OWASP (Polski)

Co to jest OWASP?

Open Web Application Security Project (OWASP) jest organizacją non-profit założoną w 2001 roku, której celem jest pomoc właścicielom stron internetowych i ekspertom ds. bezpieczeństwa w ochronie aplikacji internetowych przed cyberatakami. OWASP zatrudnia 32 000 wolontariuszy na całym świecie, którzy przeprowadzają oceny i badania bezpieczeństwa.,

wśród najważniejszych publikacji OWASP są TOP 10, omówione bardziej szczegółowo poniżej; OWASP Software Assurance Maturity Model (SAMM), OWASP Development Guide, OWASP Testing Guide oraz OWASP Code Review Guide.

OWASP Top 10

OWASP Top 10 jest powszechnie akceptowanym dokumentem, który określa priorytety najważniejszych zagrożeń bezpieczeństwa mających wpływ na aplikacje internetowe., Chociaż istnieje wiele więcej niż dziesięć zagrożeń bezpieczeństwa, ideą OWASP Top 10 jest uświadomienie specjalistom ds. bezpieczeństwa co najmniej najważniejszych zagrożeń bezpieczeństwa i nauczenie się przed nimi bronić.

OWASP okresowo ocenia ważne typy ataków cybernetycznych według czterech kryteriów: łatwości wykorzystania, rozpowszechnienia, wykrywalności i wpływu na biznes, a także wybiera 10 najlepszych ataków. OWASP Top 10 został po raz pierwszy opublikowany w 2003 roku i był aktualizowany w latach 2004, 2007, 2010, 2013 i 2017.,

zrozumienie i zapobieganie częstym atakom OWASP

poniżej znajdują się informacje dostarczone przez Fundację OWASP na temat pięciu ważnych ataków aplikacji internetowych, które zwykle znajdują się w pierwszej połowie TOP 10 OWASP, jak się przejawiają i jak możesz chronić swoją organizację przed nimi. Przykłady kodu pochodzą z wytycznych OWASP Top 10.

injection

Luka injection w aplikacji internetowej umożliwia atakującym wysyłanie wrogich danych do interpretera, co powoduje, że dane te są kompilowane i wykonywane na serwerze. Powszechną formą wtrysku jest SQL injection.,3844d3c3″>

wykrywalność: wysoka wpływ: wysoka

przykłady ataków iniekcyjnych

aplikacja używa niezaufanych danych podczas konstruowania wrażliwego wywołania SQL:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

aplikacja Ufa frameworkowi bez dezynfekcji jego wejść, w tym przypadku Hibernate query language (HQL):

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

atakujący modyfikuje parametr 'ID' w swojej przeglądarce, aby wysłać kod., Na przykład:

http://example.com/app/accountView?id=' or '1'='1

powoduje to, że zapytania zwracają wszystkie rekordy z tabeli kont i mogą być używane do wykonywania innych szkodliwych działań na serwerze.

zapobieganie atakom Injection

• użyj bezpiecznego API, które unika użycia interpretera całkowicie
• użyj pozytywnej lub „białej listy” walidacji wejściowej po stronie serwera
• Escape znaki specjalne
• użyj LIMIT i innych kontrolek SQL w zapytaniach, aby zapobiec masowemu ujawnianiu rekordów w przypadku injection SQL.,Kuszenie

  aplikacja internetowa z uszkodzonym lub słabym uwierzytelnieniem może być łatwo wykryta przez atakujących i jest podatna na ataki brute force/dictionary i ataki zarządzania sesjami

  możliwość wykorzystania: wysoka	częstość występowania: Średnia
  wykrywalność: średnia	wpływ: wysoka

  przykłady uszkodzonych ataków uwierzytelniających

  • wypychanie poświadczeń att atakujący używają list znanych haseł i próbują ich sekwencyjnie, aby uzyskać dostęp., Bez automatycznej ochrony przed zagrożeniami lub poświadczeniami, aplikacja jest używana przez atakujących jako mechanizm walidacji każdego hasła, które próbują.
  • ataki oparte na hasłach━aplikacje internetowe opierające się wyłącznie na hasłach mają z natury słabe mechanizmy uwierzytelniania, nawet jeśli hasła mają wymagania dotyczące złożoności i są obracane. Organizacje powinny przejść na uwierzytelnianie wieloskładnikowe.,

  ograniczanie uszkodzonego uwierzytelniania

  • implementacja uwierzytelniania wieloskładnikowego
  • nie wdrażaj systemów z domyślnymi poświadczeniami
  • sprawdź listę 10 000 najgorszych haseł
  • użyj wytycznych w NIST 800-63 B sekcja 5.1.,1 W przypadku zapamiętywania tajemnic
  • utwardzaj wszystkie procesy związane z uwierzytelnianiem, takie jak rejestracja i odzyskiwanie poświadczeń
  • ograniczaj lub opóźniaj nieudane próby logowania
  • używaj bezpiecznego, wbudowanego menedżera sesji po stronie serwera

  narażanie Wrażliwych Danych

  wrażliwe dane są zazwyczaj najcenniejszym zasobem, na który atakują cyberataki. Hakerzy mogą uzyskać do niego dostęp, kradnąc klucze kryptograficzne, przeprowadzając ataki” man in the middle ” (MITM) lub kradnąc dane cleartext, które mogą czasami być przechowywane na serwerach lub przeglądarkach użytkowników.,

  wpływ: wysoka

  wykrywalność: Średnia

  przykłady wrażliwych danych

  • brak TLS if jeśli strona internetowa nie używa SSL/TLS dla wszystkich stron, atakujący może monitorować ruch, obniżyć połączenia z HTTPS do HTTP i ukraść plik cookie sesji.
  • Unsalted hashes━baza haseł aplikacji internetowej może używać unsalted lub simple hashes do przechowywania haseł., Jeśli atakujący uzyska dostęp do bazy danych, może łatwo złamać skróty, na przykład za pomocą GPU, i uzyskać dostęp.

  ograniczanie narażenia na wrażliwe dane

  • Zidentyfikuj wrażliwe dane i zastosuj odpowiednie środki kontroli bezpieczeństwa.
  • nie przechowuj poufnych danych, chyba że jest to absolutnie konieczne━Odrzuć poufne dane, użyj tokenizacji lub obcinania.
  • Szyfruj wszystkie poufne dane w spoczynku za pomocą silnych algorytmów szyfrowania, protokołów i kluczy.
  • Szyfruj dane podczas transportu za pomocą bezpiecznych protokołów, takich jak TLS i HTTP HSTS.
  • Wyłącz buforowanie poufnych danych.,
  • przechowuje hasła za pomocą silnych, solonych funkcji hashujących, takich jak Argon2, scrypt i bcrypt.

  XML External Entities (XXE)

  Jeśli aplikacja internetowa używa wrażliwego komponentu przetwarzającego XML, atakujący mogą przesyłać XML lub zawierać wrogie treści, polecenia lub kod w dokumencie XML.,2ba97df6″>

  atakujący może uzyskać informacje o sieci prywatnej, zmieniając linię encji na:

  

  Łagodzenie ataków XXE

  • używaj prostszych formatów danych, takich jak JSON i unikaj serializacji
  • Łataj lub Aktualizuj wszystkie procesory i biblioteki XML
  • Wyłącz zewnętrzny encję XML i przetwarzanie DTD
  • implementacja białej listy i dezynfekcja wejść XML po stronie serwera
  • Walidacja XML za pomocą XSD lub podobnej walidacji
  • użyj narzędzi SAST do wykrywania XXE w kodzie źródłowym, z ręcznym przeglądem, jeśli to możliwe

  A5., Złamana Kontrola dostępu

  złamana Kontrola dostępu oznacza, że atakujący mogą uzyskać dostęp do kont użytkowników i działać jako użytkownicy lub Administratorzy, a zwykli użytkownicy mogą uzyskać niezamierzone funkcje uprzywilejowane. Silne mechanizmy dostępu zapewniają, że każda rola ma jasne i izolowane przywileje.,ld silne mechanizmy kontroli dostępu i ponownie używać ich w całej aplikacji

