Projekt OWASP: dowiedz się, czym jest i do czego służy

OWASP oznacza akronim Otwórz projekt bezpieczeństwa aplikacji internetowej ten Jest to organizacja non-profit z tysiącami członków zajmujących się ogólnie bezpieczeństwem oprogramowania. Projekt tworzy wszelkiego rodzaju dokumentację, jest na stałe darmowy i każdy zainteresowany ma do niego dostęp bez żadnych problemów. Krótko mówiąc, możesz udostępniać i dostosowywać dokumentację zgodnie ze swoimi preferencjami i potrzebami. O ile opiera się na celu projektu.

Jednym z najważniejszych projektów fundacji jest: Najlepsza dziesiątka 'NS’ OWASP ten Jest to standardowy dokument informacyjny dotyczący tworzenia bezpiecznego kodu dla wszystkich typów oprogramowania z wyjątkiem aplikacji internetowych. Jest to zakorzenione w szerokim konsensusie w sprawie głównych zagrożeń i zagrożeń bezpieczeństwa. Z tego powodu zdecydowanie zaleca się wdrożenie dziesięciu zaleceń OWASP w celu zminimalizowania ryzyka i ryzyka.

Zagrożenia z pierwszej dziesiątki OWASP

Następnie wymienimy ogólnie wszystkie zagrożenia dla aplikacji internetowych i oprogramowania. Prawdopodobnie słyszałeś o nich w przeszłości, ponieważ niektóre z nich to cyberataki znane ze swoich niszczycielskich skutków. Cytujemy je na podstawie tego, co mówi oryginalna dokumentacja projektowa.

1. Zastrzyk. Jest to w zasadzie wprowadzenie złośliwego kodu do interpretera, który jest częścią polecenia lub żądania. Pamiętaj, że komendy lub zapytania są częścią baz danych. Złośliwy kod może wykonywać wiele niepożądanych działań, takich jak nieautoryzowany dostęp do danych. Powszechnie stosowane są ataki polegające na infiltracji SQL lub protokoły dostępu do katalogów, takie jak LDAP.
2. Utrata uwierzytelnienia ten Czasami funkcje uwierzytelnianie a zarządzanie sesjami jest niewłaściwie stosowane. Błędy stanowią furtkę dla cyberprzestępców do wykonywania złośliwych działań, takich jak łamanie haseł, kluczy, znaków sesji itp. Mogą również wykorzystywać inne luki w zabezpieczeniach, które pozwalają im tymczasowo lub na stałe przejąć tożsamość innych użytkowników, w zależności od ataków, które chcą przeprowadzić.
3. Ujawnianie danych wrażliwych. Podstawowym celem interfejsów API jest ułatwienie dostępu i integracji danych, a nawet funkcji programu z innymi. Jednak nie wszyscy zwracają uwagę na ochronę danych wrażliwych, zwłaszcza jeśli chodzi o dane bankowe, finansowe, zdrowotne i inne. Ujawnienie tych informacji jest dalszą pomocą dla cyberprzestępców w przeprowadzaniu innych ataków, takich jak kradzież tożsamości lub oszustwa związane z kartami kredytowymi. Stąd tak ważne jest szyfrowanie danych przechowywanych podczas transportu lub w najlepszym razie przez na końcu ten
4. XML strony trzeciej. Celem tej luki jest to, że cyberprzestępca może wysłać zmanipulowany dokument XML, aby przez „Analiza XML” (most) zaczyna ujawniać poufne informacje z aplikacji ofiar. Analizatory te są dostępne w aplikacjach, które je obsługują. W końcu mogą również prowadzić do nadużywania zasobów, wykonywania złośliwych poleceń i nie tylko. Ale czym jest dokument XML? Jest to oznakowany dokument używany do przedstawiania uporządkowanych informacji w sieci. Dlatego aplikacje i urządzenia mogą przechowywać te informacje, a także manipulować nimi, przeglądać i drukować.
5. Utrata kontroli dostępu. Cyberprzestępcy mogą wykorzystywać luki w zabezpieczeniach i luki w politykach ograniczania użytkowników. Pamiętaj, że te ograniczenia określają, co użytkownik może zrobić w oparciu o jego role i uprawnienia. Wykorzystując błędy i luki w zabezpieczeniach, uzyskuje się nieautoryzowane prawa i funkcje. Takie jak przeglądanie poufnych plików, zmiana danych innych użytkowników, zmiana uprawnień i ról innych użytkowników i nie tylko.
6. Błędy konfiguracji zabezpieczeń. Jest to często spowodowane niebezpiecznymi ustawieniami domyślnymi, niekompletnymi ustawieniami ad hoc, otwartą pamięcią masową w chmurze, niepoprawnie skonfigurowanymi nagłówkami HTTP i komunikatami o błędach, które zawierają poufne informacje. Chociaż systemy operacyjne, frameworki, biblioteki i aplikacje są bezpiecznie skonfigurowane, muszą być również: ZAKTUALIZOWANO regularnie z łatami bezpieczeństwa ten
7. Scenariusz między lokacjami (XSS). Ze względu na ogólny brak walidacji w aplikacjach może to mieć katastrofalne konsekwencje. XSS umożliwia cyberprzestępcom uruchamianie skryptów w językach takich jak JavaScript w sesjach użytkownika w celu modyfikowania bezpieczeństwa łączy do witryn lub przekierowywania użytkowników na złośliwe witryny, nawet jeśli wprowadzą prawidłowy lub poprawny adres URL.
8. Niebezpieczna sterylizacja. Sterylizacja to rekonstrukcja obiektu z wydobytych z niego informacji. Istnieją reguły kontraktu programistycznego, które mówią, że informacje będą pobierane z obiektów możliwych do serializacji. To duże ryzyko zdalne wykonanie wszelkiego rodzaju złośliwy kod, z wyjątkiem wykonywania, replikacji poprzednich ataków, wstrzyknięć i zwiększonych uprawnień.
9. Korzystanie z przedmiotów o znanych lukach w zabezpieczeniach. Istnieje wiele bibliotek, struktur i innych jednostek oprogramowania, które mają takie same uprawnienia jak same aplikacje. Gdy używane są wrażliwe komponenty, istnieje wysokie ryzyko utraty danych lub włamań ze strony cyberprzestępców. Dlatego bardzo ważne jest, aby wiedzieć o środkach bezpieczeństwa API które możemy zastosować np. po to, by nie otwierać drzwi dla dużej liczby podatności i ataków.
10. Niewystarczające gromadzenie i monitorowanie dzienników. Ta para działania zapobiegawcze jeśli nie istnieje w aplikacji naszych aplikacji, nie tylko umożliwia cyberprzestępcom przeprowadzanie ataków, ale może również osiągnąć wysoki poziom trwałości. Prawdopodobnie osiągną punkt zniszczenia danych, co może mieć ogromny wpływ na środowisko, w którym się znajdujemy.

Jedną z wielkich zalet takiego projektu jest standaryzacja dużych ryzyk. Ułatwia to ich wykrywanie, a następnie ich rozwiązanie po znalezieniu odpowiedniego środka łagodzącego. Możliwe jest również bycie częścią OWASP, która ma wiele oddziałów na całym świecie, starając się spotykać i rozpowszechniać to, co fundacja promuje poprzez różnorodne działania. Zachęcamy do lektury kapitał który pasuje do Twojego kraju!