Hvad er OWASP?

Open Web Application Security Project (OWASP) er en non-profit organisation, der blev grundlagt i 2001, med det mål at hjælpe webstedsejere og sikkerhedseksperter beskytte web-applikationer fra cyber-angreb. O .asp har 32.000 frivillige rundt om i verden, der udfører Sikkerhedsvurderinger og forskning.,

Blandt OWASP ‘ s centrale publikationer er OWASP Top-10, der er behandlet mere udførligt nedenfor; OWASP Software Assurance Maturity Model (SAMM), OWASP Udvikling Guide, OWASP Test Guide, og OWASP Code Review Guide.

O .asp Top 10

O .asp Top 10 er et bredt accepteret dokument, der prioriterer de vigtigste sikkerhedsrisici, der påvirker .ebapplikationer., Selv om der er mange flere end ti sikkerhedsrisici, ideen bag OWASP Top 10 er at gøre sikkerhed til professionelle er meget opmærksomme på mindst de mest kritiske sikkerhedsrisici, og lær, hvordan at forsvare sig mod dem.o .asp evaluerer regelmæssigt vigtige typer cyberangreb efter fire kriterier: let udnyttelse, udbredelse, detekterbarhed og forretningsmæssige konsekvenser og vælger de 10 bedste angreb. O .asp Top 10 blev først offentliggjort i 2003 og er siden blevet opdateret i 2004, 2007, 2010, 2013 og 2017.,

Forståelse og Forebyggelse af Fælles OWASP Angreb

Nedenfor er oplysninger, der er fastsat af OWASP foundation på fem vigtige web-applikation angreb, som normalt er placeret i den øverste halvdel af OWASP Top-10, hvordan de manifesterer sig, og hvordan du kan beskytte din organisation mod dem. Kodeeksempler er taget fra O .asp Top 10 retningslinjer.

Injektion

En injektion-sårbarhed i en web-applikation gør det muligt for angribere at sende fjendtlige data til en tolk, hvilket medfører, at dataene opstilles og udføres på serveren. En almindelig form for injektion er s .l-injektion.,3844d3c3″>

Exploitability: Høj Prævalens: Medium Sporbarhed: Høj Effekt: Høj

Eksempler på Injection Angreb

Et program bruger upålidelige data, når du opbygger en sårbar SQL-kald:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

En ansøgning tillid til en ramme uden desinfektion sine input, i dette tilfælde Dvale Query Language (HQL):

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

hacker ændrer ‘id’ parameter i deres browser til at sende kode., For eksempel:

http://example.com/app/accountView?id=' or '1'='1

dette får forespørgsler til at returnere alle poster fra kontotabellen og kan bruges til at udføre andre ondsindede handlinger på serveren.

Forhindrer Injektion Angreb

  • Brug en sikker API, der undgår brugen af tolk helt
  • Brug positiv eller “whitelist” server-side input validering
  • undgå specialtegn
  • Brug GRÆNSE og andre SQL-kontroller inden forespørgsler for at forhindre masse offentliggørelse af registreringer i tilfælde af SQL-injektion.,entication

    En web-applikation med brudt eller svag autentifikation kan være nemt opdages af angribere og er sårbar over for brute force/dictionary angreb og session management angreb

    Exploitability: Høj Prævalens: Medium
    Sporbarhed: Medium Effekt: Høj

    Eksempler på Brudte Godkendelse Angreb

    • Credential fyld━angribere bruge lister over kendte adgangskoder og prøv dem i rækkefølge for at få adgang., Uden automatiseret trussel eller legitimationsoplysninger stuffing beskyttelse, er ansøgningen bruges af angribere som en validering mekanisme for enhver adgangskode, de forsøger.
    • adgangskodebaserede angreb Password webebapplikationer, der kun er afhængige af adgangskoder, har iboende svage godkendelsesmekanismer, selvom adgangskoder har kompleksitetskrav og roteres. Organisationer skal skifte til multi-factor autentificering.,

    Formildende Brudt Godkendelse

    • Gennemføre multi-faktor-autentificering
    • ikke implementere systemer med standardlegitimationsoplysninger
    • Tjek for en liste over de øverste 10.000 værste passwords
    • Anvende retningslinjerne i NIST 800-63 B afsnit 5.1.,1 for Huskes Hemmeligheder
    • Hærde alle godkendelses-relaterede processer som registrering og credential recovery
    • Begrænse eller forsinke mislykkede login-forsøg
    • Brug af et sikkert, indbygget, server-side session manager

    Følsomme Data Eksponering

    Følsomme data er typisk de mest værdifulde aktiv ramt af cyber-angreb. Angribere kan få adgang til det ved at stjæle kryptografiske nøgler, gennemføre “man in the middle” (MITM) angreb, eller stjæle klartekst data, som lejlighedsvis kan gemmes på servere eller brugerbro .sere.,

    Exploitability: Medium Prævalens: Høj
    Sporbarhed: Medium Effekt: Høj

    Eksempler på Følsomme Data Eksponering

    • Ingen TLS━hvis et websted ikke bruger SSL/TLS til alle sider, en hacker kan overvåge trafikken, nedgradere forbindelser fra HTTPS til HTTP og stjæle session cookie.
    • usaltede hashes━en passwordebapplikations adgangskodedatabase kan bruge usaltede eller enkle hashes til at gemme adgangskoder., Hvis en angriber får adgang til databasen, kan de let knække hashes, for eksempel ved hjælp af GPU ‘ er, og få adgang.

