Wat is OWASP?

het Open Web Application Security Project (OWASP) is een non-profit organisatie opgericht in 2001, met als doel om website-eigenaren en beveiligingsexperts te helpen webapplicaties te beschermen tegen cyberaanvallen. OWASP heeft 32.000 vrijwilligers over de hele wereld die beveiligingsbeoordelingen en onderzoek uitvoeren.,

onder OWASP ‘ s belangrijkste publicaties zijn de OWASP Top 10, hieronder in meer detail besproken; de OWASP Software Assurance Maturity Model (SAMM), de OWASP Development Guide, de OWASP Testing Guide, en de OWASP Code Review Guide.

de OWASP Top 10

OWASP Top 10 is een algemeen aanvaard document dat prioriteit geeft aan de belangrijkste veiligheidsrisico ‘ s die webapplicaties beïnvloeden., Hoewel er veel meer dan tien veiligheidsrisico ’s zijn, is het idee achter de OWASP Top 10 om beveiligingsprofessionals scherp bewust te maken van ten minste de meest kritieke veiligheidsrisico’ s, en te leren hoe ze zich ertegen kunnen verdedigen.

OWASP evalueert periodiek belangrijke soorten cyberaanvallen op basis van vier criteria: gebruiksgemak, prevalentie, detecteerbaarheid en bedrijfsimpact, en selecteert de top 10 aanvallen. De OWASP Top 10 werd voor het eerst gepubliceerd in 2003 en is sindsdien bijgewerkt in 2004, 2007, 2010, 2013 en 2017.,

het begrijpen en voorkomen van veelvoorkomende OWASP-aanvallen

hieronder vindt u informatie van de OWASP foundation over vijf belangrijke aanvallen op webtoepassingen die gewoonlijk in de bovenste helft van de OWASP Top 10 staan, hoe ze zich manifesteren en hoe u uw organisatie ertegen kunt beschermen. Codevoorbeelden zijn ontleend aan de OWASP Top 10 richtlijnen.

injectie

een kwetsbaarheid voor injectie in een webapplicatie stelt aanvallers in staat om vijandige gegevens naar een interpreter te sturen, waardoor die gegevens worden gecompileerd en uitgevoerd op de server. Een veel voorkomende vorm van injectie is SQL-injectie.,3844d3c3″>

Exploiteerbaarheid: High Prevalentie: Gemiddeld Constateerbaarheid: High Gevolgen: High

Voorbeelden van Injectie Aanvallen

Een toepassing maakt gebruik van onbetrouwbare gegevens bij de bouw van een kwetsbaar SQL:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

Een toepassing vertrouwt een kader zonder ontsmetten van de input, in dit geval Hibernate Query Language (HQL):

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

De aanvaller wijzigt de ‘id’ parameter in hun browser te verzenden code., Bijvoorbeeld:

http://example.com/app/accountView?id=' or '1'='1

Dit zorgt ervoor dat de queries alle records uit de accounts tabel retourneren en kan worden gebruikt om andere kwaadaardige acties op de server uit te voeren.

voorkomen van injectie aanvallen

  • gebruik een veilige API die het gebruik van de interpreter volledig vermijdt
  • gebruik positieve of “whitelist” server-side invoervalidatie
  • Escape speciale tekens
  • gebruikslimiet en andere SQL controles binnen queries om massale openbaarmaking van records in het geval van SQL injectie te voorkomen.,entication

    Een web-applicatie met gebroken of zwakke authenticatie gemakkelijk gedetecteerd kunnen worden door aanvallers en is kwetsbaar voor brute kracht/woordenboek aanvallen en sessie management aanvallen

    Exploiteerbaarheid: High Prevalentie: Gemiddeld
    Constateerbaarheid: Medium Effect: High

