Mikä on OWASP?
Open Web Application Security Project (OWASP) on voittoa tavoittelematon järjestö perustettiin vuonna 2001, jonka tavoitteena on auttaa sivuston omistajat ja tietoturva-asiantuntijat suojata web-sovellukset, kyber-hyökkäyksiä. OWASPILLA on 32 000 vapaaehtoista ympäri maailmaa, jotka tekevät turvallisuusarviointeja ja-tutkimuksia.,
Joukossa OWASP: n tärkeimmät julkaisut ovat OWASP Top 10, käsitellään tarkemmin jäljempänä. OWASP Software Assurance-Maturiteetti-Model (SAMM), että OWASP Kehityksen Opas, OWASP Testing Guide, ja OWASP Code Review Guide.
, Että OWASP Top 10
OWASP Top 10 on laajalti hyväksytty asiakirja, joka priorisoi tärkeimmät turvallisuuteen vaikuttavat riskit web-sovelluksia., Vaikka turvallisuusriskejä on paljon yli kymmenen, OWASP Top 10: n ideana on saada turvallisuusalan ammattilaiset hyvin tietoisiksi ainakin kriittisimmistä turvallisuusriskeistä ja oppia puolustautumaan niitä vastaan.
OWASP määräajoin arvioi tärkeää tyyppisiä verkkohyökkäyksiä neljä kriteeriä: helppous kuvatun haavoittuvuuden, levinneisyys, havaittavuudesta, ja vaikutus liiketoimintaan, ja valitsee top 10 hyökkäyksiä. Että OWASP Top 10 julkaistiin ensimmäisen kerran vuonna 2003 ja on sittemmin päivitetty vuosina 2004, 2007, 2010, 2013 ja 2017.,
Ymmärrystä ja Estää Yhteisiä OWASP Hyökkäyksiä
Alla on toimittamat tiedot OWASP-säätiön viisi tärkeää web-sovellus hyökkäyksiä, jotka yleensä sijoitus top puolet OWASP Top 10, miten ne ilmenevät, ja miten voit suojata organisaatiosi heitä vastaan. Koodiesimerkit on otettu OWASP Top 10-ohjeista.
Injektio
injektio haavoittuvuus web-sovelluksen avulla hyökkääjät lähettää vihamielinen tietoja tulkkia, mikä aiheuttaa, että tiedot on käännetty ja teloitettiin palvelimen. Yleinen injektiomuoto on SQL-injektio.,3844d3c3″>
Esimerkkejä Injektio Hyökkäyksiä
sovellus käyttää epäluotettavia tietoja, kun rakentaa haavoittuvainen SQL-kutsu:
String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";
sovellus luottaa puitteet, ilman puhdistus sen tuloa, tässä tapauksessa Hibernate Query Language (HQL):
Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");
hyökkääjä muuttaa ” id ” parametri heidän selain lähettää koodi., Esimerkiksi:
http://example.com/app/accountView?id=' or '1'='1
Tämä aiheuttaa sen, että kyselyt palauttaa kaikki tietueet, valitse tilit-taulukosta ja sitä voidaan käyttää suorittaa muita haitallisia toimia palvelimella.
Estää Injektio Hyökkäyksiä
- Käytä turvallinen API jossa vältetään tulkin kokonaan
- Käytä positiivista tai ”valkoinen lista” server-side input validointi
- Paeta erikoismerkkejä
- Käytä RAJA-ja muut SQL sisäistä valvontaa kyselyt estää massa tietojen salassapito tapauksessa SQL-injektio.,entication
web-sovellus, jossa on rikkinäinen tai heikko autentikointi voidaan helposti havaita hyökkääjät ja on altis brute force/sanakirja hyökkäyksiä ja istunnon hallinta hyökkäyksiä
kuvatun haavoittuvuuden: Korkea Levinneisyys: Medium Havaittavuudesta: Keskipitkän Vaikutus: Korkea Esimerkkejä Broken Authentication Hyökkäyksiä
- Käyttöoikeustietojen täyte━hyökkääjät käyttävät listoja tunnetuista salasanat ja kokeilla niitä peräkkäin päästä., Ilman automaattista uhka-tai luottotäytteiden suojaa hyökkääjät käyttävät sovellusta minkä tahansa kokeilemansa salasanan validointimekanismina.
