OWASP Аюулгүй байдлын шилдэг 10 эрсдэл | Тойм
Гарчиг
OWASP гэж юу вэ?
OWASP нь вэб програмын аюулгүй байдлын боловсрол олгох зорилготой ашгийн бус байгууллага юм.
OWASP сургалтын материалыг вэбсайтаас үзэх боломжтой. Тэдний хэрэгсэл нь вэб програмын аюулгүй байдлыг сайжруулахад тустай. Үүнд баримт бичиг, багаж хэрэгсэл, видео бичлэг, форум орно.
OWASP шилдэг 10 нь вэб програмын аюулгүй байдлын хамгийн чухал асуудлуудыг онцолсон жагсаалт юм. Тэд бүх компаниудад аюулгүй байдлын эрсдлийг бууруулахын тулд энэ тайланг үйл явцдаа оруулахыг зөвлөж байна. OWASP 10 оны шилдэг 2017 тайланд орсон аюулгүй байдлын эрсдэлүүдийн жагсаалтыг доор харуулав.
SQL тарилга
SQL тарилга нь халдагчид програмын програмыг тасалдуулахын тулд веб апп руу зохисгүй өгөгдөл илгээх үед үүсдэг..
SQL Injection-ийн жишээ:
Халдагчид SQL хайлтыг хэрэглэгчийн нэрийн энгийн текст шаарддаг оролтын маягт руу оруулж болно. Хэрэв оролтын маягт хамгаалагдаагүй бол SQL хайлтыг гүйцэтгэхэд хүргэнэ. Энэ иш татсан SQL тарилга болгон ашиглах.
Вэб программыг код оруулахаас хамгаалахын тулд таны хөгжүүлэгчид хэрэглэгчийн оруулсан өгөгдөлд оролтын баталгаажуулалт ашигладаг эсэхийг шалгаарай.. Энд баталгаажуулалт нь хүчингүй оролтыг үгүйсгэхийг хэлнэ. Мэдээллийн сангийн менежер нь хэмжээг багасгахын тулд хяналтыг тохируулах боломжтой мэдээлэл чадах л болно илчлэх тарилгын халдлагад.
SQL тарилга хийхээс сэргийлэхийн тулд OWASP нь өгөгдлийг тушаал, асуулгаас тусад нь байлгахыг зөвлөж байна. Хамгийн тохиромжтой сонголт бол хамгаалалтыг ашиглах явдал юм API орчуулагч ашиглахаас урьдчилан сэргийлэх, эсвэл объектын харилцааны зураглалын хэрэгсэл (ORMs) руу шилжих..
Баталгаажуулалт эвдэрсэн
Баталгаажуулалтын сул талууд нь халдагчид админ данс ашиглан хэрэглэгчийн бүртгэлд нэвтэрч, системийг эвдэх боломжийг олгодог.. Кибер гэмт хэрэгтэн скрипт ашиглан олон мянган нууц үгийн хослолыг систем дээр туршиж үзэх боломжтой.. Кибер гэмт хэрэгтэн нэвтэрсний дараа тэд хэрэглэгчийн хувийн мэдээллийг хуурамчаар үйлдэж, нууц мэдээлэлд нэвтрэх боломжийг олгодог..
Автоматаар нэвтрэх боломжийг олгодог вэб програмуудад нэвтрэлт танилтын эвдэрсэн сул тал бий. Баталгаажуулалтын эмзэг байдлыг засах түгээмэл арга бол олон хүчин зүйлийн баталгаажуулалтыг ашиглах явдал юм. Мөн нэвтрэх хурдны хязгаарлалт байж болно оруулах харгис хүчний дайралтаас урьдчилан сэргийлэхийн тулд вэб аппликейшн дээр.
Эмзэг өгөгдөлд өртөх
Хэрэв вэб програмууд хамгаалалтгүй бол эмзэг халдагчид тэдгээрт хандаж, ашиг олохын тулд ашиглах боломжтой. Зам дээрх халдлага нь нууц мэдээллийг хулгайлах түгээмэл арга юм. Бүх эмзэг өгөгдлийг шифрлэсэн үед өртөх эрсдэл хамгийн бага байдаг. Вэб хөгжүүлэгчид ямар ч нууц мэдээллийг хөтөч дээр ил гаргахгүй, шаардлагагүйгээр хадгалахгүй байх ёстой.
