10 Risg Diogelwch Uchaf OWASP | Trosolwg
Tabl Cynnwys
Beth yw OWASP?
Mae OWASP yn sefydliad dielw sy'n ymroddedig i addysg diogelwch apiau gwe.
Mae deunyddiau dysgu OWASP ar gael ar eu gwefan. Mae eu hoffer yn ddefnyddiol ar gyfer gwella diogelwch cymwysiadau gwe. Mae hyn yn cynnwys dogfennau, offer, fideos, a fforymau.
Mae'r OWASP Top 10 yn rhestr sy'n tynnu sylw at y prif bryderon diogelwch ar gyfer apiau gwe heddiw. Maent yn argymell bod pob cwmni yn cynnwys yr adroddiad hwn yn eu prosesau i leihau risgiau diogelwch. Isod mae rhestr o risgiau diogelwch sydd wedi'u cynnwys yn adroddiad 10 Uchaf 2017 OWASP.
Chwistrelliad SQL
Mae chwistrelliad SQL yn digwydd pan fydd ymosodwr yn anfon data amhriodol i ap gwe i amharu ar y rhaglen yn y rhaglen.
Enghraifft o Chwistrelliad SQL:
Gallai'r ymosodwr fewnbynnu ymholiad SQL i ffurflen fewnbwn sydd angen testun plaen enw defnyddiwr. Os nad yw'r ffurflen fewnbynnu wedi'i diogelu, bydd yn arwain at gyflawni ymholiad SQL. hwn cyfeirir i fel chwistrelliad SQL.
Er mwyn amddiffyn cymwysiadau gwe rhag pigiad cod, gwnewch yn siŵr bod eich datblygwyr yn defnyddio dilysiad mewnbwn ar ddata a gyflwynir gan ddefnyddwyr. Mae dilysu yma yn cyfeirio at wrthod mewnbynnau annilys. Gall rheolwr cronfa ddata hefyd osod rheolaethau i leihau faint o gwybodaeth y gellir ei cael ei datgelu mewn ymosodiad pigiad.
Er mwyn atal chwistrelliad SQL, mae OWASP yn argymell cadw data ar wahân i orchmynion ac ymholiadau. Yr opsiwn gorau yw defnyddio dyfais ddiogel API i atal defnydd o gyfieithydd, neu i fudo i Offer Mapio Perthynol Gwrthrychol (ORMs).
Dilysiad Torri
Gall gwendidau dilysu ganiatáu i ymosodwr gael mynediad at gyfrifon defnyddwyr a chyfaddawdu system gan ddefnyddio cyfrif gweinyddol. Gall seiberdroseddwr ddefnyddio sgript i roi cynnig ar filoedd o gyfuniadau cyfrinair ar system i weld pa un sy'n gweithio. Unwaith y bydd y seiberdroseddol i mewn, gallant ffugio hunaniaeth y defnyddiwr, gan roi mynediad iddynt at wybodaeth gyfrinachol.
Mae bregusrwydd dilysu toredig yn bodoli mewn cymwysiadau gwe sy'n caniatáu mewngofnodi awtomataidd. Ffordd boblogaidd o gywiro bregusrwydd dilysu yw'r defnydd o ddilysu aml-ffactor. Hefyd, gallai terfyn cyfradd mewngofnodi cael ei gynnwys yn yr ap gwe i atal ymosodiadau grym 'n ysgrublaidd.
Amlygiad Data Sensitif
Os nad yw cymwysiadau gwe yn diogelu gall ymosodwyr sensitif eu cyrchu a'u defnyddio er eu budd. Mae ymosodiad ar y llwybr yn ddull poblogaidd o ddwyn gwybodaeth sensitif. Mae'r risg o amlygiad yn fach iawn pan fydd yr holl ddata sensitif wedi'i amgryptio. Dylai datblygwyr gwe sicrhau nad oes unrhyw ddata sensitif yn cael ei ddatgelu ar y porwr nac yn cael ei storio'n ddiangen.
