu za wavuti zinazoruhusu kuingia kiotomatiki. Njia maarufu ya kusahihisha udhaifu wa uthibitishaji ni matumizi ya uthibitishaji wa mambo mengi. Pia, kikomo cha kiwango cha kuingia kinaweza kujumuishwa katika programu ya wavuti ili kuzuia mashambulizi ya nguvu ya kinyama.
Mfichuo Nyeti wa Data
Ikiwa programu za wavuti hazilinde washambuliaji nyeti wanaweza kuzifikia na kuzitumia kwa manufaa yao. Shambulio la njiani ni njia maarufu ya kuiba habari nyeti. Hatari ya kukaribia aliyeambukizwa ni ndogo wakati data yote nyeti imesimbwa kwa njia fiche. Wasanidi wa wavuti wanapaswa kuhakikisha kuwa hakuna data nyeti inayofichuliwa kwenye kivinjari au kuhifadhiwa bila lazima.
Vyombo vya Nje vya XML (XEE)
Mhalifu wa mtandao anaweza kupakia au kujumuisha maudhui hasidi ya XML, amri au msimbo ndani ya hati ya XML.. Hii inawaruhusu kutazama faili kwenye mfumo wa faili wa seva ya programu. Pindi tu wanapopata ufikiaji, wanaweza kuingiliana na seva ili kutekeleza mashambulizi ya kughushi ombi la upande wa seva (SSRF)..
Mashambulizi ya huluki ya nje ya XML yanaweza kuzuiwa na kuruhusu programu za wavuti kukubali aina za data changamano kama vile JSON. Kuzima uchakataji wa huluki ya nje ya XML pia hupunguza uwezekano wa shambulio la XEE.
Udhibiti Uliovunjwa wa Ufikiaji
Udhibiti wa ufikiaji ni itifaki ya mfumo inayowawekea kikomo watumiaji wasioidhinishwa kwa taarifa nyeti. Ikiwa mfumo wa udhibiti wa ufikiaji umevunjwa, washambuliaji wanaweza kukwepa uthibitishaji. Hii inawapa ufikiaji wa habari nyeti kana kwamba wana idhini. Udhibiti wa Ufikiaji unaweza kulindwa kwa kutekeleza tokeni za uidhinishaji kwenye kuingia kwa mtumiaji. Kwa kila ombi ambalo mtumiaji hufanya wakati limeidhinishwa, tokeni ya uidhinishaji iliyo na mtumiaji inathibitishwa, kuashiria kwamba mtumiaji ameidhinishwa kufanya ombi hilo.
Mabadiliko yasiyofaa ya Usalama
Mipangilio mibaya ya usalama ni suala la kawaida ambalo cybersecurity wataalam wanaona katika programu za wavuti. Hii hutokea kwa sababu ya vichwa vya HTTP vilivyowekwa vibaya, vidhibiti vya ufikiaji vilivyoharibika, na uonyeshaji wa hitilafu zinazofichua maelezo katika programu ya wavuti.. Unaweza kurekebisha Mipangilio Mibaya ya Usalama kwa kuondoa vipengele ambavyo havijatumiwa. Unapaswa pia kurekebisha au kuboresha vifurushi vya programu yako.
Kuweka Wavuti ya Wavuti ya Wavuti (XSS)
Athari ya XSS hutokea wakati mshambulizi anapotosha API ya DOM ya tovuti inayoaminika ili kutekeleza msimbo hasidi katika kivinjari cha mtumiaji.. Utekelezaji wa msimbo huu hasidi mara nyingi hutokea wakati mtumiaji anabofya kiungo kinachoonekana kuwa kutoka kwa tovuti inayoaminika.. Ikiwa tovuti haijalindwa kutokana na uwezekano wa XSS, inaweza kuathirika. Kanuni hasidi hiyo inatekelezwa humpa mshambulizi idhini ya kufikia kipindi cha kuingia cha mtumiaji, maelezo ya kadi ya mkopo na data nyingine nyeti.
