OWASP Top 10 Resiko Kaamanan | Ihtisar
Daptar eusi
Naon OWASP?
OWASP mangrupikeun organisasi nirlaba khusus pikeun pendidikan kaamanan aplikasi wéb.
Bahan pangajaran OWASP tiasa diaksés dina situs wébna. Alatna mangpaat pikeun ningkatkeun kaamanan aplikasi wéb. Ieu kalebet dokumén, alat, pidéo, sareng forum.
OWASP Top 10 mangrupikeun daptar anu nyorot masalah kaamanan luhur pikeun aplikasi wéb ayeuna. Aranjeunna nyarankeun yén sadaya perusahaan ngalebetkeun laporan ieu dina prosésna pikeun ngirangan résiko kaamanan. Di handap ieu daptar resiko kaamanan kaasup dina OWASP Top 10 2017 laporan.
SQL suntik
Suntikan SQL lumangsung nalika panyerang ngirim data anu teu pantes ka aplikasi wéb pikeun ngaganggu program dina aplikasi éta.
Hiji conto SQL Injection:
Panyerang bisa ngasupkeun query SQL kana formulir input nu merlukeun plaintext ngaran pamaké. Upami formulir input henteu diamankeun, éta bakal nyababkeun palaksanaan query SQL. Ieu anu dimaksud ka salaku injeksi SQL.
Pikeun ngajaga aplikasi wéb tina suntikan kode, pastikeun pamekar anjeun nganggo validasi input dina data anu dikirimkeun ku pangguna. Validasi di dieu nujul kana panolakan input anu teu valid. Pangatur database ogé tiasa nyetél kadali pikeun ngirangan jumlah inpormasi anu tiasa diungkabkeun dina serangan suntik.
Pikeun nyegah suntik SQL, OWASP nyarankeun ngajaga data misah tina paréntah sareng patarosan. Pilihan anu langkung dipikaresep nyaéta nganggo aman API pikeun nyegah pamakéan juru basa, atawa migrasi ka Object Relational Mapping Tools (ORMs).
Auténtikasi rusak
Kerentanan auténtikasi tiasa ngamungkinkeun panyerang ngaksés akun pangguna sareng kompromi sistem nganggo akun admin.. Penjahat cyber tiasa nganggo skrip pikeun nyobian rébuan kombinasi kecap konci dina sistem pikeun ningali anu mana jalanna. Sakali cybercriminal asup, aranjeunna tiasa palsu idéntitas pangguna, masihan aranjeunna aksés kana inpormasi rahasia.
Kerentanan auténtikasi rusak aya dina aplikasi wéb anu ngamungkinkeun login otomatis. Cara populér pikeun ngabenerkeun kerentanan auténtikasi nyaéta ngagunakeun auténtikasi multifaktor. Ogé, wates laju login tiasa jadi kaasup dina aplikasi wéb pikeun nyegah serangan brute force.
Paparan Data Sénsitip
Upami aplikasi wéb henteu ngajagi panyerang sénsitip tiasa ngaksés sareng ngagunakeunana pikeun kauntunganana. Serangan dina jalur mangrupikeun metode anu populér pikeun maok inpormasi sénsitip. Résiko paparan tiasa minimal nalika sadaya data sénsitip énkripsi. Pangembang wéb kedah mastikeun yén henteu aya data sénsitip anu kakeunaan dina browser atanapi disimpen henteu perlu.
Éntitas Éksternal XML (XEE)
Penjahat cyber tiasa unggah atanapi ngalebetkeun eusi, paréntah, atanapi kode XML jahat dina dokumén XML. Hal ieu ngamungkinkeun aranjeunna ningali file dina sistem file server aplikasi. Sakali aranjeunna gaduh aksés, aranjeunna tiasa berinteraksi sareng server pikeun ngalakukeun serangan pemalsuan pamundut sisi server (SSRF)..
Serangan éntitas éksternal XML tiasa dicegah ku ngamungkinkeun aplikasi wéb nampi jinis data anu kirang kompleks sapertos JSON. Nonaktipkeun XML processing éntitas éksternal ogé ngurangan kasempetan serangan XEE.
Pegat Aksés Control
Kontrol aksés mangrupikeun protokol sistem anu ngabatesan pangguna anu henteu sah kana inpormasi anu sénsitip. Upami sistem kontrol aksés rusak, panyerang tiasa ngalangkungan auténtikasi. Ieu masihan aranjeunna aksés kana inpormasi sénsitip saolah-olah aranjeunna gaduh otorisasi. Kontrol Aksés tiasa diamankeun ku ngalaksanakeun token otorisasi dina login pangguna. Dina unggal pamundut anu dilakukeun ku pangguna nalika dioténtikasi, token otorisasina sareng pangguna diverifikasi, nunjukkeun yén pangguna otorisasi pikeun ngadamel pamundut éta.
Salah Konfigurasi
Kasalametan misconfiguration mangrupakeun masalah umum éta cybersecurity spesialis niténan dina aplikasi wéb. Ieu lumangsung salaku hasil tina lulugu HTTP salah konfigurasi, kadali aksés rusak, sarta tampilan kasalahan nu nembongkeun inpo dina aplikasi wéb.. Anjeun tiasa ngabenerkeun salah konfigurasi Kaamanan ku cara ngahapus fitur anu henteu dianggo. Anjeun oge kedah patch atawa ningkatkeun bungkusan software Anjeun.
