OWASP Top 10 Awọn ewu Aabo | Akopọ
Atọka akoonu
Kini OWASP?
OWASP jẹ agbari ti kii ṣe ere ti a ṣe igbẹhin si eto aabo ohun elo wẹẹbu.
Awọn ohun elo ẹkọ OWASP wa lori oju opo wẹẹbu wọn. Awọn irinṣẹ wọn wulo fun imudarasi aabo awọn ohun elo wẹẹbu. Eyi pẹlu awọn iwe aṣẹ, awọn irinṣẹ, awọn fidio, ati awọn apejọ.
OWASP Top 10 jẹ atokọ ti o ṣe afihan awọn ifiyesi aabo oke fun awọn ohun elo wẹẹbu loni. Wọn ṣeduro pe gbogbo awọn ile-iṣẹ pẹlu ijabọ yii ninu awọn ilana wọn lati ge awọn eewu aabo. Ni isalẹ ni atokọ ti awọn ewu aabo ti o wa ninu ijabọ OWASP Top 10 2017.
SQL abẹrẹ
Abẹrẹ SQL waye nigbati ikọlu ba fi data ti ko yẹ ranṣẹ si ohun elo wẹẹbu kan lati ṣe idiwọ eto naa ninu ohun elo naa.
Apeere ti abẹrẹ SQL kan:
Olukọni naa le tẹ ibeere SQL kan sinu fọọmu titẹ sii ti o nilo ọrọ asọye orukọ olumulo kan. Ti fọọmu titẹ sii ko ba ni ifipamo, yoo ja si ipaniyan ti ibeere SQL kan. Eyi ti wa ni tọka si bi SQL abẹrẹ.
Lati daabobo awọn ohun elo wẹẹbu lati abẹrẹ koodu, rii daju pe awọn olupilẹṣẹ rẹ lo afọwọsi titẹ sii lori data ti olumulo ti fi silẹ. Ifọwọsi nibi n tọka si ijusile ti awọn igbewọle aiṣedeede. Oluṣakoso data tun le ṣeto awọn idari lati dinku iye ti alaye ti o le ṣe afihan ninu ikọlu abẹrẹ.
Lati ṣe idiwọ abẹrẹ SQL, OWASP ṣe iṣeduro fifi data pamọ lọtọ si awọn aṣẹ ati awọn ibeere. Aṣayan ti o dara julọ ni lati lo aabo API lati ṣe idiwọ lilo onitumọ, tabi lati lọ si Nkan Awọn Irinṣẹ Iṣaworanhan Nkan (ORMs).
Ijeri ti o bajẹ
Awọn ailagbara ijẹrisi le gba ikọlu laaye lati wọle si awọn akọọlẹ olumulo ati fi ẹnuko eto kan nipa lilo akọọlẹ abojuto kan. cybercriminal le lo iwe afọwọkọ kan lati gbiyanju ẹgbẹẹgbẹrun awọn akojọpọ ọrọ igbaniwọle lori eto lati rii eyiti o ṣiṣẹ. Ni kete ti cybercriminal ba wọle, wọn le ṣe iro idanimọ olumulo, fifun wọn ni iraye si alaye asiri.
Ailagbara ìfàṣẹsí ti bajẹ wa ninu awọn ohun elo wẹẹbu ti o gba awọn wiwọle adaṣe laaye. Ọna ti o gbajumọ lati ṣe atunṣe ailagbara ìfàṣẹsí ni lilo ìfàṣẹsí multifactor. Paapaa, iye iwọn iwọle le wa ninu ninu ohun elo wẹẹbu lati yago fun awọn ikọlu agbara iro.
Ifarabalẹ data ti o ni imọlara
Ti awọn ohun elo wẹẹbu ko ba daabobo awọn olukaluku ifura le wọle ati lo wọn fun ere wọn. Ikọlu oju-ọna jẹ ọna olokiki fun jiji alaye ifura. Ewu ti ifihan le jẹ iwonba nigbati gbogbo data ifura ti wa ni ìpàrokò. Awọn olupilẹṣẹ wẹẹbu yẹ ki o rii daju pe ko si data ifura ti o han lori ẹrọ aṣawakiri tabi fipamọ lainidi.
