mi az OWASP?
Az Open Web Application Security Project (OWASP) egy 2001-ben alapított nonprofit szervezet, amelynek célja, hogy segítse a weboldal tulajdonosait és a biztonsági szakértőket a webes alkalmazások kibertámadásoktól való védelmében. Az OWASP-nek világszerte 32 000 önkéntese van, akik biztonsági értékeléseket és kutatásokat végeznek.,
az OWASP legfontosabb kiadványai között szerepel az OWASP Top 10, amelyet az alábbiakban részletesebben tárgyalunk; az OWASP Software Assurance Maturance Model (SAMM), az OWASP Development Guide, az OWASP Testing Guide, valamint az OWASP Code Review Guide.
az OWASP Top 10
OWASP Top 10 egy széles körben elfogadott dokumentum, amely rangsorolja a webes alkalmazásokat érintő legfontosabb biztonsági kockázatokat., Bár több mint tíz biztonsági kockázat van, az OWASP Top 10 mögött az a gondolat áll, hogy a biztonsági szakemberek legalább a legkritikusabb biztonsági kockázatokkal tisztában legyenek, és megtanulják, hogyan kell megvédeni őket.
az OWASP rendszeresen négy kritérium alapján értékeli a kibertámadások fontos típusait: könnyű kihasználhatóság, prevalencia, detektálhatóság és üzleti hatás, valamint kiválasztja a top 10 támadást. Az OWASP Top 10 először 2003-ban jelent meg, azóta 2004-ben, 2007-ben, 2010-ben, 2013-ban és 2017-ben frissült.,
A közös OWASP támadások megértése és megelőzése
Az alábbiakban az OWASP Alapítvány öt fontos webes alkalmazástámadásról nyújt információt, amelyek általában az OWASP Top 10 felső felében helyezkednek el, hogyan nyilvánulnak meg, és hogyan védheti meg szervezetét velük szemben. Kód példák venni a OWASP Top 10 iránymutatások.
Injection
egy webes alkalmazás injekciós sebezhetősége lehetővé teszi a támadók számára, hogy ellenséges adatokat küldjenek egy tolmácsnak, ami az adatok összeállítását és végrehajtását eredményezi a szerveren. Az injekció gyakori formája az SQL injekció.,3844d3c3″>
Példák Injekció Támadások
Az alkalmazás nem megbízható adatok kiszámításakor sebezhető SQL hívás:
String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";
Az alkalmazás bízik egy keret nélkül sanitizing a bemenetek, ebben az esetben a Hibernálás Query Language (HQL):
Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");
A támadó módosítja a ” id ” paraméter a böngésző küldeni a kódot., Például:
http://example.com/app/accountView?id=' or '1'='1
Ez azt eredményezi, hogy a lekérdezések visszaadják az összes rekordot a fiókok táblából, és más rosszindulatú műveletek végrehajtására használhatók a kiszolgálón.
injekciós támadások megelőzése
- használjon biztonságos API-t, amely teljes mértékben elkerüli a tolmács használatát
- használjon pozitív vagy “whitelist” szerveroldali bemeneti validációt
- menekülési speciális karakterek
- használja a limitet és más SQL vezérlőket a lekérdezéseken belül, hogy megakadályozza a rekordok tömeges nyilvánosságra hozatalát SQL injekció esetén.,entication
Egy webes alkalmazás, a sérült vagy gyenge hitelesítés könnyen kimutatható, hogy a támadók pedig sebezhető, hogy brute force/szótár támadás, illetve munkamenet-kezelés támadások
Exploitability: Magas Előfordulás: Közepes Detectability: Közepes Hatás: Magas Példa a Törött Hitelesítés Támadások
- Hitelesítő töltelék━a támadók használni felsorolja az ismert jelszavakat, majd próbálja meg őket egymás után, hogy hozzáférjenek., Automatikus fenyegetés vagy hitelesítő adatok kitöltése elleni védelem nélkül az alkalmazást a támadók használják érvényesítési mechanizmusként minden megpróbálandó jelszóhoz.
