OWASP Top 10 Sicherheitsrisiken | Überblick
Inhaltsverzeichnis
Was ist OWASP?
OWASP ist eine gemeinnützige Organisation, die sich der Schulung zur Sicherheit von Web-Apps verschrieben hat.
Die OWASP-Lernmaterialien sind auf ihrer Website zugänglich. Ihre Tools sind nützlich, um die Sicherheit von Webanwendungen zu verbessern. Dazu gehören Dokumente, Tools, Videos und Foren.
Die OWASP Top 10 ist eine Liste, die die wichtigsten Sicherheitsbedenken für Web-Apps von heute hervorhebt. Sie empfehlen allen Unternehmen, diesen Bericht in ihre Prozesse aufzunehmen, um Sicherheitsrisiken zu reduzieren. Nachfolgend finden Sie eine Liste der Sicherheitsrisiken, die im OWASP Top 10 2017-Bericht enthalten sind.
SQL Injection
SQL-Injection tritt auf, wenn ein Angreifer unangemessene Daten an eine Webanwendung sendet, um das Programm in der Anwendung zu stören.
Ein Beispiel für eine SQL-Injection:
Der Angreifer könnte eine SQL-Abfrage in ein Eingabeformular eingeben, die einen Benutzernamen im Klartext erfordert. Wenn das Eingabeformular nicht gesichert ist, führt dies zur Ausführung einer SQL-Abfrage. Dies wird verwiesen als SQL-Injection.
Um Webanwendungen vor Code-Injektion zu schützen, stellen Sie sicher, dass Ihre Entwickler die Eingabevalidierung für von Benutzern übermittelte Daten verwenden. Validierung bezieht sich hier auf die Zurückweisung ungültiger Eingaben. Ein Datenbankmanager kann auch Steuerelemente festlegen, um die Menge von zu reduzieren Information das kann offengelegt werden bei einem Injektionsangriff.
Um SQL-Injection zu verhindern, empfiehlt OWASP, Daten von Befehlen und Abfragen getrennt zu halten. Die bevorzugte Option ist die Verwendung einer sicheren API um die Verwendung eines Interpreters zu verhindern oder um auf Object Relational Mapping Tools (ORMs) zu migrieren.
Unterbrochene Authentifizierung
Authentifizierungsschwachstellen können es einem Angreifer ermöglichen, auf Benutzerkonten zuzugreifen und ein System mit einem Administratorkonto zu kompromittieren. Ein Cyberkrimineller kann ein Skript verwenden, um Tausende von Passwortkombinationen auf einem System auszuprobieren, um zu sehen, welche funktionieren. Sobald der Cyberkriminelle drin ist, kann er die Identität des Benutzers vortäuschen und ihm Zugang zu vertraulichen Informationen verschaffen.
In Webanwendungen, die automatisierte Anmeldungen zulassen, existiert eine Sicherheitslücke bezüglich fehlerhafter Authentifizierung. Eine beliebte Methode zur Behebung von Authentifizierungsschwachstellen ist die Verwendung von Multifaktor-Authentifizierung. Auch ein Login-Rate-Limit könnte möglich sein enthalten sein in der Web-App, um Brute-Force-Angriffe zu verhindern.
Belichtung sensibler Daten
Wenn Webanwendungen keinen Schutz bieten, können sensible Angreifer darauf zugreifen und sie zu ihrem Vorteil nutzen. Ein On-Path-Angriff ist eine beliebte Methode, um vertrauliche Informationen zu stehlen. Das Risiko einer Gefährdung ist minimal, wenn alle sensiblen Daten verschlüsselt sind. Webentwickler sollten sicherstellen, dass keine sensiblen Daten im Browser offengelegt oder unnötig gespeichert werden.
Externe XML-Entitäten (XEE)
Ein Cyberkrimineller kann bösartige XML-Inhalte, Befehle oder Code in ein XML-Dokument hochladen oder darin einfügen. Dadurch können sie Dateien im Dateisystem des Anwendungsservers anzeigen. Sobald sie Zugriff haben, können sie mit dem Server interagieren, um Server-Side Request Forgery (SSRF)-Angriffe durchzuführen.
XML-External-Entity-Angriffe können verhindert werden durch Dadurch können Webanwendungen weniger komplexe Datentypen wie JSON akzeptieren. Das Deaktivieren der Verarbeitung externer XML-Entitäten verringert auch die Wahrscheinlichkeit eines XEE-Angriffs.
Unterbrochene Zugangskontrolle
Die Zugriffskontrolle ist ein Systemprotokoll, das unbefugte Benutzer auf vertrauliche Informationen beschränkt. Wenn ein Zugriffskontrollsystem defekt ist, können Angreifer die Authentifizierung umgehen. Dadurch erhalten sie Zugriff auf vertrauliche Informationen, als hätten sie eine Berechtigung. Die Zugriffskontrolle kann durch die Implementierung von Autorisierungs-Tokens bei der Benutzeranmeldung gesichert werden. Bei jeder Anfrage, die ein Benutzer stellt, während er authentifiziert ist, wird das Autorisierungs-Token mit dem Benutzer verifiziert, was signalisiert, dass der Benutzer berechtigt ist, diese Anfrage zu stellen.