Endidau Allanol XML (XEE)
Efallai y bydd seiberdroseddwr yn gallu lanlwytho neu gynnwys cynnwys, gorchmynion neu god XML maleisus o fewn dogfen XML. Mae hyn yn caniatáu iddynt weld ffeiliau ar system ffeiliau gweinydd y rhaglen. Unwaith y bydd ganddynt fynediad, gallant ryngweithio â'r gweinydd i berfformio ymosodiadau ffugio ceisiadau ochr y gweinydd (SSRF)..
Gall ymosodiadau endid allanol XML cael ei atal gan caniatáu i gymwysiadau gwe dderbyn mathau o ddata llai cymhleth fel JSON. Mae analluogi prosesu endid allanol XML hefyd yn lleihau'r siawns o ymosodiad XEE.
Rheoli Mynediad Torri
Mae rheoli mynediad yn brotocol system sy'n cyfyngu defnyddwyr anawdurdodedig i wybodaeth sensitif. Os caiff system rheoli mynediad ei thorri, gall ymosodwyr osgoi dilysu. Mae hyn yn rhoi mynediad iddynt at wybodaeth sensitif fel pe bai ganddynt awdurdodiad. Gellir sicrhau Rheoli Mynediad trwy weithredu tocynnau awdurdodi wrth fewngofnodi i ddefnyddwyr. Ar bob cais y mae defnyddiwr yn ei wneud tra'n cael ei ddilysu, mae'r tocyn awdurdodi gyda'r defnyddiwr yn cael ei wirio, gan nodi bod y defnyddiwr wedi'i awdurdodi i wneud y cais hwnnw.
Camgyfluniad Diogelwch
Mae camgyfluniad diogelwch yn fater cyffredin cybersecurity mae arbenigwyr yn arsylwi mewn cymwysiadau gwe. Mae hyn yn digwydd o ganlyniad i benawdau HTTP wedi'u camgyflunio, rheolaethau mynediad wedi torri, ac arddangos gwallau sy'n datgelu gwybodaeth mewn ap gwe. Gallwch gywiro Camgyfluniad Diogelwch trwy ddileu nodweddion nas defnyddiwyd. Dylech hefyd glytio neu uwchraddio eich pecynnau meddalwedd.
Sgriptio Traws-Safle (XSS)
Mae bregusrwydd XSS yn digwydd pan fydd ymosodwr yn trin API DOM gwefan ddibynadwy i weithredu cod maleisus mewn porwr defnyddiwr. Mae gweithredu'r cod maleisus hwn yn aml yn digwydd pan fydd defnyddiwr yn clicio ar ddolen sy'n ymddangos fel pe bai'n dod o wefan y gellir ymddiried ynddi. Os nad yw'r wefan wedi'i diogelu rhag bregusrwydd XSS, gall cael ei gyfaddawdu. Y cod maleisus sy'n yn cael ei ddienyddio yn rhoi mynediad ymosodwr i sesiwn mewngofnodi defnyddwyr, manylion cerdyn credyd, a data sensitif arall.
Er mwyn atal Sgriptio Traws-Safle (XSS), sicrhewch fod eich HTML wedi'i lanweithio'n dda. Gall hyn cael ei gyflawni gan dewis fframweithiau dibynadwy yn dibynnu ar ddewis iaith. Gallwch ddefnyddio ieithoedd fel .Net, Ruby on Rails, ac React JS gan y byddent yn helpu i ddosrannu a glanhau eich cod HTML. Gall trin yr holl ddata gan ddefnyddwyr dilys neu heb eu dilysu fel rhai nad ydynt yn ymddiried ynddynt leihau'r risg o ymosodiadau XSS.