Ili kuzuia Uandikaji wa Tovuti Mtambuka (XSS), hakikisha kuwa HTML yako imesafishwa vyema. Hii inaweza kufikiwa na kuchagua mifumo inayoaminika kulingana na lugha ya chaguo. Unaweza kutumia lugha kama vile .Net, Ruby on Rails na React JS kwani zitakusaidia kuchanganua na kusafisha msimbo wako wa HTML. Kutibu data zote kutoka kwa watumiaji walioidhinishwa au wasioidhinishwa kama wasioaminika kunaweza kupunguza hatari ya mashambulizi ya XSS..
Uharibifu usio salama
Desererialization ni mabadiliko ya data serialized kutoka seva hadi kitu. Uondoaji wa data ni jambo la kawaida katika ukuzaji wa programu. Si salama wakati data ni deserialized kutoka kwa chanzo kisichoaminika. Hii inaweza uwezekano onyesha maombi yako kwa mashambulizi. Uondoaji salama wa data hutokea wakati data iliyoondolewa kutoka kwa chanzo kisichoaminika husababisha mashambulizi ya DDOS, mashambulizi ya utekelezaji wa misimbo ya mbali, au uthibitishaji wa kupita..
Ili kuepusha kukatishwa tamaa kwa usalama, kanuni ya msingi ni kutowahi kuamini data ya mtumiaji. Kila data ya pembejeo ya mtumiaji inapaswa kutibiwa as uwezekano hasidi. Epuka upotezaji wa data kutoka kwa vyanzo visivyoaminika. Hakikisha kuwa uondoaji utendakazi kwa kutumiwa katika programu yako ya wavuti ni salama.
Kutumia Vipengele Vilivyo na Athari Zinazojulikana
Maktaba na Mifumo imefanya iwe haraka zaidi kukuza programu za wavuti bila kuhitaji kuunda tena gurudumu. Hii inapunguza upungufu katika tathmini ya kanuni. Hufungua njia kwa watengenezaji kuzingatia vipengele muhimu zaidi vya programu. Wavamizi wakigundua ushujaa katika mifumo hii, kila msimbo unaotumia mfumo huo ungefanya kuathirika.
Wasanidi wa vipengele mara nyingi hutoa viraka vya usalama na masasisho kwa maktaba ya vipengele. Ili kuepuka udhaifu wa vipengele, unapaswa kujifunza kusasisha programu zako na masasisho ya hivi punde zaidi ya usalama.. Vipengele visivyotumiwa vinapaswa kuondolewa kutoka kwa programu ya kukata veta za kushambulia.
Ukataji wa Magogo na Ufuatiliaji usiotosha
Kuweka kumbukumbu na ufuatiliaji ni muhimu ili kuonyesha shughuli katika programu yako ya wavuti. Kuweka kumbukumbu hurahisisha kufuatilia makosa, kufuatilia watumiaji kuingia, na shughuli.
Ukataji na ufuatiliaji wa kutosha hutokea wakati matukio muhimu ya usalama hayajaingia vizuri. Wavamizi hufaidika na hili ili kutekeleza mashambulizi kwenye programu yako kabla ya kuwa na jibu lolote linaloonekana.
Kuweka kumbukumbu kunaweza kusaidia kampuni yako kuokoa pesa na wakati kwa sababu wasanidi wako wanaweza urahisi kupata mende. Hii inawaruhusu kuzingatia zaidi kutatua hitilafu kuliko kuzitafuta. Kwa kweli, ukataji miti unaweza kusaidia kuweka tovuti na seva zako zikiendelea kila wakati bila wao kukabiliwa na wakati wowote wa kutokuwepo.
Hitimisho
Msimbo mzuri sio tu kuhusu utendakazi, ni kuhusu kuweka watumiaji wako na programu salama. OWASP Top 10 ni orodha ya hatari muhimu zaidi za usalama wa programu ni rasilimali kubwa isiyolipishwa kwa watengenezaji kuandika programu salama za wavuti na simu.. Kufundisha wasanidi programu kwenye timu yako kutathmini na kuweka hatari kunaweza kuokoa muda na pesa za timu yako baadaye. Ikiwa ungependa kujifunza zaidi kuhusu jinsi ya kutoa mafunzo kwa timu yako kwenye OWASP Top 10 bofya hapa.