- Salasana-pohjaisia hyökkäyksiä━web-sovelluksia, luottaen vain salasanat on luonnostaan heikko autentikointi mekanismit, vaikka salasanat ovat monimutkaisia vaatimuksia ja käännetään. Organisaatioiden tulisi siirtyä monikertaistodennukseen.,
Lieventävät Rikki Todennus
- Toteuttaa multi-factor authentication
- ei käyttää järjestelmissä, joissa oletuksena valtakirjojen
- Tarkista luettelo top 10,000 pahinta salasanat
- Käytä ohjeet NIST 800-63 B kohta 5.1.,1 Ulkoa Salaisuuksia
- Harden kaikki todennus liittyvät prosessit, kuten rekisteröinti-ja tilitietojen hyödyntämistä
- Rajoittaa tai viivyttää epäonnistui kirjautumisyrityksiä
- Käytä turvallinen, sisäänrakennettu, server-side session manager
Arkaluonteisten Tietojen Altistuminen
Arkaluonteiset tiedot on yleensä arvokkain voimavara kohteena verkkohyökkäykset. Hyökkääjät voivat päästä tietoihin käsiksi varastamalla salausavaimia, johtamiseen ”mies keskellä” (MITM) hyökkäyksiä, tai varastaa tietoja suojaamattomana, joka voi joskus olla tallennettu palvelimiin tai käyttäjän selainten.,
kuvatun haavoittuvuuden: Medium Levinneisyys: Korkea Havaittavuudesta: Medium Vaikutus: Korkea Esimerkkejä Arkaluonteisten Tietojen Altistuminen
- Ei TLS━jos sivusto ei käytä SSL/TLS-kaikki sivut, hyökkääjä voi seurata liikennettä, downgrade yhteydet HTTPS-HTTP ja varastaa istuntokohtainen eväste.
- Unsalted hashes━verkkosovelluksen salasanatietokannassa voi käyttää suolattomia tai yksinkertaisia hasheja salasanojen tallentamiseen., Jos hyökkääjä pääsee käsiksi tietokantaan, hän voi helposti murtaa viivat esimerkiksi GPU: n avulla ja päästä käsiksi niihin.
arkaluonteisten tietojen altistumisen vähentäminen
- tunnista arkaluonteiset tiedot ja käytä asianmukaisia turvavalvontatoimenpiteitä.
- Älä säilytä arkaluontoisia tietoja, ellei se ole välttämätöntä.━hävitä arkaluonteisia tietoja, käytä saneistus tai katkaisu.
- Salaa kaikki arkaluonteiset tiedot levossa käyttäen vahvaa salausta algoritmit, protokollat ja avaimet.
- salaa tiedot kauttakuljetuksessa käyttäen suojattuja protokollia, kuten TLS ja HTTP HSTS.
- poista välimuistin käyttö käytöstä arkaluonteisten tietojen osalta.,
- Tallentaa salasanat vahva, suolattu hajautus toimintoja, kuten Argon2, scrypt ja bcrypt.
XML Ulkoiset Yksiköt (XXE)
Jos web-sovellus käyttää haavoittuva komponentti käsittely XML, hyökkääjät voivat ladata XML tai ovat vihamielisiä sisältöä, komentoja tai koodin sisällä XML-dokumentti.,2ba97df6″>
hyökkääjä voi saada tietoa yksityisen verkon muuttamalla YHTEISÖN rivi:
Lieventävät XXE-Iskujen
- Käyttää yksinkertaisempaa tiedot formaatteja kuten JSON ja välttää serialization
- Laastari tai päivittää kaikki XML-prosessorit ja kirjastot
- Poistaa XML-ulkoinen yksikkö ja DTD-käsittely
- Toteuttaa whitelisting ja desinfioinnit server-side XML-tulot
- Vahvista XML käyttämällä XSD tai vastaavia validointi
- Käytä an nam m työkaluja havaita XXE lähde-koodi, jossa manuaalinen tarkistus, jos mahdollista
A5., Rikkoutunut kulunvalvonta
rikkoutunut kulunvalvonta tarkoittaa, että hyökkääjät voivat päästä käsiksi käyttäjätileihin ja toimia käyttäjinä tai ylläpitäjinä ja että tavalliset käyttäjät voivat saada tahattomia etuoikeutettuja toimintoja. Vahvoilla käyttömekanismeilla varmistetaan, että jokaisella tehtävällä on selkeät ja erilliset etuoikeudet.,ld vahva yhteys valvonnan mekanismeja, ja käyttää niitä uudelleen eri sovellus
- Valvoa tietueen omistajuuteen━älä salli käyttäjien luoda, lukea tai poistaa ennätys
- Valvoa käyttöä ja sykerajat
- poista Käytöstä palvelimen hakemistossa listalle, ja älä säilytä metatietojen tai varmuuskopioida tiedostot kansioon root
- Kirjautuminen epäonnistui käyttää yritykset ja hälytys ylläpitäjät
- Korko raja API ja controller-yhteys
- Vahvista JWT kuponkia jälkeen kirjaudu ulos
Muita OWASP Top 10-Iskujen
- tietoturvapuutteita━väärin turvallisuuden valvonta on yhteinen yhteyspiste hyökkääjät., Esimerkiksi tietokanta, joka on otettu käyttöön oletussalasanalla.
