co je OWASP?
Open Web Application Security Project (OWASP) je nezisková organizace, která byla založena v roce 2001 s cílem pomoci majitelům webových stránek a bezpečnostní experti chránit webové aplikace před kybernetickými útoky. OWASP má po celém světě 32 000 dobrovolníků, kteří provádějí bezpečnostní hodnocení a výzkum.,
Mezi OWASP je klíčové publikace jsou OWASP Top 10, diskutována v podrobněji níže; OWASP Software Assurance maturity Model (SAMM), OWASP Development Guide, OWASP Testing Guide a OWASP Code Review Guide.
OWASP Top 10
OWASP Top 10 je široce přijímaný dokument, který upřednostňuje nejdůležitější bezpečnostní rizika postihující webové aplikace., Ačkoli existuje mnoho více než deset bezpečnostních rizik, myšlenka OWASP Top 10 je, aby bezpečnostní odborníci velmi dobře vědomi alespoň nejkritičtějších bezpečnostních rizik, a naučit se bránit proti nim.
OWASP pravidelně vyhodnocuje důležité typy kybernetických útoků pomocí čtyř kritérií: snadnost využitelnosti, prevalence, rozlišitelnost, a obchodní dopad, a vybere 10 nejlepších útoků. OWASP Top 10 byl poprvé publikován v roce 2003 a od té doby byl aktualizován v letech 2004, 2007, 2010, 2013 a 2017.,
Pochopení a Prevence Společné OWASP Útoky
Níže je informace poskytována OWASP foundation na pět důležitých webové aplikace útoky, které se obvykle řadí v horní polovině OWASP Top 10, jak se projevují, a jak můžete chránit své organizace proti nim. Příklady kódu jsou převzaty z pokynů OWASP Top 10.
injekce
zranitelnost injekce ve webové aplikaci umožňuje útočníkům odesílat nepřátelská data tlumočníkovi, což způsobí, že data budou kompilována a provedena na serveru. Běžnou formou injekce je injekce SQL.,3844d3c3″>
Příklady Injection Útoky
aplikace používá neověřené údaje při stavbě zranitelného volání SQL:
String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";
aplikace, věří rámec, bez dezinfekce své vstupy, v tomto případě Hibernate Query Language (HQL):
Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");
útočník modifikuje “ id “ parametr ve svém prohlížeči poslat kód., Například:
http://example.com/app/accountView?id=' or '1'='1
to způsobí, že dotazy vrátí všechny záznamy z tabulky účtů a mohou být použity k provádění dalších škodlivých akcí na serveru.
Prevence Injection Útoky
- Použití bezpečné API, které se vyhýbá používání tlumočníka?
- Použití pozitivní nebo „whitelist“ server-side validace vstupu
- Útěk speciální znaky
- Použití LIMIT a další SQL kontrol v rámci dotazů, aby se zabránilo masové zpřístupnění záznamů v případě SQL injection.,entication
webové aplikace s rozbité nebo slabé ověřování může být snadno detekován útočníci a je zranitelné vůči brute force/slovník útoky a session management útoky
Využitelnosti: Vysoké Výskyt: Střední Rozlišitelnost: Střední Dopad: Vysoká Příklady Rozbité Ověřování Útoky
- Pověření nádivkou━útočníci používají seznamy známých hesla a zkuste je postupně získat přístup., Bez automatizované ochrany proti hrozbě nebo pověření je aplikace útočníky používána jako ověřovací mechanismus pro jakékoli heslo, které vyzkouší.
- útoky založené na heslech━webové aplikace spoléhající se pouze na hesla mají ve své podstatě slabé autentizační mechanismy, i když hesla mají požadavky na složitost a jsou otočena. Organizace by měly přejít na vícefaktorovou autentizaci.,
Polehčující Broken Authentication
- Realizovat multi-faktor autentizace
- nasazení systémů s výchozí přihlašovací údaje
- Podívejte se na seznam nejlepších 10.000 nejhorších hesel
- Použijte pokyny v NIST 800-63 B oddíl 5.1.,1 na Paměti Tajemství
- Harden všechny ověřování související procesy, jako je registrace a pověření využití
- Omezení nebo zpoždění neúspěšných pokusů o přihlášení
- Používat zabezpečené, vestavěný, server-side session manager
Citlivá Data Vystavení
Citlivá data, je obvykle to nejcennější, co terčem kybernetických útoků. Útočníci mohou získat přístup k němu tím, že kradli šifrovací klíče, provádění „man in the middle“ (MITM) útoky, nebo krást nešifrované údaje, které mohou občas být uloženy na serverech nebo uživatelských prohlížečích.,
Využitelnosti: Střední Výskyt: Vysoké Rozlišitelnost: Střední Dopad: Vysoká Příklady Citlivých Údajů Expozice
- Žádné TLS━pokud web nepoužívá SSL/TLS pro všechny stránky, útočník může sledovat provoz, snížení připojení z protokolu HTTPS na HTTP a ukrást session cookie.
- Unsalted hash━databáze hesel webové aplikace může pro ukládání hesel používat nesolené nebo jednoduché hashe., Pokud útočník získá přístup k databázi, může snadno rozbít hash, například pomocí GPU, a získat přístup.
zmírnění expozice citlivých dat
- identifikace citlivých dat a použití vhodných bezpečnostních kontrol.