Awọn ẹya ita XML (XEE)
cybercriminal le ni anfani lati gbejade tabi ṣafikun akoonu XML irira, awọn aṣẹ, tabi koodu laarin iwe XML kan. Eyi gba wọn laaye lati wo awọn faili lori eto faili olupin ohun elo. Ni kete ti wọn ba ni iwọle, wọn le ṣe ajọṣepọ pẹlu olupin lati ṣe awọn ikọlu ibeere ayederu ẹgbẹ olupin (SSRF)..
Awọn ikọlu nkan ita XML le wa ni idaabobo nipasẹ gbigba awọn ohun elo wẹẹbu laaye lati gba awọn iru data ti o ni idiju bii JSON. Pa XML kuro ni nkan elo ita gbangba tun dinku awọn aye ti ikọlu XEE kan.
Baje Access Iṣakoso
Iṣakoso wiwọle jẹ ilana eto ti o ni ihamọ awọn olumulo laigba aṣẹ si alaye ifura. Ti eto iṣakoso iwọle ba bajẹ, awọn ikọlu le fori ijẹrisi. Eyi fun wọn ni iraye si alaye ifura bi ẹnipe wọn ni aṣẹ. Iṣakoso wiwọle le ni ifipamo nipasẹ imuse awọn ami aṣẹ lori wiwọle olumulo. Lori gbogbo ibeere ti olumulo kan n ṣe lakoko ti o jẹri, ami-aṣẹ aṣẹ pẹlu olumulo jẹ ijẹrisi, ti n ṣe afihan pe olumulo ni aṣẹ lati ṣe ibeere yẹn.
Aṣiṣe Aabo
Iṣatunṣe aabo jẹ ọrọ ti o wọpọ pe cybersecurity awọn alamọja ṣe akiyesi ni awọn ohun elo wẹẹbu. Eyi waye bi abajade awọn akọle HTTP ti ko tọ, awọn iṣakoso iraye si fifọ, ati ifihan awọn aṣiṣe ti o ṣafihan alaye ni ohun elo wẹẹbu kan. O le ṣe atunṣe Iṣeto Aabo kan nipa yiyọ awọn ẹya ti a ko lo. O yẹ ki o tun alemo tabi igbesoke awọn idii sọfitiwia rẹ.
Akosile Nkan ti Agbeka (XSS)
Ailagbara XSS waye nigbati ikọlu ba ṣe afọwọyi DOM API ti oju opo wẹẹbu ti o gbẹkẹle lati ṣiṣẹ koodu irira ni ẹrọ aṣawakiri olumulo kan.. Iṣiṣẹ ti koodu irira nigbagbogbo waye nigbati olumulo kan tẹ ọna asopọ kan ti o han lati wa lati oju opo wẹẹbu ti o gbẹkẹle.. Ti oju opo wẹẹbu ko ba ni aabo lati ailagbara XSS, o le jẹ gbogun. Awọn irira koodu ti ti wa ni pipa yoo fun ikọlu ni iraye si igba iwọle awọn olumulo, awọn alaye kaadi kirẹditi, ati data ifura miiran.
Lati ṣe idiwọ Akosile aaye-agbelebu (XSS), rii daju pe HTML rẹ ti di mimọ daradara. Eyi le wa ni waye nipa yiyan awọn ilana igbẹkẹle ti o da lori ede yiyan. O le lo awọn ede bii .Net, Ruby on Rails, ati React JS bi wọn ṣe ṣe iranlọwọ lati ṣe itupalẹ ati nu koodu HTML rẹ di mimọ. Itọju gbogbo data lati awọn olumulo ti o jẹri tabi ti kii ṣe ifọwọsi bi aiṣedeede le dinku eewu awọn ikọlu XSS.
Deserialization ti ko ni aabo
Deserialization ni iyipada ti data serialized lati olupin si ohun kan. Deserialization ti data jẹ iṣẹlẹ ti o wọpọ ni idagbasoke sọfitiwia. Ko lewu nigbati data ti wa ni deserialized lati orisun ti a ko gbẹkẹle. Eyi le oyi fi ohun elo rẹ han si awọn ikọlu. Iyasọtọ ti ko ni aabo waye nigbati data isọkuro lati orisun ti a ko gbẹkẹle yori si awọn ikọlu DDOS, awọn ikọlu ipaniyan koodu latọna jijin, tabi awọn ifofo ijẹrisi.
Lati yago fun isọkuro ti ko ni aabo, ofin atanpako ni lati ma gbekele data olumulo rara. Gbogbo data igbewọle olumulo yẹ ṣe itọju as oyi irira. Yago fun deserialization ti data lati awọn orisun ti a ko gbẹkẹle. Rii daju wipe deserialization iṣẹ lati ṣee lo ninu ohun elo wẹẹbu rẹ jẹ ailewu.
Lilo Awọn paati Pẹlu Awọn ailagbara ti a mọ
Awọn ile-ikawe ati Awọn ilana ti jẹ ki o yara pupọ lati ṣe agbekalẹ awọn ohun elo wẹẹbu laisi nilo lati tun kẹkẹ pada. Eyi dinku apọju ni igbelewọn koodu. Wọn ṣe ọna fun awọn olupilẹṣẹ lati dojukọ awọn aaye pataki diẹ sii ti awọn ohun elo. Ti awọn ikọlu ba ṣawari awọn iwakiri ninu awọn ilana wọnyi, gbogbo codebase ti o nlo ilana yoo jẹ gbogun.
Awọn olupilẹṣẹ paati nigbagbogbo funni ni awọn abulẹ aabo ati awọn imudojuiwọn fun awọn ile-ikawe paati. Lati yago fun awọn ailagbara paati, o yẹ ki o kọ ẹkọ lati tọju awọn ohun elo rẹ imudojuiwọn pẹlu awọn abulẹ aabo tuntun ati awọn iṣagbega. Awọn paati ti ko lo yẹ yọkuro lati ohun elo lati ge ikọlu fekito.
Aini to gedu Ati Abojuto
Wọle ati ibojuwo jẹ pataki lati ṣafihan awọn iṣẹ ṣiṣe ninu ohun elo wẹẹbu rẹ. Wọle jẹ ki o rọrun lati wa awọn aṣiṣe, atẹle olumulo logins, ati awọn akitiyan.
Aini gedu ati ibojuwo waye nigbati awọn iṣẹlẹ aabo-pataki ko ba wọle daradara. Awọn ikọlu naa lo lori eyi lati gbe awọn ikọlu sori ohun elo rẹ ṣaaju idahun akiyesi eyikeyi.
Wọle le ṣe iranlọwọ fun ile-iṣẹ rẹ lati ṣafipamọ owo ati akoko nitori awọn olupilẹṣẹ rẹ le awọn iṣọrọ ri idun. Eyi n gba wọn laaye lati dojukọ diẹ sii lori yanju awọn idun ju wiwa wọn lọ. Ni ipa, gedu le ṣe iranlọwọ lati jẹ ki awọn aaye rẹ ati awọn olupin ṣiṣẹ ni gbogbo igba laisi wọn ni iriri eyikeyi akoko isinmi..
ipari
koodu to dara kii ṣe o kan nipa iṣẹ ṣiṣe, o jẹ nipa titọju awọn olumulo ati ohun elo rẹ lailewu. OWASP Top 10 jẹ atokọ ti awọn eewu aabo ohun elo to ṣe pataki julọ jẹ orisun ọfẹ nla fun awọn olupilẹṣẹ lati kọ oju opo wẹẹbu to ni aabo ati awọn ohun elo alagbeka. Awọn olupilẹṣẹ ikẹkọ lori ẹgbẹ rẹ lati ṣe ayẹwo ati wọle awọn ewu le ṣafipamọ akoko ẹgbẹ rẹ ati owo ni ṣiṣe pipẹ. Ti o ba fẹ Kọ ẹkọ diẹ sii nipa bi o ṣe le ṣe ikẹkọ ẹgbẹ rẹ lori OWASP Top 10 tẹ ibi.