Skrip Palang-Loka (XSS)
Kerentanan XSS lumangsung nalika panyerang ngamanipulasi API DOM tina situs wéb anu dipercaya pikeun ngaéksekusi kode jahat dina browser pangguna.. Eksekusi kode jahat ieu sering lumangsung nalika pangguna ngaklik tautan anu katingalina tina situs wéb anu dipercaya.. Upami situs wéb henteu dijagi tina kerentanan XSS, éta tiasa jadi kompromi. Kodeu jahat éta dieksekusi masihan aksés panyerang kana sési login pangguna, detil kartu kiridit, sareng data sénsitip sanés.
Pikeun nyegah Cross-site Scripting (XSS), pastikeun yén HTML anjeun sanitized ogé. Ieu tiasa dihontal ku milih kerangka anu dipercaya gumantung kana basa anu dipilih. Anjeun tiasa nganggo basa sapertos .Net, Ruby on Rails, sareng React JS sabab bakal ngabantosan nga-parse sareng ngabersihan kode HTML anjeun. Ngarawat sadaya data ti pangguna anu dioténtikasi atanapi anu henteu dioténtikasi salaku anu teu dipercaya tiasa ngirangan résiko serangan XSS.
Deserialization teu aman
Deserialization nyaéta transformasi data serialized tina server kana hiji obyék. Deserialization data mangrupikeun kajadian umum dina pamekaran parangkat lunak. Ieu unsafe lamun data nyaeta deserialized ti sumber anu teu dipercaya. Ieu bisa berpotensi ngalaan aplikasi anjeun ka serangan. Deserialization teu aman lumangsung nalika data deserialized tina sumber nu teu dipercaya ngabalukarkeun serangan DDOS, serangan eksekusi kode jauh, atawa bypass auténtikasi..
Pikeun ngahindarkeun deserialization anu teu aman, aturan jempol nyaéta pikeun henteu percanten kana data pangguna. Unggal data input pamaké kedah dirawat as berpotensi jahat. Hindarkeun deserialization data tina sumber anu teu dipercaya. Mastikeun yén fungsi deserialization ka dianggo dina aplikasi wéb anjeun aman.
Ngagunakeun Komponén Jeung Kerentanan Dipikawanoh
Perpustakaan sareng Kerangka parantos ngajantenkeun langkung gancang pikeun ngembangkeun aplikasi wéb tanpa kedah nyiptakeun deui roda. Ieu ngurangan redundancy dina evaluasi kode. Aranjeunna nyayogikeun jalan pikeun pamekar pikeun museurkeun kana aspék aplikasi anu langkung penting. Upami panyerang mendakan eksploitasi dina kerangka ieu, unggal basis kode anu nganggo kerangka bakal jadi kompromi.
Pamekar komponén sering nawiskeun patch kaamanan sareng apdet pikeun perpustakaan komponén. Pikeun ngahindarkeun kerentanan komponén, anjeun kedah diajar pikeun ngamutahirkeun aplikasi anjeun sareng patch kaamanan panganyarna sareng paningkatan.. Komponén anu henteu dianggo kedah dipiceun tina aplikasi pikeun motong vektor serangan.
Teu Cukup Logging Jeung Monitoring
Log sareng ngawaskeun penting pikeun nunjukkeun kagiatan dina aplikasi wéb anjeun. Logging ngagampangkeun pikeun ngalacak kasalahan, monitor logins pamaké, jeung kagiatan.
Log sareng ngawaskeun anu teu cekap lumangsung nalika kajadian anu penting-kaamanan henteu dilebetkeun leres. Panyerang ngamangpaatkeun ieu pikeun ngalakukeun serangan kana aplikasi anjeun sateuacan aya réspon anu nyata.
Logging tiasa ngabantosan perusahaan anjeun ngahémat artos sareng waktos sabab pamekar anjeun tiasa gampang manggihan bug. Hal ieu ngamungkinkeun aranjeunna langkung difokuskeun kana ngarengsekeun bug tibatan milarianana. Dina pangaruhna, logging tiasa ngabantosan situs sareng server anjeun tetep sareng ngajalankeun unggal waktos tanpa aranjeunna ngalaman downtime.
kacindekan
Kode anu saé henteu adil ngeunaan fungsionalitas, éta ngeunaan ngajaga pangguna sareng aplikasi anjeun aman. OWASP Top 10 mangrupikeun daptar résiko kaamanan aplikasi anu paling kritis mangrupikeun sumber gratis anu saé pikeun pamekar nyerat wéb sareng aplikasi sélulér anu aman.. Pelatihan pamekar dina tim anjeun pikeun meunteun sareng ngarékam résiko tiasa ngahémat waktos sareng artos tim anjeun dina jangka panjang. Upami anjeun hoyong Diajar langkung seueur ngeunaan cara ngalatih tim anjeun dina OWASP Top 10 klik di dieu.