- neukládejte citlivá data, pokud to není nezbytně nutné━zlikvidujte citlivá data, použijte tokenizaci nebo zkrácení.
- Zašifrujte všechna citlivá data v klidu pomocí silných šifrovacích algoritmů, protokolů a klíčů.
- šifrování dat v tranzitu pomocí zabezpečených protokolů, jako jsou TLS a HTTP HSTS.
- zakázat ukládání do mezipaměti pro citlivá data.,
- ukládat hesla pomocí silné, solené hash funkce jako Argon2, scrypt a bcrypt.
XML External Entity (XXE)
Pokud webová aplikace používá zranitelné komponenty zpracování XML, útočníci mohou nahrát XML nebo obsahují nepřátelské obsah, příkazy nebo kódu v XML dokumentu.,2ba97df6″>
může útočník získat informace o privátní síti změnou SUBJEKTU řádek:
Polehčující XXE Útoky
- Použít jednodušší datové formáty jako JSON a vyhnout serializace
- Patch nebo inovovat všechny XML procesory a knihovny
- Zakázat XML external entity a DTD zpracování
- Realizovat whitelisting a sanitace server-side XML vstupy
- Validate XML pomocí XSD nebo podobné validace
- Použití ŠÁSTI nástroje pro detekci XXE ve zdrojovém kódu, s manuální kontrolu, pokud je to možné
A5., Broken Access Control
Broken Access control znamená, že útočníci mohou získat přístup k uživatelským účtům a působit jako uživatelé nebo administrátoři a že běžní uživatelé mohou získat nezamýšlené privilegované funkce. Silné mechanismy přístupu zajišťují, že každá role má jasná a izolovaná oprávnění.,ld silné mechanismy řízení přístupu, a znovu je přes aplikace
- Prosadit záznam vlastnictví━neumožňují uživatelům vytvářet, přečtěte si nebo odstranit žádné záznamy
- Prosadit využití a míra omezení
- Vypnout server výpis adresáře, a ne ukládat metadata nebo záložní soubory ve složce root
- Log neúspěšné pokusy o přístup a upozornění administrátoři
- Míra omezení API a správce přístup
- Ověření tokeny JWT po odhlášení
Další OWASP Top 10 Útoků
- chyby konfigurace Zabezpečení━chybně bezpečnostní kontroly jsou společné vstupní bod pro útočníky., Například databáze nasazená s výchozím heslem správce.
- Cross-Site Scripting (XSS)━útočníci používají XSS k využití slabin ve správě relací a provádění škodlivého kódu v uživatelských prohlížečích.
- nejistá Deserializace━deserializace je složitá technika, ale pokud je provedena správně, umožňuje útočníkům provádět škodlivý kód na serveru.
- Používání Komponent s Známých Zranitelností━většina webových aplikací spoléhá na open-source komponent, a tyto mohou obsahovat známé zranitelnosti, které útočníci mohou využít k získání přístupu nebo způsobit poškození.,
- Nedostatečné, Protokolování a Sledování━útočníci spoléhají na nedostatek monitorování a včasnou reakci na úspěch s jinými útoku.
podívejte se, jak vám může Firewall webové aplikace Imperva pomoci s útoky OWASP Top 10.
Imperva Zabezpečení Aplikace
Imperva je průmysl-vedoucí Webový Aplikační Firewall (WAF) poskytuje robustní ochranu proti OWASP Top 10 útoků a jiných webových aplikací hrozby. Imperva nabízí dva WAF možnosti nasazení:
- Cloud WAF—povolení legitimní provoz a předcházet zácpě., Zabezpečte své aplikace na okraji pomocí cloudového WAF podnikové třídy.
- brána WAF-udržujte aplikace a rozhraní API uvnitř vaší sítě v bezpečí pomocí Imperva Gateway WAF.
kromě WAF poskytuje Imperva vícevrstvou ochranu, aby se ujistil, že webové stránky a aplikace jsou k dispozici, snadno přístupné a bezpečné. Bezpečnostní řešení aplikace Imperva zahrnuje:
- ochrana DDoS-udržujte provozuschopnost ve všech situacích. Zabraňte jakémukoli typu útoku DDoS jakékoli velikosti, aby se zabránilo přístupu na vaše webové stránky a síťovou infrastrukturu.,
- CDN-Zvyšte výkon webových stránek a snižte náklady na šířku pásma pomocí CDN určeného pro vývojáře. Cache statické zdroje na okraji při urychlení API a dynamické webové stránky.
- Bot management-analyzuje váš bot provoz určit anomálie, identifikuje špatné chování bot a ověřuje jej pomocí challenge mechanismy, které nemají vliv na uživatelský provoz.
- API zabezpečení—chrání Api tím, že zajistí pouze požadovanou provoz může přístup k API koncový bod, stejně jako detekci a blokování využije zranitelnosti.,
- ochrana převzetí účtu – používá detekční proces založený na záměru k identifikaci a obraně proti pokusům převzít účty uživatelů pro škodlivé účely.
- RASP-Udržujte své aplikace v bezpečí zevnitř proti známým a nulovým útokům. Rychlá a přesná ochrana bez podpisu nebo režimu učení.
- Attack analytics-zmírnit a reagovat na skutečné bezpečnostní hrozby efektivně a přesně s žalovatelné inteligence napříč všemi vrstvami obrany.