    Voorbeelden van Gebroken Verificatie Aanvallen

    • Identificatie vulling━aanvallers gebruiken lijsten van bekende wachtwoorden en probeer ze achtereenvolgens om toegang te krijgen., Zonder geautomatiseerde bedreiging of credential vulling bescherming, de applicatie wordt gebruikt door aanvallers als een validatiemechanisme voor een wachtwoord ze proberen.
    • op Wachtwoorden gebaseerde aanvallen━webtoepassingen die alleen op Wachtwoorden vertrouwen, hebben inherent zwakke authenticatiemechanismen, zelfs als wachtwoorden complexiteitsvereisten hebben en worden geroteerd. Organisaties moeten overschakelen naar multi-factor authenticatie.,

    het beperken van gebroken authenticatie

    • implementeer multi-factor authenticatie
    • implementeer geen systemen met standaard referenties
    • Controleer voor een lijst van de top 10,000 slechtste wachtwoorden
    • gebruik de richtlijnen in NIST 800-63 B paragraaf 5.1.,1 Voor gememoriseerde geheimen
    • verharden alle authenticatie – gerelateerde processen zoals registratie en credential recovery
    • Limit or delay failed loginpogingen
    • gebruik een veilige, ingebouwde sessiebeheerder aan de serverzijde

    gevoelige gegevens Exposure

    gevoelige gegevens zijn doorgaans de meest waardevolle asset waarop cyberaanvallen gericht zijn. Aanvallers kunnen toegang krijgen tot het door het stelen van cryptografische sleutels, het uitvoeren van “man in the middle” (MITM) aanvallen, of het stelen van duidelijke tekst gegevens die af en toe kunnen worden opgeslagen op servers of gebruikers browsers.,

    Exploiteerbaarheid: Medium Prevalentie: High
    Constateerbaarheid: Medium Gevolgen: High

    Voorbeelden van Gevoelige Gegevens Blootstelling

    • Geen TLS━wanneer een website geen gebruik maakt van SSL/TLS voor alle pagina ‘ s, een aanvaller kunnen het verkeer controleren, downgrade verbindingen van HTTPS naar HTTP en de stelen van de sessie-cookie.
    • ongezouten hashes━de wachtwoorddatabase van een webtoepassing kan ongezouten of eenvoudige hashes gebruiken om wachtwoorden op te slaan., Als een aanvaller toegang krijgt tot de database kunnen ze gemakkelijk de hashes kraken, bijvoorbeeld met behulp van GPU ‘ s, en toegang krijgen.

    blootstelling aan gevoelige gegevens beperken

    • gevoelige gegevens identificeren en passende beveiligingscontroles uitvoeren.
    • sla geen gevoelige gegevens op tenzij dit absoluut noodzakelijk is━verwijder gevoelige gegevens, gebruik tokenisatie of afkappen.
    • versleutel alle gevoelige gegevens in rust met behulp van sterke versleutelingsalgoritmen, protocollen en sleutels.
    • Versleutel gegevens tijdens het transport met behulp van beveiligde protocollen zoals TLS en HTTP HST ‘ s.
    • schakel caching voor gevoelige gegevens uit.,
    • sla wachtwoorden op met behulp van sterke, gezouten hashingfuncties zoals Argon2, scrypt en bcrypt.

    XML External Entities (XXE)

    als een webtoepassing een kwetsbare component gebruikt die XML verwerkt, kunnen aanvallers XML uploaden of vijandige inhoud, commando ‘ s of code in een XML-document opnemen.,2ba97df6″>

    Een kwaadwillende gebruiker informatie kan krijgen over een eigen netwerk door het veranderen van de ENTITEIT lijn naar:

    Verzachtende XXE Aanvallen

    • Gebruik eenvoudigere data-formaten zoals JSON en vermijd serialisatie
    • Patch of upgrade van alle XML-processors en bibliotheken
    • Uitschakelen externe XML-entiteiten en DTD verwerking
    • het Implementeren van whitelisting en sanering van server-side XML-ingangen
    • Valideren van XML met behulp van XSD of soortgelijke validatie
    • Gebruik SAST instrumenten voor het opsporen XXE in source code, met de handmatige controle en indien mogelijk