XML гадаад нэгжүүд (XEE)
Кибер гэмт хэрэгтэн нь XML баримт бичигт хортой XML контент, тушаал эсвэл кодыг байршуулах эсвэл оруулах боломжтой байж болно.. Энэ нь тэдэнд програмын серверийн файлын систем дээрх файлуудыг үзэх боломжийг олгодог. Тэд хандалттай болмогц тэд сервертэй харилцаж сервер талын хүсэлтийг хуурамчаар үйлдэх (SSRF) халдлага хийх боломжтой.
XML гадаад байгууллагын халдлага хийх боломжтой -аар урьдчилан сэргийлэх вэб программуудад JSON гэх мэт нарийн төвөгтэй өгөгдлийн төрлүүдийг хүлээн авах боломжийг олгодог. XML гадаад нэгжийн боловсруулалтыг идэвхгүй болгосноор XEE халдлагын магадлалыг бууруулдаг.
Хандалтын хяналт эвдэрсэн
Хандалтын хяналт нь нууц мэдээлэлд зөвшөөрөлгүй хэрэглэгчдийг хязгаарладаг системийн протокол юм. Хэрэв хандалтын хяналтын систем эвдэрсэн бол халдагч нар нэвтрэлт танилтыг тойрч гарах боломжтой. Энэ нь тэдэнд зөвшөөрөлтэй мэт нууц мэдээлэлд хандах боломжийг олгодог. Хандалтын хяналтыг хэрэглэгчийн нэвтрэлт дээр зөвшөөрлийн токенуудыг хэрэгжүүлснээр хамгаалж болно. Баталгаажсан үед хэрэглэгчийн хийсэн хүсэлт болгонд хэрэглэгчтэй хийсэн зөвшөөрлийн токеныг баталгаажуулж, хэрэглэгч тухайн хүсэлтийг гаргах эрхтэй болохыг харуулж байна.
Аюулгүй байдлын буруу тохиргоо
Аюулгүй байдлын буруу тохиргоо нь нийтлэг асуудал юм кибер аюулгуй байдлын мэргэжилтнүүд вэб програмуудад ажиглалт хийдэг. Энэ нь буруу тохируулагдсан HTTP толгой хэсэг, эвдэрсэн хандалтын хяналт, вэб програмын мэдээллийг ил гаргасан алдааны үр дүнд үүсдэг.. Ашиглагдаагүй функцуудыг устгаснаар та аюулгүй байдлын буруу тохиргоог засаж болно. Та мөн програм хангамжийн багцуудаа нөхөх эсвэл шинэчлэх хэрэгтэй.
Хөндлөн сайтын скрипт (XSS)
Халдагчид итгэмжлэгдсэн вэбсайтын DOM API-г ашиглан хэрэглэгчийн хөтөч дээр хортой кодыг ажиллуулах үед XSS-ийн эмзэг байдал үүсдэг.. Хэрэглэгч итгэмжлэгдсэн вэб сайтын холбоос дээр дарах үед энэ хортой кодыг гүйцэтгэх нь ихэвчлэн тохиолддог.. Хэрэв вэбсайт XSS-ийн эмзэг байдлаас хамгаалагдаагүй бол үүнийг хийх боломжтой буултанд орох. Энэ хортой код гүйцэтгэгдэж байна нь халдагчдад хэрэглэгчийн нэвтрэх сесс, зээлийн картын мэдээлэл болон бусад нууц мэдээлэлд хандах боломжийг олгодог.
Сайт хоорондын скриптээс (XSS) сэргийлэхийн тулд HTML-ээ сайтар ариутгасан эсэхийг шалгаарай. Үүнийг хийж чадна -аар хүрнэ сонгосон хэлнээс хамааран итгэмжлэгдсэн хүрээг сонгох. Та HTML кодыг задлан шинжлэх, цэвэрлэхэд туслах .Net, Ruby on Rails, React JS зэрэг хэлүүдийг ашиглаж болно. Баталгаажсан эсвэл баталгаажуулаагүй хэрэглэгчдийн бүх өгөгдлийг найдваргүй гэж үзэх нь XSS халдлагын эрсдлийг бууруулж чадна..
Аюулгүй сериалалт
Сериализаци гэдэг нь цуваажсан өгөгдлийг серверээс объект болгон хувиргах явдал юм. Өгөгдлийг цувралаас гаргах нь програм хангамж боловсруулахад түгээмэл тохиолддог үзэгдэл юм. Өгөгдөл байх үед энэ нь аюултай цувралаас гарсан байна итгэлгүй эх сурвалжаас. Энэ чадна магадлалтай програмаа халдлагад өртөх. Найдваргүй эх сурвалжаас авсан өгөгдөл нь DDOS халдлага, алсын зайнаас код гүйцэтгэх халдлага эсвэл нэвтрэлт танилтыг тойрч гарахад хүргэсэн тохиолдолд хамгаалалтгүй цуваа арилгана..