Sicherheitskonfiguration
Sicherheitsfehlkonfigurationen sind ein häufiges Problem Internet-Sicherheit Spezialisten beobachten in Webanwendungen. Dies ist auf falsch konfigurierte HTTP-Header, fehlerhafte Zugriffskontrollen und die Anzeige von Fehlern zurückzuführen, die Informationen in einer Webanwendung offenlegen. Sie können eine Sicherheitsfehlkonfiguration korrigieren, indem Sie ungenutzte Funktionen entfernen. Sie sollten auch Ihre Softwarepakete patchen oder aktualisieren.
Cross-Site Scripting (XSS)
Eine XSS-Schwachstelle tritt auf, wenn ein Angreifer die DOM-API einer vertrauenswürdigen Website manipuliert, um bösartigen Code im Browser eines Benutzers auszuführen. Die Ausführung dieses bösartigen Codes erfolgt häufig, wenn ein Benutzer auf einen Link klickt, der scheinbar von einer vertrauenswürdigen Website stammt. Wenn die Website nicht vor XSS-Schwachstellen geschützt ist, kann sie dies tun kompromittiert werden. Der Schadcode, der ausgeführt wird gibt einem Angreifer Zugriff auf die Anmeldesitzung, Kreditkartendaten und andere sensible Daten des Benutzers.
Um Cross-Site-Scripting (XSS) zu verhindern, stellen Sie sicher, dass Ihr HTML gut bereinigt ist. Das kann erreicht werden durch Auswahl vertrauenswürdiger Frameworks in Abhängigkeit von der Sprache der Wahl. Sie können Sprachen wie .Net, Ruby on Rails und React JS verwenden, da sie beim Analysieren und Bereinigen Ihres HTML-Codes helfen würden. Die Behandlung aller Daten von authentifizierten oder nicht authentifizierten Benutzern als nicht vertrauenswürdig kann das Risiko von XSS-Angriffen verringern.
Unsichere Deserialisierung
Deserialisierung ist die Umwandlung serialisierter Daten von einem Server in ein Objekt. Die Deserialisierung von Daten ist ein häufiges Ereignis in der Softwareentwicklung. Es ist unsicher, wenn Daten ist deserialisiert aus einer nicht vertrauenswürdigen Quelle. Das kann möglicherweise Setzen Sie Ihre Anwendung Angriffen aus. Unsichere Deserialisierung tritt auf, wenn deserialisierte Daten aus einer nicht vertrauenswürdigen Quelle zu DDOS-Angriffen, Remotecodeausführungsangriffen oder Authentifizierungsumgehungen führen.
Um eine unsichere Deserialisierung zu vermeiden, lautet die Faustregel, Benutzerdaten niemals zu vertrauen. Jeder Benutzer sollte Daten eingeben behandelt werden as möglicherweise bösartig. Vermeiden Sie die Deserialisierung von Daten aus nicht vertrauenswürdigen Quellen. Stellen Sie sicher, dass die Deserialisierung funktioniert verwendet werden in Ihrer Webanwendung ist sicher.
Verwenden von Komponenten mit bekannten Schwachstellen
Bibliotheken und Frameworks haben die Entwicklung von Webanwendungen viel schneller gemacht, ohne das Rad neu erfinden zu müssen. Dies reduziert die Redundanz bei der Codeauswertung. Sie ebnen Entwicklern den Weg, sich auf wichtigere Aspekte von Anwendungen zu konzentrieren. Wenn Angreifer Exploits in diesen Frameworks entdecken, würde jede Codebasis, die das Framework verwendet, dies tun kompromittiert werden.
Komponentenentwickler bieten häufig Sicherheitspatches und Updates für Komponentenbibliotheken an. Um Schwachstellen in Komponenten zu vermeiden, sollten Sie lernen, Ihre Anwendungen mit den neuesten Sicherheitspatches und Upgrades auf dem neuesten Stand zu halten. Unbenutzte Komponenten sollten entfernt werden aus der Anwendung, um Angriffsvektoren zu schneiden.
Unzureichende Protokollierung und Überwachung
Protokollierung und Überwachung sind wichtig, um Aktivitäten in Ihrer Webanwendung anzuzeigen. Die Protokollierung erleichtert das Auffinden von Fehlern, Monitor Benutzeranmeldungen und Aktivitäten.
Unzureichende Protokollierung und Überwachung treten auf, wenn sicherheitskritische Ereignisse nicht protokolliert werden richtig. Angreifer nutzen dies aus, um Angriffe auf Ihre Anwendung durchzuführen, bevor eine erkennbare Reaktion erfolgt.
Die Protokollierung kann Ihrem Unternehmen helfen, Geld und Zeit zu sparen, weil Ihre Entwickler dies können leicht Fehler finden. Dadurch können sie sich mehr auf die Lösung der Fehler konzentrieren als auf die Suche nach ihnen. Tatsächlich kann die Protokollierung dazu beitragen, dass Ihre Sites und Server jederzeit betriebsbereit sind, ohne dass es zu Ausfallzeiten kommt.
Zusammenfassung
Guter Code ist es nicht nur Bei der Funktionalität geht es darum, Ihre Benutzer und Anwendungen zu schützen. Die OWASP Top 10 ist eine Liste der kritischsten Anwendungssicherheitsrisiken und eine großartige kostenlose Ressource für Entwickler, um sichere Web- und mobile Apps zu schreiben. Die Schulung von Entwicklern in Ihrem Team zur Bewertung und Protokollierung von Risiken kann Ihrem Team auf lange Sicht Zeit und Geld sparen. Wenn Sie möchten Erfahren Sie mehr darüber, wie Sie Ihr Team auf die OWASP Top 10 trainieren können, klicken Sie hier.
