Dzisiaj w RedesZone stworzyliśmy ten przewodnik, aby przedstawić przegląd najważniejszych luk w zabezpieczeniach dotyczących OWASP oraz tego, jak najlepiej je rozwiązać lub złagodzić. W każdym razie pokażemy Ci również, co możesz zrobić lepiej, chociaż niektóre są nieco bardziej skomplikowane. Zauważ, że wymienione poniżej luki są oparte na popularnym projekcie luk w zabezpieczeniach aplikacji OWASP.
Ujawnienie danych wrażliwych
Jedną z sytuacji, która dotyka zarówno użytkowników, jak i organizacje, jest bezpieczeństwo i prywatność danych wrażliwych. Pamiętaj, że dane wrażliwe mogą być powiązane z czymś osobistym, zawodowym, bankowym, finansowym lub zdrowotnym. Wszelkie dane, które mogą generować informacje o Tobie, są bardzo korzystne dla cyberprzestępców. Dane wrażliwe mogą być nie tylko ujawniane, ale także modyfikowane, kradzione czy sprzedawane podmiotom dedykowanym do obsługi danych wrażliwych.
Jeśli odpowiadasz za zarządzanie danymi wrażliwymi, jedną z najlepszych praktyk jest klasyfikacja. Przykład losowy, dane wrażliwe i dane niewrażliwe. Jeśli były to dane wrażliwe, należy podjąć dodatkowe środki bezpieczeństwa, takie jak bardziej niezawodne metody szyfrowania i unikaj ich przechowywania jeśli nie jest to absolutnie konieczne, z wyjątkiem tego, że aby uzyskać do niego dostęp, wymagane jest silne uwierzytelnienie, a nawet czynnik podwójnego uwierzytelnienia w celu ulepszenia systemu uwierzytelniania. Z drugiej strony uważaj na przesyłane dane: korzystaj z bezpiecznych protokołów, takich jak m.in. TLS (Zabezpieczenia warstwy transportowej) itp. PFS (ściśle tajny przód) ten
Słabe ustawienia bezpieczeństwa
To jedna z najczęstszych luk, głównie ze względu na: złe praktyki podczas tworzenia aplikacji. Domyślne, niezabezpieczone lub niekompletne konfiguracje, konfigurowanie otwartych usług w chmurze, gdy dostępne są poufne dane. Takie przypadki mogą stanowić poważne zagrożenie dla ogólnej integralności aplikacji.
Jedną z rzeczy, które możesz łatwiej zrobić, jest usunięcie usług i wszelkich innych dodatków z aplikacji, których nie potrzebujesz. Pamiętaj, że te „nieaktywne” elementy przynoszą cyberprzestępcom ogromne korzyści. Wiele z tych ataków pojawia się z powodu braku kontroli w tym aspekcie. Często sprawdzaj również, czy w instalacji nie ma dziur. Jednym z ułatwień w tym aspekcie jest korzystanie z dokumentacji i wsparcia ze strony dostawcy. W wielu przypadkach mają do dyspozycji dużą liczbę zasobów, które pomogą Ci w pełni wykorzystać infrastrukturę aplikacji, a także zwiększyć poziom bezpieczeństwa.
Utrata kontroli dostępu
Jako administratorzy nigdy nie powinniśmy lekceważyć użytkowników końcowych. Mówimy tak, ponieważ zdarzają się przypadki, w których „zwykli” użytkownicy mają więcej uprawnień niż powinni. Dlatego może służyć jako trampolina do wielu złośliwych działań. Najgorsze jest to, że może ominąć niektóre kontrole bezpieczeństwa, ponieważ jest to dozwolone. NS’ eskalacja uprawnień to problem sieciowy wszystkich typów organizacji. Ataki wewnętrzne (w ramach organizacji) mają przerażające statystyki, dlatego obowiązkowe jest dostosowanie praw każdego typu użytkownika.
Z drugiej strony nie należy lekceważyć użytkowników z tymi uprawnieniami administratora. Omówiliśmy to szczegółowo w RedesZone i możesz zobaczyć, co musisz zrobić, aby poprawić mechanizmy kontrolne, ten
Wstrzykiwanie w oparciu o maszyny bazodanowe
Wstrzyknięcie to wprowadzanie danych zawierających kod zdolny do wykonywania złośliwych działań. Mogą pojawiać się w różnych silnikach baz danych, takich jak SQL, NoSQL, a nawet LDAP (protokół dostępu do lekkiego katalogu) ten Praktycznym przykładem jest sytuacja, gdy logujemy się do określonej aplikacji i zamiast wpisywać swoje dane uwierzytelniające, piszemy instrukcje SQL, które wykonują złośliwe działania. W niektórych przypadkach nie jest to łatwe do wykrycia. Zdarzają się jednak przypadki iniekcji, w których aplikacja jest praktycznie zbędna. Podobnie dane w aplikacjach mogą zostać ujawnione lub pozostać niedostępne dla ich właścicieli.
Głównym środkiem ostrożności, który należy podjąć, jest wdrożenie walidacji wprowadzania danych. Dzięki temu użytkownik nie będzie mógł wpisywać tekstu w żadnym z pól formularza rejestracji, logowania, rejestracji itp. Wydaje się to dość podstawową praktyką, ale niestety wiele aplikacji i usług generalnie nie docenia tego zagrożenia. Na przykład jeśli formularz wymaga danych liczbowych, ogranicz wprowadzanie danych tylko do liczb. Jeśli jest to tekst, nie można wprowadzać poleceń, które mogą reprezentować instrukcje bazy danych.
Jak widzieliśmy, to tylko niektóre z luk zgłoszonych przez OWASP. Uważamy jednak, że tak jest wśród najważniejszych ze względu na wpływ, jaki wywierają na infrastrukturę aplikacji i ich użytkowników. Musimy pamiętać, że musimy nie tylko wzmocnić nasze środki bezpieczeństwa w obliczu zbliżającego się niebezpieczeństwa ataku, ale musimy to robić stale. Dobre praktyki tworzenia i tworzenia aplikacji to najskuteczniejsza ochrona przed tak wieloma lukami w zabezpieczeniach.