    A5., Verbroken Toegangscontrole

    verbroken Toegangscontrole betekent dat aanvallers toegang kunnen krijgen tot gebruikersaccounts en kunnen optreden als gebruikers of beheerders, en dat reguliere gebruikers onbedoelde geprivilegieerde functies kunnen krijgen. Sterke toegangsmechanismen zorgen ervoor dat elke rol duidelijke en geïsoleerde privileges heeft.,ld sterke toegang controle mechanismes en hergebruiken voor de toepassing

  • Handhaven record eigendom━gebruikers niet toestaan om te maken, lees of verwijderen van een record
  • het Afdwingen van het gebruik en de snelheidslimiet
  • Uitschakelen server directory listing en slaan geen metagegevens van bestanden in de map root
  • Logboek mislukte toegangspogingen en alert beheerders
  • Beoordelen beperken API en de controller toegang
  • Valideren JWT tokens na uitloggen

Andere OWASP Top 10 Aanvallen

  • Beveiliging Onjuiste━verkeerd geconfigureerde beveiliging controles zijn een gemeenschappelijke ingang voor aanvallers., Bijvoorbeeld, een database geïmplementeerd met een standaard admin wachtwoord.
  • Cross-Site Scripting (XSS) att aanvallers gebruiken XSS om zwakke punten in sessiebeheer te benutten en kwaadaardige code uit te voeren op gebruikersbrowsers.
  • onveilige deserialisatie━deserialisatie is een complexe techniek, maar als het correct wordt uitgevoerd, kunnen aanvallers kwaadaardige code uitvoeren op een server.
  • gebruikmakend van componenten met bekende kwetsbaarheden━de meeste webapplicaties zijn sterk afhankelijk van open-source componenten, waaronder bekende kwetsbaarheden die aanvallers kunnen gebruiken om toegang te krijgen of schade te veroorzaken.,
  • onvoldoende Logging en Monitoring att aanvallers vertrouwen op het gebrek aan monitoring en tijdige reactie om te slagen met een andere aanvalsvector.

bekijk hoe Imperva Web Application Firewall u kan helpen met OWASP Top 10 aanvallen.

Imperva Application Security

Imperva ‘ s toonaangevende Web Application Firewall (WAF) biedt robuuste bescherming tegen OWASP Top 10 aanvallen en andere web application bedreigingen. Imperva biedt twee WAF-implementatieopties:

  • Cloud WAF-legitiem verkeer toestaan en slecht verkeer Voorkomen., Bescherm uw applicaties aan de rand met een enterprise‑class cloud WAF.
  • Gateway WAF-houd applicaties en API ‘ s in uw netwerk veilig met Imperva Gateway WAF.

naast WAF biedt Imperva Meerlagige bescherming om ervoor te zorgen dat websites en applicaties beschikbaar, gemakkelijk toegankelijk en veilig zijn. De Imperva application security solution bevat:

  • DDoS Protection-onderhoud uptime in alle situaties. Voorkom dat elke vorm van DDoS-aanval, van elke omvang, de toegang tot uw website en netwerkinfrastructuur verhindert.,
  • CDN-verbeter de prestaties van de website en verlaag de bandbreedtekosten met een CDN dat is ontworpen voor ontwikkelaars. Cache statische bronnen aan de rand terwijl het versnellen van API ‘ s en dynamische websites.
  • Botbeheer-analyseert uw botverkeer om anomalieën te lokaliseren, identificeert slecht botgedrag en valideert het via uitdagingsmechanismen die geen invloed hebben op gebruikersverkeer.
  • API-beveiliging: beschermt API ‘ s door ervoor te zorgen dat alleen gewenst verkeer toegang heeft tot uw API-eindpunt, evenals het detecteren en blokkeren van exploits van kwetsbaarheden.,
  • account takeover protection-gebruikt een intent-based detectieproces om te identificeren en te verdedigen tegen pogingen om gebruikersaccounts over te nemen voor kwaadaardige doeleinden.
  • RASP-houd uw applicaties veilig van binnenuit tegen bekende en zero‑day aanvallen. Snelle en nauwkeurige bescherming zonder handtekening of leermodus.
  • Attack analytics-beperk en reageer efficiënt en nauwkeurig op echte beveiligingsbedreigingen met bruikbare informatie over al uw verdedigingslaag.

Articles

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *