O que é o OWASP?

o Open Web Application Security Project (OWASP) é uma organização sem fins lucrativos fundada em 2001, com o objetivo de ajudar os proprietários de sites e especialistas em segurança a proteger as aplicações web de ataques cibernéticos. A OWASP tem 32 mil voluntários em todo o mundo que realizam avaliações de segurança e pesquisas.,entre as principais publicações da OWASP estão o Top 10 da OWASP, discutido em mais detalhes abaixo; o modelo de maturidade da garantia de Software da OWASP (SAMM), o Guia de desenvolvimento da OWASP, o Guia de testes da OWASP e o Guia de revisão do Código da OWASP.

o OWASP Top 10

OWASP Top 10 é um documento amplamente aceito que prioriza os riscos de segurança mais importantes que afetam as aplicações web., Embora existam muitos mais de dez riscos de segurança, a ideia por trás do Top 10 da OWASP é conscientizar os profissionais de segurança sobre, pelo menos, os riscos de segurança mais críticos, e aprender a defender-se contra eles.

OWASP avalia periodicamente tipos importantes de ataques cibernéticos por quatro critérios: facilidade de explorabilidade, prevalência, detectabilidade e impacto empresarial, e seleciona os 10 maiores ataques. O Top 10 da OWASP foi publicado pela primeira vez em 2003 e desde então foi atualizado em 2004, 2007, 2010, 2013 e 2017.,

Compreender e Prevenir Comum OWASP Ataques

Abaixo está a informação fornecida pela fundação OWASP em cinco importante ataques de aplicações web que geralmente figura no topo da metade da OWASP Top 10, como eles se manifestam, e como você pode proteger sua organização contra eles. Exemplos de código são extraídos das diretrizes do Top 10 da OWASP.

injeção

uma vulnerabilidade de injeção em uma aplicação web permite que os atacantes enviem dados hostis para um interpretador, fazendo com que os dados sejam compilados e executados no servidor. Uma forma comum de injecção é a injecção de SQL.,3844d3c3″>

de Exploração: Alta Prevalência: Médio Detectabilidade: Alta Impacto: Alta

Exemplos de Ataques de Injeção

Um aplicativo usa dados não confiáveis quando a construção de uma vulneráveis SQL chamada:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

Uma aplicação confia em um quadro sem desinfecção de suas entradas, neste caso, o Hibernate Query Language (HQL):

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

O intruso modifica o ‘id’ parâmetro em seu navegador para enviar código., Por exemplo:

http://example.com/app/accountView?id=' or '1'='1

isto faz com que as consultas retornem todos os registros da tabela contas e podem ser usadas para executar outras ações maliciosas no servidor.

prevenir ataques de injecção

  • utilize uma API segura que evite a utilização do interpretador inteiramente
  • utilize validação de entrada do servidor positiva ou “whitelist”
  • caracteres especiais de Escape
  • limite de utilização e outros controlos SQL nas consultas para evitar a divulgação em massa de registos em caso de injecção de SQL.,entication

    Uma aplicação web com quebrada ou autenticação fraca pode ser facilmente detectado por atacantes e é vulnerável a força bruta/ataques de dicionário e de gerenciamento de sessão ataques

    de Exploração: Alta Prevalência: Médio
    a capacidade de Detecção: Médio Impacto: Alto

    Exemplos de Trincas de Autenticação Ataques

    • Credencial recheio━atacantes utilizam listas de conhecidos senhas e experimentá-los sequencialmente para obter acesso., Sem proteção automatizada de ameaça ou de enchimento credencial, a aplicação é usada pelos atacantes como um mecanismo de validação para qualquer senha que eles tentam.
    • ataques baseados em Senha. as aplicações web que dependem apenas de senhas têm mecanismos de autenticação inerentemente fracos, mesmo que as senhas tenham requisitos de complexidade e sejam rodadas. As organizações devem mudar para autenticação multi-fator.,

    Atenuantes Quebrado de Autenticação

    • Implementar multi-factor authentication
    • não implantar sistemas com credenciais padrão
    • Verificar uma lista com os top 10,000 piores senhas
    • Use as diretrizes NIST 800-63 B secção 5.1.,1 para Memorizado Segredos
    • Endurecer todos relacionados com a autenticação de processos de registro e de credencial de recuperação
    • Limite ou atraso de tentativas de login
    • Use um seguro, built-in, do lado do servidor do gerenciador de sessão

    Dados Sensíveis de Exposição

    os dados Sensíveis, normalmente, é o ativo mais valioso alvo por ataques cibernéticos. Atacantes podem ter acesso a ele roubando chaves criptográficas, conduzindo ataques de” homem no meio ” (MITM), ou roubando dados de cleartext que podem ocasionalmente ser armazenados em servidores ou Navegadores de usuário.,

    de Exploração: Médio Prevalência: Alta
    Detectabilidade: Médio Impacto: Alta

    Exemplos de Dados Confidenciais de Exposição

    • Sem TLS━se um website não usa SSL/TLS para todas as páginas, um atacante pode monitorar o tráfego, reduzir conexões de HTTPS para HTTP e roubar o cookie de sessão.
    • traços sem sal. uma base de dados de senhas de uma aplicação web pode usar traços sem sal ou simples para guardar senhas., Se um atacante obtém acesso ao banco de dados, eles podem facilmente quebrar os hashs, por exemplo usando GPUs, e ganhar acesso.

    mitigando a exposição aos dados sensíveis

    • Identificar os dados sensíveis e aplicar os controlos de segurança adequados.
    • Não armazene dados sensíveis a menos que seja absolutamente necessário eliminar dados sensíveis, usar tokenização ou truncação.criptografar todos os dados sensíveis em repouso usando algoritmos, protocolos e Chaves de criptografia fortes.criptografar dados em trânsito usando protocolos seguros como TLS e HSTS HTTP.
    • desactiva a cache para dados sensíveis.,
    • guardar senhas usando funções de amarração fortes e salgadas como Argon2, scrypt e bcrypt.

    entidades externas XML (XXE)

    Se uma aplicação web usa um componente vulnerável de processamento XML, os atacantes podem enviar XML ou incluir conteúdo hostil, comandos ou código dentro de um documento XML.,2ba97df6″>

    Um invasor pode obter informações sobre uma rede privada alterando a ENTIDADE linha para:

    Atenuantes XXE Ataques

    • Uso de dados simples como formatos JSON e evitar a serialização
    • Patch ou uma atualização de todos os processadores de XML e bibliotecas
    • Desativar entidade externa de XML e DTD processamento
    • Implementar listas brancas e higienização de XML do lado do servidor entradas
    • Validar XML usando XSD ou similar de validação
    • Use SAST ferramentas para detectar XXE no código-fonte, com manual de revisão, se possível

    A5., Controlo de acesso quebrado

    controlo de acesso quebrado significa que os atacantes podem obter acesso a contas de utilizador e actuar como Utilizadores ou administradores, e que os utilizadores regulares podem ganhar funções privilegiadas não intencionais. Mecanismos de acesso fortes garantem que cada papel possui privilégios claros e isolados.,ld fortes mecanismos de controle de acesso e reutilizá-los através da aplicação

  • Aplicar a propriedade do registro━não permitir que os usuários criem, ler ou apagar qualquer registro
  • Impor o uso e a taxa de limites
  • Desactivar o servidor de listagem de diretório e não armazenar metadados ou ficheiros de cópia de segurança na pasta raiz
  • Log de tentativas falhas de acesso e alerta os administradores
  • limite de Taxa de API e controlador de acesso
  • Validar JWT tokens após o logout

Outras OWASP Top 10 Ataques

  • configurações de Segurança Incorretas━mal configurado controles de segurança são um ponto de entrada comum para os atacantes., Por exemplo, um banco de dados implantado com uma senha administrativa padrão.
  • Cross-Site Scripting (XSS)━atacantes usam XSS para explorar fraquezas na gestão de sessões e executar código malicioso em navegadores de usuário.
  • Deserialização insegura━deserialização é uma técnica complexa, mas se executada corretamente, permite que os atacantes executem código malicioso em um servidor.
  • usando componentes com vulnerabilidades conhecidas. a maioria das aplicações web dependem fortemente de componentes de código aberto, e estes podem incluir vulnerabilidades conhecidas que os atacantes podem explorar para ganhar acesso ou causar danos.,
  • registro insuficiente e monitoramento━atacantes dependem da falta de monitoramento e resposta oportuna para ter sucesso com qualquer outro vetor de ataque.

veja como o Firewall da aplicação web Imperva pode ajudá-lo com os ataques do OWASP Top 10.

Imperva Application Security

Imperva’s industry leading Web Application Firewall (WAF) provides robust protection against OWASP Top 10 attacks and other web application threats. A Imperva oferece duas opções de implantação da WAF:

  • Cloud WAF-permite o tráfego legítimo e impede o mau tráfego., Proteja suas aplicações na borda com uma Cloud WAF de classe corporativa.
  • Gateway WAF-keep applications and APIs inside your network safe with Imperva Gateway WAF.

além do WAF, a Imperva oferece proteção multi-camadas para garantir que os websites e aplicações estejam disponíveis, facilmente acessíveis e seguros. A solução de segurança da aplicação Imperva inclui:

  • DDoS Protection—manter o tempo de funcionamento em todas as situações. Evite qualquer tipo de ataque DDoS, de qualquer tamanho, de impedir o acesso ao seu site e infra-estrutura de rede.,
  • CDN-melhorar o desempenho do site e reduzir os custos de largura de banda com um CDN projetado para desenvolvedores. Cache recursos estáticos na borda, enquanto acelera APIs e sites dinâmicos.
  • gestão de Bot-analisa o seu tráfego de bot para identificar anomalias, identifica mau comportamento de bot e valida-lo através de mecanismos de desafio que não impactam o tráfego do Usuário.
  • API segurança-protege APIs, garantindo que apenas o tráfego desejado pode acessar o seu endpoint API, bem como detectar e bloquear façanhas de vulnerabilidades.,protecção de aquisição de contas-utiliza um processo de detecção baseado na intenção para identificar e defender contra tentativas de assumir as contas dos utilizadores para fins maliciosos.
  • RASP-mantenha as suas aplicações a salvo de dentro contra ataques conhecidos e de dia zero. Proteção rápida e precisa, sem assinatura ou modo de aprendizagem.análise de ataque-mitigar e responder a ameaças de segurança reais de forma eficiente e precisa com inteligência acionável em todas as suas camadas de defesa.

Articles

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *