OWASP 10 segurtasun-arrisku nagusiak | Ikuspegi orokorra
Edukien aurkibidea
Zer da OWASP?
OWASP irabazi-asmorik gabeko erakunde bat da, web aplikazioen segurtasun-heziketari eskainia.
OWASP ikasmaterialak bere webgunean daude eskuragarri. Haien tresnak erabilgarriak dira web aplikazioen segurtasuna hobetzeko. Honek dokumentuak, tresnak, bideoak eta foroak barne hartzen ditu.
OWASP Top 10 gaur egungo web aplikazioen segurtasun kezka nagusiak nabarmentzen dituen zerrenda da. Enpresa guztiei txosten hori beren prozesuetan sartzea gomendatzen dute segurtasun arriskuak murrizteko. Jarraian, OWASP Top 10 2017 txostenean jasotako segurtasun-arriskuen zerrenda dago.
SQL injekzioa
SQL injekzioa erasotzaile batek web aplikazio batera datu desegokiak bidaltzen dituenean gertatzen da aplikazioko programa eteteko..
SQL injekzio baten adibidea:
Erasotzaileak SQL kontsulta bat sar lezake erabiltzaile-izen testu arrunta behar duen sarrera-inprimaki batean. Sarrera-inprimakia segurua ez bada, SQL kontsulta bat exekutatu egingo da. Hau aipatzen da SQL injekzio gisa.
Web-aplikazioak kodea injekziotik babesteko, ziurtatu zure garatzaileek sarrerako baliozkotzea erabiltzen dutela erabiltzaileek bidalitako datuetan. Hemen baliozkotzeak sarrera baliogabeak baztertzeari egiten dio erreferentzia. Datu-baseen kudeatzaileak kontrolak ere ezarri ditzake kopurua murrizteko informazio ahal ezagutarazi injekzio eraso batean.
SQL injekzioa saihesteko, OWASP-k datuak komandoetatik eta kontsultetatik bereizita mantentzea gomendatzen du. Aukera hoberena segurua erabiltzea da API interprete bat erabiltzea saihesteko edo Object Relational Mapping Tools (ORM)etara migratzeko.
Hautsitako autentifikazioa
Autentifikazio-ahuleziek erasotzaile bati erabiltzaile-kontuetara atzitzea eta sistema bat arriskuan jar dezake administratzaile-kontu bat erabiliz. Ziberkriminal batek script bat erabil dezake sistema batean milaka pasahitz konbinazio probatzeko zein funtzionatzen duen ikusteko.. Ziberkriminala sartuta dagoenean, erabiltzailearen identitatea faltsu dezakete, informazio konfidentziala eskuratzeko aukera emanez..
Saio-hasiera automatizatua ahalbidetzen duten web aplikazioetan hautsitako autentifikazio-ahultasun bat dago. Autentifikazioaren ahultasuna zuzentzeko modu ezagun bat faktore anitzeko autentifikazioa erabiltzea da. Gainera, saioa hasteko tasa muga bat izan daiteke sartuta egon web aplikazioan indar gordineko erasoak saihesteko.
Datu sentikorren esposizioa
Web-aplikazioek ez badute babesten erasotzaile sentikorrak atzitu eta erabil ditzakete irabazirako. Bidean egindako erasoa informazio sentikorra lapurtzeko metodo ezaguna da. Esposizio-arriskua txikia da datu sentikor guztiak enkriptatuta daudenean. Web garatzaileek ziurtatu behar dute ez dela datu sentikorrik agertzen arakatzailean edo alferrik gordetzen.
XML kanpoko entitateak (XEE)
Baliteke ziberkriminal batek XML dokumentu baten barruan XML eduki, komando edo kode gaiztoak kargatu edo sartzeko.. Horri esker, aplikazioen zerbitzariaren fitxategi sisteman fitxategiak ikusteko aukera ematen dute. Behin sarbidea dutenean, zerbitzariarekin elkarreragin dezakete zerbitzariaren aldeko eskaera faltsutzea (SSRF) erasoak egiteko.
XML kanpoko entitateen erasoek egin dezakete saihestu ahal izateko web aplikazioek JSON bezalako datu-mota hain konplexuak onar ditzakete. XML kanpoko entitateen prozesamendua desgaitzeak XEE erasoak izateko aukerak ere murrizten ditu.
Apurtutako Sarbide Kontrola
Sarbide-kontrola sistema-protokolo bat da, baimenik gabeko erabiltzaileak informazio sentikorra mugatzen duena. Sarbide kontrolatzeko sistema bat hautsita badago, erasotzaileek autentifikazioa saihestu dezakete. Honek informazio sentikorra atzitzeko aukera ematen die, baimena balute bezala. Sarbide-kontrola bermatu daiteke erabiltzailearen saioan baimen-tokenak ezarriz. Erabiltzaileak autentifikatuta dagoen bitartean egiten duen eskaera guztietan, erabiltzailearekin duen baimen-tokena egiaztatzen da, erabiltzaileak eskaera hori egiteko baimena duela adieraziz.
