OWASP 10 principais riscos de seguridade | Visión xeral
Índice analítico
Que é OWASP?
OWASP é unha organización sen ánimo de lucro dedicada á educación en seguridade de aplicacións web.
Os materiais de aprendizaxe de OWASP están accesibles no seu sitio web. As súas ferramentas son útiles para mellorar a seguridade das aplicacións web. Isto inclúe documentos, ferramentas, vídeos e foros.
O OWASP Top 10 é unha lista que destaca os principais problemas de seguridade para as aplicacións web na actualidade. Recomendan que todas as empresas inclúan este informe nos seus procesos para reducir os riscos de seguridade. A continuación móstrase unha lista de riscos de seguridade incluídos no informe OWASP Top 10 2017.
Inxección SQL
A inxección de SQL prodúcese cando un atacante envía datos inadecuados a unha aplicación web para interromper o programa na aplicación..
Un exemplo de inxección SQL:
O atacante podería introducir unha consulta SQL nun formulario de entrada que require un nome de usuario en texto plano. Se o formulario de entrada non está protexido, dará lugar á execución dunha consulta SQL. Isto é referido como inxección SQL.
Para protexer as aplicacións web da inxección de código, asegúrate de que os teus desenvolvedores utilicen a validación de entrada nos datos enviados polo usuario. A validación aquí refírese ao rexeitamento de entradas non válidas. Un xestor de base de datos tamén pode establecer controis para reducir a cantidade de información que pode ser divulgado nun ataque de inxección.
Para evitar a inxección de SQL, OWASP recomenda manter os datos separados dos comandos e das consultas. A opción preferible é usar un seguro API para evitar o uso dun intérprete ou para migrar ás ferramentas de mapeo relacional de obxectos (ORM).
Autenticación rota
As vulnerabilidades de autenticación poden permitir que un atacante acceda ás contas de usuario e comprometa un sistema mediante unha conta de administrador. Un cibercriminal pode usar un script para probar miles de combinacións de contrasinais nun sistema para ver cal funciona. Unha vez que o cibercriminal está dentro, pode falsificar a identidade do usuario, dándolle acceso a información confidencial.
Existe unha vulnerabilidade de autenticación rota nas aplicacións web que permiten inicios de sesión automatizados. Unha forma popular de corrixir a vulnerabilidade da autenticación é o uso da autenticación multifactor. Ademais, un límite de taxa de inicio de sesión podería ser incluído na aplicación web para evitar ataques de forza bruta.
Exposición de datos sensibles
Se as aplicacións web non protexen os atacantes sensibles poden acceder a elas e utilizalas para o seu beneficio. Un ataque no camiño é un método popular para roubar información confidencial. O risco de exposición á lata é mínimo cando todos os datos sensibles están cifrados. Os desenvolvedores web deben asegurarse de que non se expoñen datos confidenciais no navegador nin se almacenan innecesariamente.
Entidades externas XML (XEE)
Un cibercriminal pode cargar ou incluír contido XML malicioso, comandos ou código dentro dun documento XML. Isto permítelles ver ficheiros no sistema de ficheiros do servidor de aplicacións. Unha vez que teñan acceso, poden interactuar co servidor para realizar ataques de falsificación de solicitudes no servidor (SSRF)..
Os ataques de entidades externas XML poden ser impedido por permitindo que as aplicacións web acepten tipos de datos menos complexos como JSON. A desactivación do procesamento de entidades externas XML tamén reduce as posibilidades dun ataque XEE.
Control de acceso roto
O control de acceso é un protocolo do sistema que restrinxe aos usuarios non autorizados a información confidencial. Se un sistema de control de acceso está roto, os atacantes poden evitar a autenticación. Isto dálles acceso a información confidencial coma se tivesen autorización. O control de acceso pódese garantir implementando tokens de autorización no inicio de sesión do usuario. En cada solicitude que fai un usuario mentres está autenticado, verifícase o token de autorización co usuario, indicando que o usuario está autorizado para realizar esa solicitude.
Configuración incorrecta de seguridade
A configuración incorrecta da seguridade é un problema común que cibersegurança especialistas observan en aplicacións web. Isto ocorre como resultado de cabeceiras HTTP mal configuradas, controis de acceso rotos e a visualización de erros que expoñen información nunha aplicación web. Pode corrixir unha configuración incorrecta de seguranza eliminando funcións non utilizadas. Tamén debería parchear ou actualizar os seus paquetes de software.
Script entre sitios (XSS)
A vulnerabilidade XSS prodúcese cando un atacante manipula a API DOM dun sitio web de confianza para executar código malicioso no navegador dun usuario.. A execución deste código malicioso ocorre a miúdo cando un usuario fai clic nunha ligazón que parece ser dun sitio web de confianza. Se o sitio web non está protexido da vulnerabilidade XSS, pode facelo estar comprometido. O código malicioso que execútase dá a un atacante acceso á sesión de inicio de sesión dos usuarios, aos detalles da tarxeta de crédito e a outros datos confidenciais.
Para evitar Cross-site Scripting (XSS), asegúrate de que o teu HTML estea ben desinfectado. Isto pode ser conseguido por escollendo marcos de confianza dependendo da lingua escollida. Podes usar linguaxes como .Net, Ruby on Rails e React JS xa que axudan a analizar e limpar o teu código HTML. Tratar todos os datos de usuarios autenticados ou non autenticados como non fiables pode reducir o risco de ataques XSS.
Deserialización insegura
A deserialización é a transformación de datos serializados dun servidor a un obxecto. A deserialización de datos é unha ocorrencia común no desenvolvemento de software. Non é seguro cando os datos está deserializado dunha fonte non fiable. Isto pode potencialmente expón a túa aplicación a ataques. A deserialización insegura ocorre cando os datos deserializados dunha fonte non fiable provocan ataques DDOS, ataques de execución de código remota ou omisións de autenticación..
Para evitar a deserialización insegura, a regra xeral é non confiar nunca nos datos do usuario. Todos os datos de entrada de usuario deberían ser tratado as potencialmente malicioso. Evite a deserialización de datos de fontes non fiables. Asegúrese de que a función de deserialización ser usado na súa aplicación web é seguro.
Usando compoñentes con vulnerabilidades coñecidas
As bibliotecas e os frameworks fixeron que o desenvolvemento de aplicacións web sexa moito máis rápido sen necesidade de reinventar a roda. Isto reduce a redundancia na avaliación do código. Preparan o camiño para que os desenvolvedores se centren en aspectos máis importantes das aplicacións. Se os atacantes descobren exploits nestes marcos, todas as bases de código que utilicen o marco faríano estar comprometido.
Os desenvolvedores de compoñentes adoitan ofrecer parches de seguridade e actualizacións para as bibliotecas de compoñentes. Para evitar vulnerabilidades de compoñentes, debes aprender a manter as túas aplicacións actualizadas cos últimos parches e actualizacións de seguranza.. Os compoñentes non utilizados deberían ser eliminado desde a aplicación para cortar vectores de ataque.
Rexistro e seguimento insuficientes
O rexistro e o seguimento son importantes para mostrar actividades na súa aplicación web. O rexistro facilita o rastrexo de erros, monitor inicios de sesión de usuarios e actividades.
O rexistro e a supervisión son insuficientes cando non se rexistran eventos críticos para a seguridade correctamente. Os atacantes aproveitan isto para realizar ataques á túa aplicación antes de que haxa ningunha resposta notable.
O rexistro pode axudar á túa empresa a aforrar diñeiro e tempo porque os teus desenvolvedores poden facelo facilmente atopar erros. Isto permítelles centrarse máis en resolver os erros que en buscalos. En efecto, o rexistro pode axudar a manter os seus sitios e servidores en funcionamento cada vez sen que experimenten ningún tempo de inactividade.
Conclusión
O bo código non é só sobre a funcionalidade, trátase de manter seguros os teus usuarios e aplicacións. O OWASP Top 10 é unha lista dos riscos de seguridade das aplicacións máis críticos é un excelente recurso gratuíto para que os desenvolvedores escriban aplicacións web e móbiles seguras. Adestrar aos desenvolvedores do teu equipo para avaliar e rexistrar riscos pode aforrar tempo e diñeiro ao teu equipo a longo prazo. Se queres Obtén máis información sobre como adestrar ao teu equipo no Top 10 de OWASP fai clic aquí.