Аюулгүй цувралаас зайлсхийхийн тулд хэрэглэгчийн өгөгдөлд хэзээ ч итгэхгүй байх үндсэн дүрэм юм. Хэрэглэгч бүр өгөгдөл оруулах ёстой эмчлэх as магадлалтай хорлонтой. Итгэмжгүй эх сурвалжаас авсан өгөгдлийг цуврал болгохоос зайлсхий. Цуврал тайлах функц нь байгаа эсэхийг шалгаарай ашиглагдах Таны вэб програм аюулгүй байна.
Мэдэгдэж буй эмзэг байдал бүхий бүрэлдэхүүн хэсгүүдийг ашиглах
Номын сангууд болон Frameworks нь дугуйг дахин зохион бүтээх шаардлагагүйгээр вэб програмуудыг хөгжүүлэхэд илүү хурдтай болгосон. Энэ нь кодын үнэлгээний илүүдлийг бууруулдаг. Эдгээр нь хөгжүүлэгчдэд програмын илүү чухал тал дээр анхаарлаа төвлөрүүлэх замыг нээж өгдөг. Хэрэв халдагчид эдгээр хүрээн дэх мөлжлөгийг илрүүлбэл уг хүрээг ашиглаж буй кодын бааз бүр үүнийг илрүүлэх болно буултанд орох.
Бүрэлдэхүүн хэсгүүдийн хөгжүүлэгчид ихэвчлэн бүрэлдэхүүн хэсгийн сангуудын аюулгүй байдлын засварууд болон шинэчлэлтүүдийг санал болгодог. Бүрэлдэхүүн хэсгүүдийн эмзэг байдлаас зайлсхийхийн тулд та хамгийн сүүлийн үеийн аюулгүй байдлын засварууд болон шинэчлэлтүүдээр програмуудаа шинэчилж сурах хэрэгтэй.. Ашиглагдаагүй бүрэлдэхүүн хэсгүүд байх ёстой хасагдах болно довтолгооны векторуудыг таслах програмаас .
Мод бэлтгэх, хяналт тавих хангалтгүй
Бүртгэл, хяналт нь таны вэб програм дахь үйл ажиллагааг харуулахад чухал ач холбогдолтой. Бүртгэл нь алдааг хянахад хялбар болгодог. хяналт тавих хэрэглэгчийн нэвтрэлт, үйл ажиллагаа.
Аюулгүй байдлын чухал үйл явдлуудыг бүртгээгүй тохиолдолд бүртгэл, хяналт хангалтгүй байдаг зөв. Халдагчид үүнийг ашиглан таны аппликейшнд ямар нэгэн мэдэгдэхүйц хариу үйлдэл үзүүлэхээс өмнө халдлага үйлддэг.
Мод бэлтгэх нь танай компанид мөнгө, цаг хугацаа хэмнэхэд тусална, учир нь таны хөгжүүлэгчид боломжтой амархан алдаа олох. Энэ нь алдааг хайхаас илүүтэй шийдвэрлэхэд анхаарлаа төвлөрүүлэх боломжийг олгодог. Үнэн хэрэгтээ бүртгэл хөтлөх нь таны сайтууд болон серверүүдийг ямар ч сул зогсолтгүйгээр ажиллуулах бүрт тусалдаг.
Дүгнэлт
Сайн код бол тийм биш зүгээр л үйл ажиллагааны талаар, энэ нь таны хэрэглэгчид болон програмыг аюулгүй байлгах тухай юм. OWASP шилдэг 10 нь програмын аюулгүй байдлын хамгийн чухал эрсдэлүүдийн жагсаалт бөгөөд хөгжүүлэгчдэд аюулгүй вэб болон гар утасны програм бичихэд зориулсан үнэгүй нөөц юм.. Эрсдэлийг үнэлэх, бүртгэхийн тулд багийнхаа хөгжүүлэгчдийг сургах нь таны багийн цаг, мөнгийг урт хугацаанд хэмнэх болно. Хэрэв та хүсвэл OWASP шилдэг 10-т багаа хэрхэн сургах талаар энд дарж үзнэ үү.