- Jelszó alapú támadások━webes alkalmazások támaszkodva jelszó eredendően gyenge hitelesítési mechanizmusok, még akkor is, ha jelszó komplexitás a követelményeknek, forgatni. A szervezeteknek többtényezős hitelesítésre kell váltaniuk.,
A hibás hitelesítés enyhítése
- többtényezős hitelesítés végrehajtása
- ne telepítse az alapértelmezett hitelesítő adatokkal rendelkező rendszereket
- ellenőrizze a 10 000 legrosszabb jelszó listáját
- használja a NIST 800-63 B szakasz 5.1.,1 a memorizált titkok
- megkeményedik minden hitelesítéssel kapcsolatos folyamatok, mint a regisztráció és hitelesítő adatok recovery
- Limit vagy késleltetés sikertelen bejelentkezési kísérletek
- használjon biztonságos, beépített, szerver oldali munkamenet manager
érzékeny Adatexpozíció
érzékeny adatok általában a legértékesebb eszköz célzott számítógépes támadások. A támadók hozzáférhetnek hozzá kriptográfiai kulcsok ellopásával, “man in the middle” (MITM) támadások végrehajtásával vagy cleartext adatok ellopásával, amelyeket esetenként szervereken vagy felhasználói böngészőkben tárolhatnak.,
Exploitability: Közepes Előfordulás: Magas Detectability: Közepes Hatása: Magas Példák az Érzékeny Adatok az Expozíció
- Nem TLS━, ha egy weboldal nem használja az SSL/TLS minden oldalra, egy támadó monitor forgalom, downgrade kapcsolatok HTTPS HTTP ellopni a munkamenet-cookie.
- sótlan hashs━a webes alkalmazás jelszóadatbázisa sótlan vagy egyszerű hashokat használhat a jelszavak tárolására., Ha a támadó hozzáfér az adatbázishoz, könnyen feltörheti a hashokat, például GPU-k használatával, és hozzáférhet.
érzékeny adatok expozíciójának mérséklése
- érzékeny adatok azonosítása és megfelelő biztonsági ellenőrzések alkalmazása.
- ne tárolja az érzékeny adatokat, kivéve, ha feltétlenül szükséges━dobja ki az érzékeny adatokat, használjon tokenizációt vagy csonkolást.
- titkosítsa az összes érzékeny adatot nyugalmi állapotban erős titkosítási algoritmusok, protokollok és kulcsok segítségével.
- titkosítsa az adatokat a tranzit biztonságos protokollok, mint a TLS és HTTP HSTS.
- letiltja a gyorsítótárazást érzékeny adatok esetén.,
- tárolja a jelszavakat erős, sózott hashing funkciók, mint Argon2, scrypt és bcrypt.
XML külső entitások (XXE)
Ha egy webes alkalmazás sebezhető komponenst használ az XML feldolgozására, a támadók XML-t tölthetnek fel, vagy ellenséges tartalmat, parancsokat vagy kódot tartalmazhatnak egy XML-dokumentumon belül.,2ba97df6″>
Egy támadó információt szerezni arról, hogy egy privát hálózat megváltoztatásával a SZERVEZET sort:
Enyhítő XXE Támadások
- Használata egyszerűbb, adatformátumok, mint a JSON elkerülni a sorozatkészítés
- Javítás, vagy a frissítés minden XML-feldolgozó, valamint a könyvtárak
- Tiltsa le az XML-külső egység, valamint DTD feldolgozás
- Végrehajtása whitelisting, majd fertőtlenítés szerver oldali XML bemenet
- Érvényesítse XML használata XSD vagy hasonló érvényesítési
- a SAST eszközök észlelni XXE a forráskód, kézi véleményét, ha lehetséges,
A5., Törött hozzáférés-vezérlés
a törött hozzáférés-vezérlés azt jelenti, hogy a támadók hozzáférhetnek a felhasználói fiókokhoz, és felhasználóként vagy adminisztrátorként működhetnek, valamint hogy a rendszeres felhasználók nem kívánt kiváltságos funkciókat szerezhetnek. Az erős hozzáférési mechanizmusok biztosítják, hogy minden szerepkörnek egyértelmű és elszigetelt kiváltságai legyenek.,ld erős hozzáférés ellenőrzési mechanizmusok, majd újra őket szerte az alkalmazás
- Érvényre a bejegyzés tulajdonosa━nem teszi lehetővé, hogy a felhasználók létrehozása, olvassa el, vagy törölje a felvétel
- Érvényesíteni használat, árfolyam határértékek
- Tiltsa le szerver jegyzékbe való felvétel, illetve ne tárolja a metaadatok vagy biztonsági mentés fájlok a mappában található root
- Napló sikertelen hozzáférési kísérlet figyelmeztető adminoknak
- Rate limit API-vezérlő-hozzáférés
- Érvényesítse JWT tokenek után kijelentkezés
Egyéb OWASP Top 10 Támadások
- Biztonsági Misconfigurations━rosszul beállított biztonsági ellenőrzések egy közös belépési pont a támadók., Például egy alapértelmezett rendszergazdai jelszóval telepített adatbázis.