Segurtasun okerreko konfigurazioa
Segurtasun okerreko konfigurazioa arazo arrunta da cyber espezialistek web aplikazioetan behatzen dute. Hau gaizki konfiguratutako HTTP goiburuen, apurtutako sarbide-kontrolen eta web-aplikazio batean informazioa erakusten duten erroreen bistaratzearen ondorioz gertatzen da.. Segurtasun-konfigurazio okerrak zuzendu ditzakezu erabili gabeko eginbideak kenduz. Zure software paketeak ere adabaki edo berritu beharko zenuke.
Gune gurutzatuen script (XSS)
XSS ahultasuna erasotzaile batek webgune fidagarri baten DOM APIa manipulatzen duenean gertatzen da kode gaiztoa erabiltzailearen arakatzailean exekutatzeko.. Kode gaizto hau exekutatzen sarritan gertatzen da erabiltzaile batek webgune fidagarri batekoa dela dirudien esteka batean klik egiten duenean.. Webgunea XSS ahultasunetik babestuta ez badago, egin dezake arriskuan egon. Kode maltzur hori exekutatzen da Erasotzaile bati sarbidea ematen dio erabiltzaileen saioa hasteko, kreditu txartelaren xehetasunak eta beste datu sentikorrak.
Cross-site Scripting (XSS) saihesteko, ziurtatu zure HTMLa ondo garbituta dagoela. Honek ahal du bidez lortu aukeratutako hizkuntzaren arabera konfiantzazko esparruak aukeratzea. .Net, Ruby on Rails eta React JS bezalako hizkuntzak erabil ditzakezu zure HTML kodea analizatzen eta garbitzen lagunduko luketelako. Autentifikatu edo autentifikatu gabeko erabiltzaileen datu guztiak fidagarriak ez diren moduan tratatzeak XSS erasoen arriskua murrizten du..
Deserializazio segurua
Deserializazioa zerbitzari batetik objektu izatera serializatutako datuak eraldatzea da. Datuen deserializazioa ohikoa da softwarearen garapenean. Datuetan ez da segurua deserializatuta dago fidagarria ez den iturri batetik. Hau ahal da potentzialki erakutsi zure aplikazioa erasoetara. Deserializazio segurua gertatzen da fidagarria ez den iturri batetik deserializatutako datuek DDOS erasoak, urruneko kodea exekutatzeko erasoak edo autentifikazio-saihesteak eragiten dituztenean..
Segurtasunik gabeko deserializazioa saihesteko, erabiltzailearen datuetan inoiz ez fidatzea da oinarrizko araua. Erabiltzaile bakoitzak sartutako datuek beharko lukete tratatu as potentzialki gaiztoa. Saihestu fidagarriak ez diren iturrietatik datuak deserializatu. Ziurtatu deserializazio funtzioa dela erabili zure web aplikazioan segurua da.
Ahultasun ezagunak dituzten osagaiak erabiltzea
Liburutegiek eta Esparruek askoz azkarrago egin dute web aplikazioak garatzea gurpila berrasmatu beharrik gabe. Horrek erredundantzia murrizten du kodearen ebaluazioan. Garatzaileek aplikazioen alderdi garrantzitsuenetan zentratzeko bidea zabaltzen dute. Erasotzaileek esparru hauetan baliagarriak aurkitzen badituzte, esparrua erabiltzen duten kode-base guztiek egingo lukete arriskuan egon.
Osagaien garatzaileek askotan segurtasun-adabakiak eta eguneraketak eskaintzen dituzte osagaien liburutegietarako. Osagaien ahuleziak ekiditeko, zure aplikazioak eguneratuta mantentzen ikasi beharko zenuke azken segurtasun adabaki eta bertsio berritzaileekin.. Erabiltzen ez diren osagaiak beharko lirateke kendu eraso-bektoreak mozteko aplikaziotik.
Erregistro eta Jarraipen nahikoa
Erregistroa eta jarraipena garrantzitsuak dira zure web aplikazioan jarduerak erakusteko. Erregistroa egiteak erroreen traza errazten du, monitore erabiltzaileen saioak eta jarduerak.
Erregistro eta monitorizazio nahikoa ez da gertatzen segurtasun-gertaera kritikoak erregistratzen ez direnean Behar bezala. Erasotzaileek hori erabiltzen dute zure aplikazioaren aurkako erasoak egiteko erantzun nabarmenik egon aurretik.
Erregistroak zure enpresari dirua eta denbora aurrezten lagunduko dio, zure garatzaileek egin dezaketelako erraz akatsak aurkitu. Horri esker, akatsak konpontzen gehiago zentratzen dira haiek bilatzean baino. Izan ere, saioa egiteak zure guneak eta zerbitzariak martxan mantentzen lagun dezake aldi bakoitzean, haiek geldialdirik izan gabe.
Ondorioa
Kode ona ez da besterik ez funtzionaltasunari buruz, zure erabiltzaileak eta aplikazioak seguru mantentzea da. OWASP Top 10 aplikazioen segurtasun-arrisku kritikoenen zerrenda da garatzaileentzako doako baliabide bikaina da web eta mugikorreko aplikazio seguruak idazteko. Arriskuak ebaluatzeko eta erregistratzeko zure taldeko garatzaileak trebatzeak zure taldeari denbora eta dirua aurreztu diezazkioke epe luzera. Nahi baduzu Lortu informazio gehiago OWASP Top 10-en zure taldea entrenatzeko moduari buruz egin klik hemen.