- Cross-Site Scripting (XSS)━hyökkääjät käyttävät XSS hyödyntää heikkouksia istunnon hallinta ja suorittaa haitallisen koodin käyttäjien selaimet.
- Epävarma Deserialization━deserialization on monimutkainen tekniikka, mutta jos teloitettiin oikein, se mahdollistaa hyökkääjän suorittaa haitallista koodia palvelimella.
- Komponentteja Käyttäen Tunnettuja Haavoittuvuuksia━useimmat web-sovellukset luottavat vahvasti avoimen lähdekoodin komponentteja, ja nämä voivat sisältää tunnettuja haavoittuvuuksia, joita hyökkääjät voivat hyödyntää päästä tai aiheuttaa vahinkoa.,
- riittämättömät hakkuut ja seuranta━hyökkääjät luottavat seurannan puutteeseen ja oikea-aikaiseen reagointiin onnistuakseen minkä tahansa muun hyökkäysvektorin kanssa.
katso, miten Impervan verkkosovelluksen palomuuri voi auttaa OWASP Top 10-hyökkäyksissä.
Imperva Sovellus Turvallisuus
Imperva on alan johtava Web Application Firewall (WAF) tarjoaa vankan suojan OWASP Top 10-iskujen ja muiden web-sovellus uhkia. Imperva tarjoaa kaksi WAF asennusvaihtoehdot:
- Cloud WAF—oleskeluluvan laillista liikennettä ja estää ruuhkia., Suojaa sovelluksia reunalla enterprise-luokan pilvi WAF.
- Gateway WAF—keep applications and APIs inside your network safe with Imperva Gateway WAF.
lisäksi WAF: lle, Imperva tarjoaa monikerroksinen suojaus varmista, sivustot ja sovellukset ovat käytettävissä, helposti saatavilla ja turvallinen. Impervan sovellusvarmuusratkaisu sisältää:
- DDoS Protection—säilytä käyttöaika kaikissa tilanteissa. Estää minkä tahansa kokoluokan DDoS-hyökkäyksen pääsyn verkkosivustollesi ja verkkoinfrastruktuuriisi.,
- CDN—parantaa sivuston suorituskykyä ja vähentää kaistanleveyden kustannuksia CDN suunniteltu kehittäjille. Välimuisti staattisia resursseja reunalla kiihdyttäen APIs ja dynaamiset sivustot.
- Botti johto—analysoi bot liikenne paikantaa poikkeavuuksia, tunnistaa huono botti käyttäytymistä ja vahvistaa sitä kautta haaste mekanismeja, jotka eivät vaikuta käyttäjän liikennettä.
- API-turvallisuus—suojaa APIs varmistamalla, että vain haluttu liikenne voi käyttää API päätepiste, sekä havaita ja estää hyödyntää haavoittuvuuksia.,
- Tilin haltuunotto suoja—käyttää intent-pohjainen tunnistus prosessi tunnistaa ja puolustaa vastaan yrittää ottaa haltuunsa käyttäjien osuus haitallisiin tarkoituksiin.
- RASP—Pidä sovellukset turvassa sisältäpäin tunnettuja ja nollapäiväisiä hyökkäyksiä vastaan. Nopea ja tarkka suojaus ilman allekirjoitusta tai oppimistilaa.
- Hyökkäys analytics—lieventää ja vastata todellisia turvallisuusuhkia tehokkaasti ja tarkasti käytännöllisiä älykkyyttä kaikissa kerroksia puolustus.