- Cross-Site Scripting (XSS)━a támadók az XSS-t használják a munkamenet-kezelés gyengeségeinek kihasználására, valamint rosszindulatú kód futtatására a felhasználói böngészőkben.
- bizonytalan Deserialization━a deserialization összetett technika, de ha helyesen hajtják végre, lehetővé teszi a támadók számára, hogy rosszindulatú kódot hajtsanak végre egy kiszolgálón.
- ismert sebezhetőségekkel rendelkező összetevők használata━a legtöbb webes alkalmazás nagymértékben támaszkodik a nyílt forráskódú összetevőkre, ezek közé tartozhatnak az ismert sebezhetőségek, amelyeket a támadók kihasználhatnak a hozzáféréshez vagy kárt okozhatnak.,
- elégtelen naplózás és monitorozás━a támadók a monitorozás hiányára és az időszerű válaszra támaszkodnak, hogy bármely más támadási vektorral sikeresek legyenek.
nézze meg, hogyan segíthet az Imperva Web Application Firewall az OWASP Top 10 támadásban.
Imperva Application Security
az Imperva iparágvezető webes alkalmazás tűzfala (WAF) robusztus védelmet nyújt az OWASP Top 10 támadás és egyéb webes alkalmazás fenyegetések ellen. Az Imperva két WAF telepítési lehetőséget kínál:
- Cloud WAF – lehetővé teszi a legális forgalmat és megakadályozza a rossz forgalmat., Védje alkalmazásait a szélén egy vállalati szintű felhőalapú WAF segítségével.
- Gateway WAF – tartsa biztonságban a hálózaton belüli alkalmazásokat és API-kat az Imperva Gateway WAF segítségével.
a WAF mellett az Imperva többrétegű védelmet nyújt annak érdekében, hogy a weboldalak és alkalmazások elérhetőek, könnyen hozzáférhetőek és biztonságosak legyenek. Az Imperva alkalmazásbiztonsági megoldás a következőket tartalmazza:
- DDoS védelem-üzemidő fenntartása minden helyzetben. Megakadályozza, hogy bármilyen méretű DDoS támadás megakadályozza a webhelyéhez és a hálózati infrastruktúrához való hozzáférést.,
- CDN-növelje a weboldal teljesítményét és csökkentse a sávszélesség költségeit a fejlesztőknek tervezett CDN segítségével. Gyorsítótárazza a statikus erőforrásokat a széleken, miközben gyorsítja az API-kat és a dinamikus webhelyeket.
- Bot management-elemzi a bot forgalom, hogy pontosan anomáliák, azonosítja a rossz bot viselkedését, és érvényesíti keresztül kihívás mechanizmusok, amelyek nem befolyásolják a felhasználói forgalmat.
- API security-védi az API-kat azáltal, hogy csak a kívánt forgalom férhet hozzá az API végpontjához, valamint felderíti és blokkolja a sebezhetőségek kihasználását.,
- Account takeover protection-szándék alapú észlelési folyamatot használ a felhasználók fiókjainak rosszindulatú célokra történő átvételére irányuló kísérletek azonosítására és védelmére.
- RASP – tartsa alkalmazásait belülről biztonságban az ismert és nulla napos támadásokkal szemben. Gyors és pontos védelem aláírás vagy tanulási mód nélkül.
- Attack analytics-hatékonyan és pontosan reagáljon a valós biztonsági fenyegetésekre a védelemben minden rétegében alkalmazható intelligenciával.