    Mitigating Sensitive Data e Exposureposure

    • Identificer følsomme data og anvend passende sikkerhedskontrol.
    • ikke gemmer følsomme oplysninger, medmindre det er absolut nødvendigt━kassere følsomme data, skal du bruge tokenization eller afkortning.
    • Krypter alle følsomme data i hvile ved hjælp af stærke krypteringsalgoritmer, protokoller og nøgler.
    • Krypter data i transit ved hjælp af sikre protokoller som TLS og HTTP HSTS.Deaktiver caching for følsomme data.,
    • Gem adgangskoder ved hjælp af stærke, saltede hashingfunktioner som Argon2, scrypt og bcrypt.

    Externalml eksterne enheder (External .e)

    Hvis en applicationebapplikation bruger en sårbar komponentbehandlingsmml, kan angribere uploade .ml eller inkludere fjendtligt indhold, kommandoer eller kode i et .ml-dokument.,2ba97df6″>

    En hacker kan få oplysninger om et privat netværk, der er ved at ændre den ENHED, line at:

    Formildende XXE Angreb

    • Bruge enkle data-formater som JSON og undgå serialisering
    • Patch eller opgradere alle XML-processorer og biblioteker
    • Deaktiver eksterne XML-enhed og DTD behandling
    • Gennemføre whitelisting og desinficering af server-side XML input
    • Validere XML med brug af XSD eller lignende validering
    • Brug SAST værktøjer til at registrere XXE i kildekoden, med manuel gennemgang, hvis det er muligt

    A5., Ødelagt adgangskontrol

    ødelagt adgangskontrol betyder, at angribere kan få adgang til brugerkonti og fungere som brugere eller administratorer, og at almindelige brugere kan få utilsigtede privilegerede funktioner. Stærke adgangsmekanismer sikrer, at hver rolle har klare og isolerede privilegier.,ld stærk adgangskontrol mekanismer og genbruge dem i hele ansøgning

  • Gennemtving ejerskab af registreringen━ikke tillader brugerne at oprette, læs eller slette en post
  • Håndhæve brugen og sats grænser
  • Deaktiver server directory listing og ikke gemme metadata eller backup-filer i mappen root
  • Log mislykkede adgangsforsøg og alarm admins
  • Sats begrænse API-og controller-adgang
  • Validere JWT tokens efter logout

Andre OWASP Top 10 Angreb

  • forkerte sikkerhedskonfigurationer━forkert sikkerhedskontrol er en fælles indgang for angribere., For eksempel en database implementeret med en standard admin adgangskode.
  • Cross-Site Scripting (.ss) att angribere bruger Crossss til at udnytte svagheder i sessionsstyring og udføre ondsindet kode på brugerbro .sere.usikker deserialisering Insecure deserialisering er en kompleks teknik, men hvis den udføres korrekt, giver den angribere mulighed for at udføre ondsindet kode på en server.brug af komponenter med kendte sårbarheder most de fleste applicationsebapplikationer er stærkt afhængige af open source-komponenter, og disse kan omfatte kendte sårbarheder, som angribere kan udnytte for at få adgang eller forårsage skade.,
  • utilstrækkelig logning og overvågning att angribere er afhængige af manglen på overvågning og rettidig reaktion for at lykkes med enhver anden angrebsvektor.

Se, hvordan Imperva Web Application Firewall kan hjælpe dig med OWASP Top 10 angreb.

Imperva Application Security

Imperva ‘ s industri-førende Web Application Firewall (WAF) giver robust beskyttelse mod OWASP Top 10 angreb og andre web-applikation trusler. Imperva tilbyder to deploymentaf-implementeringsmuligheder:

  • Cloud Cloudaf—Tillad legitim trafik og forhindre dårlig trafik., Beskyt dine applikationer på kanten med en enterprise‑class cloud .af.
  • Gateway WAF—holde-applikationer og Api ‘ er inde i dit netværk sikkert med Imperva Gateway WAF.ud over Impaf giver Imperva flere lag beskyttelse for at sikre, at websebsteder og applikationer er tilgængelige, let tilgængelige og sikre. Imperva-applikationssikkerhedsløsningen indeholder:
    • DDoS—Beskyttelse-Oprethold oppetid i alle situationer. Undgå enhver form for DDoS-angreb, uanset størrelse, fra at forhindre adgang til dit websiteebsted og netværksinfrastruktur.,
    • CDN-forbedre hjemmeside ydeevne og reducere omkostningerne båndbredde med en CDN designet til udviklere. Cache statiske ressourcer på kanten, mens accelerere API ‘ er og dynamiske hjemmesider.
    • Bot management—analyserer din bot trafik til at identificere anomalier, identificerer dårlig bot adfærd og validerer det via udfordring mekanismer, der ikke påvirker brugeren trafik.API-sikkerhed-beskytter API ‘ er ved at sikre, at kun den ønskede trafik kan få adgang til dit API-endepunkt, samt opdage og blokere udnyttelse af sårbarheder.,
    • account takeover protection-bruger en formålsbaseret detektionsproces til at identificere og forsvare mod forsøg på at overtage brugernes konti til ondsindede formål.
    • RASP-Hold dine programmer sikkert indefra mod kendte og nul-dages angreb. Hurtig og præcis beskyttelse uden signatur eller læringstilstand.
    • Attack analytics-mitigate og reagere på reelle sikkerhedstrusler effektivt og præcist med handlingsrettede intelligens på tværs af alle dine lag af forsvar.

Articles

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *