10 rủi ro bảo mật hàng đầu của OWASP | Tổng quan
Mục lục
OWASP là gì?
OWASP là một tổ chức phi lợi nhuận dành riêng cho giáo dục bảo mật ứng dụng web.
Các tài liệu học tập của OWASP có thể truy cập được trên trang web của họ. Các công cụ của họ rất hữu ích để cải thiện tính bảo mật của các ứng dụng web. Điều này bao gồm tài liệu, công cụ, video và diễn đàn.
Top 10 của OWASP là danh sách nêu bật các vấn đề bảo mật hàng đầu đối với các ứng dụng web hiện nay. Họ khuyến nghị tất cả các công ty nên đưa báo cáo này vào quy trình của mình để giảm rủi ro bảo mật. Dưới đây là danh sách các rủi ro bảo mật có trong báo cáo Top 10 năm 2017 của OWASP.
SQL Injection
SQL injection xảy ra khi kẻ tấn công gửi dữ liệu không phù hợp đến ứng dụng web để làm gián đoạn chương trình trong ứng dụng.
Một ví dụ về SQL Injection:
Kẻ tấn công có thể nhập một truy vấn SQL vào một biểu mẫu đầu vào yêu cầu bản rõ tên người dùng. Nếu biểu mẫu đầu vào không được bảo mật, nó sẽ dẫn đến việc thực thi một truy vấn SQL. Đây được giới thiệu thành SQL injection.
Để bảo vệ ứng dụng web khỏi tiêm mã, hãy đảm bảo nhà phát triển của bạn sử dụng xác thực đầu vào trên dữ liệu do người dùng gửi. Xác thực ở đây đề cập đến việc từ chối các đầu vào không hợp lệ. Người quản lý cơ sở dữ liệu cũng có thể đặt các điều khiển để giảm số lượng thông tin mà có thể Được tiết lộ trong một cuộc tấn công tiêm.
Để ngăn chặn SQL injection, OWASP khuyên bạn nên tách dữ liệu khỏi các lệnh và truy vấn. Tùy chọn thích hợp hơn là sử dụng một bảo mật API để ngăn việc sử dụng trình thông dịch hoặc di chuyển sang Công cụ lập bản đồ quan hệ đối tượng (ORM).
Xác thực bị hỏng
Lỗ hổng xác thực có thể cho phép kẻ tấn công truy cập tài khoản người dùng và xâm phạm hệ thống bằng tài khoản quản trị viên. Tội phạm mạng có thể sử dụng tập lệnh để thử hàng nghìn kết hợp mật khẩu trên hệ thống để xem cái nào hiệu quả. Sau khi tội phạm mạng xâm nhập, chúng có thể giả mạo danh tính của người dùng, cấp cho họ quyền truy cập vào thông tin bí mật.
Lỗ hổng xác thực bị hỏng tồn tại trong các ứng dụng web cho phép đăng nhập tự động. Một cách phổ biến để khắc phục lỗ hổng xác thực là sử dụng xác thực đa yếu tố. Ngoài ra, giới hạn tỷ lệ đăng nhập có thể được bao gồm trong ứng dụng web để ngăn chặn các cuộc tấn công vũ phu.
Tiếp xúc dữ liệu nhạy cảm
Nếu các ứng dụng web không bảo vệ những kẻ tấn công nhạy cảm có thể truy cập và sử dụng chúng để kiếm lợi. Một cuộc tấn công trên đường dẫn là một phương pháp phổ biến để đánh cắp thông tin nhạy cảm. Nguy cơ bị lộ có thể là tối thiểu khi tất cả dữ liệu nhạy cảm được mã hóa. Các nhà phát triển web phải đảm bảo rằng không có dữ liệu nhạy cảm nào bị lộ trên trình duyệt hoặc được lưu trữ một cách không cần thiết.
Các thực thể bên ngoài XML (XEE)
Tội phạm mạng có thể tải lên hoặc bao gồm nội dung, lệnh hoặc mã XML độc hại trong tài liệu XML. Điều này cho phép họ xem các tệp trên hệ thống tệp của máy chủ ứng dụng. Sau khi có quyền truy cập, họ có thể tương tác với máy chủ để thực hiện các cuộc tấn công giả mạo yêu cầu phía máy chủ (SSRF).
Các cuộc tấn công thực thể bên ngoài XML có thể được ngăn chặn bởi cho phép các ứng dụng web chấp nhận các loại dữ liệu ít phức tạp hơn như JSON. Việc tắt xử lý thực thể bên ngoài XML cũng làm giảm khả năng xảy ra tấn công XEE.
Kiểm soát truy cập bị hỏng
Kiểm soát truy cập là một giao thức hệ thống hạn chế người dùng trái phép đối với thông tin nhạy cảm. Nếu hệ thống kiểm soát truy cập bị hỏng, kẻ tấn công có thể bỏ qua xác thực. Điều này cho phép họ truy cập vào thông tin nhạy cảm như thể họ có quyền. Kiểm soát truy cập có thể được bảo mật bằng cách triển khai mã thông báo ủy quyền khi đăng nhập của người dùng. Đối với mọi yêu cầu mà người dùng đưa ra trong khi được xác thực, mã thông báo ủy quyền với người dùng sẽ được xác minh, báo hiệu rằng người dùng được ủy quyền để thực hiện yêu cầu đó.
Cấu hình sai bảo mật
Cấu hình sai bảo mật là một vấn đề phổ biến mà an ninh mạng các chuyên gia quan sát trong các ứng dụng web. Điều này xảy ra do tiêu đề HTTP bị định cấu hình sai, kiểm soát truy cập bị hỏng và lỗi hiển thị hiển thị thông tin trong ứng dụng web. Bạn có thể sửa Cấu hình sai bảo mật bằng cách xóa các tính năng không sử dụng. Bạn cũng nên vá lỗi hoặc nâng cấp các gói phần mềm của mình.
Tập lệnh chéo trang (XSS)
Lỗ hổng XSS xảy ra khi kẻ tấn công thao túng API DOM của một trang web đáng tin cậy để thực thi mã độc trong trình duyệt của người dùng. Việc thực thi mã độc này thường xảy ra khi người dùng nhấp vào liên kết có vẻ như đến từ một trang web đáng tin cậy. Nếu trang web không được bảo vệ khỏi lỗ hổng XSS, nó có thể bị tổn hại. Mã độc đó được thực hiện cấp cho kẻ tấn công quyền truy cập vào phiên đăng nhập, chi tiết thẻ tín dụng và các dữ liệu nhạy cảm khác của người dùng.
Để ngăn Cross-site Scripting (XSS), đảm bảo rằng HTML của bạn được làm sạch tốt. Cái này có thể đạt được bằng chọn các khung đáng tin cậy tùy thuộc vào ngôn ngữ lựa chọn. Bạn có thể sử dụng các ngôn ngữ như .Net, Ruby on Rails và React JS vì chúng sẽ giúp phân tích cú pháp và làm sạch mã HTML của bạn. Xử lý tất cả dữ liệu từ người dùng được xác thực hoặc không được xác thực là không đáng tin cậy có thể làm giảm nguy cơ tấn công XSS.
Hủy đăng ký không an toàn
Deserialization là quá trình chuyển đổi dữ liệu được tuần tự hóa từ máy chủ sang đối tượng. Deserialization dữ liệu là một sự xuất hiện phổ biến trong phát triển phần mềm. Sẽ không an toàn khi dữ liệu được khử lưu huỳnh từ một nguồn không đáng tin cậy. cái này có thể có khả năng để lộ ứng dụng của bạn trước các cuộc tấn công. Quá trình giải tuần tự hóa không an toàn xảy ra khi dữ liệu được giải tuần tự hóa từ một nguồn không đáng tin cậy dẫn đến các cuộc tấn công DDOS, tấn công thực thi mã từ xa hoặc bỏ qua xác thực.
Để tránh quá trình khử lưu huỳnh không an toàn, nguyên tắc chung là không bao giờ tin tưởng vào dữ liệu người dùng. Mọi dữ liệu đầu vào của người dùng phải được điều trị as có khả năng độc hại. Tránh deserialization dữ liệu từ các nguồn không đáng tin cậy. Đảm bảo rằng chức năng deserialization để được dùng trong ứng dụng web của bạn là an toàn.
Sử dụng các thành phần có lỗ hổng đã biết
Các thư viện và Framework đã giúp việc phát triển các ứng dụng web nhanh hơn nhiều mà không cần phải phát minh lại bánh xe. Điều này làm giảm sự dư thừa trong đánh giá mã. Chúng mở đường cho các nhà phát triển tập trung vào các khía cạnh quan trọng hơn của ứng dụng. Nếu kẻ tấn công phát hiện ra khai thác trong các khung này, mọi cơ sở mã sử dụng khung sẽ bị tổn hại.
Các nhà phát triển thành phần thường cung cấp các bản vá và cập nhật bảo mật cho các thư viện thành phần. Để tránh các lỗ hổng thành phần, bạn nên học cách cập nhật các ứng dụng của mình bằng các bản vá và nâng cấp bảo mật mới nhất. Linh kiện không sử dụng nên bị loại bỏ từ ứng dụng để cắt các vectơ tấn công.
Ghi nhật ký và giám sát không đầy đủ
Việc ghi nhật ký và giám sát rất quan trọng để hiển thị các hoạt động trong ứng dụng web của bạn. Ghi nhật ký giúp dễ dàng theo dõi lỗi, màn hình thông tin đăng nhập và hoạt động của người dùng.
Việc ghi nhật ký và giám sát không đầy đủ xảy ra khi các sự kiện quan trọng về bảo mật không được ghi lại đúng. Những kẻ tấn công lợi dụng điều này để thực hiện các cuộc tấn công vào ứng dụng của bạn trước khi có bất kỳ phản ứng đáng chú ý nào.
Ghi nhật ký có thể giúp công ty của bạn tiết kiệm tiền và thời gian vì các nhà phát triển của bạn có thể dễ dàng tìm lỗi. Điều này cho phép họ tập trung nhiều hơn vào việc giải quyết các lỗi hơn là tìm kiếm chúng. Trên thực tế, việc ghi nhật ký có thể giúp duy trì hoạt động của các trang web và máy chủ của bạn mọi lúc mà không gặp bất kỳ thời gian ngừng hoạt động nào.
Kết luận
Mã tốt không phải là chỉ về chức năng, đó là về việc giữ an toàn cho người dùng và ứng dụng của bạn. OWASP Top 10 là danh sách các rủi ro bảo mật ứng dụng quan trọng nhất là tài nguyên miễn phí tuyệt vời dành cho các nhà phát triển để viết các ứng dụng di động và web an toàn. Đào tạo các nhà phát triển trong nhóm của bạn để đánh giá và ghi lại rủi ro có thể tiết kiệm thời gian và tiền bạc cho nhóm của bạn về lâu dài. Nếu bạn muốn tìm hiểu thêm về cách đào tạo nhóm của bạn trong Top 10 của OWASP, nhấp vào đây.