• wymusić własność rekord━nie pozwalają użytkownikom na tworzenie, odczytywanie lub usuwanie rekordów
• wymusić użycie i limity szybkości
• Wyłącz listę katalogów serwera i nie przechowuj metadanych lub plików kopii zapasowych w katalogu głównym
• Loguj nieudane próby dostępu i alert administratorów
• limit szybkości API i dostęp do kontrolera
• Waliduj tokeny JWT po wylogowaniu

inne ataki OWASP Top 10

• bezpieczeństwo błędne konfiguracje━źle skonfigurowane kontrole bezpieczeństwa są częstym punktem wejścia dla atakujących., Na przykład wdrożona baza danych z domyślnym hasłem administratora.
• Cross-Site Scripting (XSS) att atakujący używają XSS do wykorzystania słabości w zarządzaniu sesjami i wykonywania złośliwego kodu w przeglądarkach użytkowników.
• niepewna Deserializacja des deserializacja jest złożoną techniką, ale jeśli zostanie wykonana poprawnie, pozwala atakującym na wykonanie złośliwego kodu na serwerze.
• używanie komponentów ze znanymi lukami━większość aplikacji internetowych w dużej mierze opiera się na komponentach open-source, które mogą obejmować znane luki, które atakujący mogą wykorzystać, aby uzyskać dostęp lub spowodować uszkodzenie.,
• niewystarczające rejestrowanie i monitorowanie━atakujący polegają na braku monitorowania i szybkiej reakcji, aby odnieść sukces z każdym innym wektorem ataku.

Imperva Application Security

wiodąca w branży Zapora aplikacji internetowych (WAF) Imperva zapewnia solidną ochronę przed atakami OWASP Top 10 i innymi zagrożeniami aplikacji internetowych. Imperva oferuje dwie opcje wdrażania WAF:

• Cloud WAF—Zezwalaj na legalny ruch i zapobiegaj złym ruchom., Zabezpiecz swoje aplikacje na krawędzi dzięki chmurze WAF klasy korporacyjnej.
• Gateway WAF-zapewnij bezpieczeństwo aplikacjom i interfejsom API w sieci dzięki Imperva Gateway WAF.

oprócz WAF, Imperva zapewnia wielowarstwową ochronę, aby upewnić się, że strony internetowe i aplikacje są dostępne, łatwo dostępne i bezpieczne. Rozwiązanie Imperva application security obejmuje:

• Ochrona przed atakami DDoS—utrzymanie czasu pracy w każdej sytuacji. Zapobiegaj wszelkim rodzajom ataków DDoS, o dowolnej wielkości, uniemożliwiającym dostęp do twojej witryny i infrastruktury sieciowej.,
• CDN-zwiększ wydajność witryny i zmniejsz koszty przepustowości dzięki CDN zaprojektowanemu dla programistów. Buforuj statyczne zasoby na krawędzi, przyspieszając interfejsy API i dynamiczne witryny internetowe.
• zarządzanie botami-analizuje ruch botów w celu wykrycia anomalii, identyfikuje złe zachowanie botów i waliduje je za pomocą mechanizmów wyzwań, które nie wpływają na ruch użytkowników.
• API security-chroni interfejsy API, zapewniając, że tylko żądany ruch może uzyskać dostęp do punktu końcowego API, a także wykrywając i blokując exploity luk.,
• Ochrona przed przejęciem konta-wykorzystuje intencyjny proces wykrywania w celu identyfikacji i ochrony przed próbami przejęcia kont użytkowników w złośliwych celach.
• zgrzyt-Zabezpiecz swoje aplikacje przed znanymi i atakami zero-day. Szybka i dokładna Ochrona bez sygnatury i trybu uczenia się.
• Analiza ataków-skutecznie i precyzyjnie ograniczaj rzeczywiste zagrożenia bezpieczeństwa i reaguj na nie dzięki możliwej do wykorzystania inteligencji we wszystkich warstwach obrony.