Dadsefydliad Anniogel
Deserialization yw trawsnewid data cyfresol o weinydd i wrthrych. Mae dad-gyfrifo data yn ddigwyddiad cyffredin wrth ddatblygu meddalwedd. Mae'n anniogel pan fydd data yn dadgyffredinoli o ffynhonnell na ellir ymddiried ynddi. Gall hyn efallai amlygu eich cais i ymosodiadau. Mae dad-gyfrifo anniogel yn digwydd pan fydd data dad-gyfresi o ffynhonnell nas gellir ymddiried ynddi yn arwain at ymosodiadau DDOS, ymosodiadau gweithredu cod o bell, neu ffyrdd osgoi dilysu.
Er mwyn osgoi dad-gyfrifo anniogel, y rheol gyffredinol yw peidio byth ag ymddiried yn nata defnyddwyr. Dylai pob defnyddiwr fewnbynnu data cael eich trin as efallai maleisus. Osgoi dad-gyfrifo data o ffynonellau di-ymddiried. Sicrhau bod y swyddogaeth deserialization i cael ei ddefnyddio yn eich cais gwe yn ddiogel.
Defnyddio Cydrannau Sydd â Gwendidau Hysbys
Mae Llyfrgelloedd a Fframweithiau wedi'i gwneud hi'n llawer cyflymach i ddatblygu cymwysiadau gwe heb fod angen ailddyfeisio'r olwyn. Mae hyn yn lleihau diswyddiadau wrth werthuso cod. Maent yn paratoi'r ffordd i ddatblygwyr ganolbwyntio ar agweddau pwysicach ar gymwysiadau. Os bydd ymosodwyr yn darganfod campau yn y fframweithiau hyn, byddai pob cronfa god sy'n defnyddio'r fframwaith yn gwneud hynny cael ei gyfaddawdu.
Mae datblygwyr cydrannau yn aml yn cynnig clytiau diogelwch a diweddariadau ar gyfer llyfrgelloedd cydrannau. Er mwyn osgoi gwendidau cydrannau, dylech ddysgu sut i roi'r wybodaeth ddiweddaraf i'ch cymwysiadau gyda'r clytiau diogelwch a'r diweddariadau diweddaraf. Dylai cydrannau nas defnyddiwyd cael ei symud o'r cais i dorri fectorau ymosodiad.
Logio a Monitro Annigonol
Mae logio a monitro yn bwysig i ddangos gweithgareddau yn eich rhaglen we. Mae logio yn ei gwneud hi'n hawdd olrhain gwallau, monitro mewngofnodi defnyddwyr, a gweithgareddau.
Nid oes digon o waith cofnodi a monitro yn digwydd pan nad yw digwyddiadau sy'n hanfodol i ddiogelwch yn cael eu cofnodi yn iawn. Mae ymosodwyr yn manteisio ar hyn i gyflawni ymosodiadau ar eich cais cyn bod unrhyw ymateb amlwg.
Gall logio helpu'ch cwmni i arbed arian ac amser oherwydd gall eich datblygwyr wneud hynny yn hawdd dod o hyd i chwilod. Mae hyn yn caniatáu iddynt ganolbwyntio mwy ar ddatrys y bygiau na chwilio amdanynt. Mewn gwirionedd, gall logio helpu i gadw'ch gwefannau a'ch gweinyddwyr ar waith bob tro heb iddynt brofi unrhyw amser segur.
Casgliad
Nid yw cod da yn unig am ymarferoldeb, mae'n ymwneud â chadw'ch defnyddwyr a'ch cymhwysiad yn ddiogel. Mae'r OWASP Top 10 yn rhestr o'r risgiau diogelwch cymwysiadau mwyaf hanfodol ac mae'n adnodd rhad ac am ddim gwych i ddatblygwyr ysgrifennu apiau gwe a symudol diogel. Gall hyfforddi datblygwyr ar eich tîm i asesu a chofnodi risgiau arbed amser ac arian i'ch tîm yn y tymor hir. Os hoffech chi dysgwch fwy am sut i hyfforddi eich tîm ar 10 Uchaf OWASP cliciwch yma.
