OWASP ከፍተኛ 10 የደህንነት ስጋቶች | አጠቃላይ እይታ
ዝርዝር ሁኔታ
OWASP ምንድን ነው?
OWASP ለድር መተግበሪያ ደህንነት ትምህርት የተሰጠ ለትርፍ ያልተቋቋመ ድርጅት ነው።
የOWASP የመማሪያ ቁሳቁሶች በድረ-ገጻቸው ላይ ይገኛሉ። መሳሪያዎቻቸው የድር መተግበሪያዎችን ደህንነት ለማሻሻል ጠቃሚ ናቸው። ይህ ሰነዶችን፣ መሣሪያዎችን፣ ቪዲዮዎችን እና መድረኮችን ያካትታል።
OWASP ከፍተኛ 10 ዛሬ ለድር መተግበሪያዎች ከፍተኛ የደህንነት ስጋቶችን የሚያጎላ ዝርዝር ነው። የደህንነት ስጋቶችን ለመቀነስ ሁሉም ኩባንያዎች ይህንን ሪፖርት በሂደታቸው ውስጥ እንዲያካትቱ ይመክራሉ. ከዚህ በታች በ OWASP ከፍተኛ 10 2017 ሪፖርት ውስጥ የተካተቱ የደህንነት ስጋቶች ዝርዝር አለ።
የ SQL ማስገባትን
የSQL መርፌ የሚከሰተው አንድ አጥቂ በመተግበሪያው ውስጥ ያለውን ፕሮግራም ለማደናቀፍ ተገቢ ያልሆነ ውሂብ ወደ የድር መተግበሪያ ሲልክ ነው።.
የSQL መርፌ ምሳሌ፡-
አጥቂው የተጠቃሚ ስም ግልጽ ጽሑፍ ወደሚያስፈልገው የግቤት ቅጽ የ SQL ጥያቄን ማስገባት ይችላል። የግቤት ቅጹ ካልተጠበቀ፣ የ SQL መጠይቅን ያስከትላል። ይህ ተብሎ ተጠቅሷል እንደ SQL መርፌ.
የድር መተግበሪያዎችን ከኮድ መርፌ ለመጠበቅ፣ የእርስዎ ገንቢዎች በተጠቃሚ በገባ ውሂብ ላይ የግቤት ማረጋገጫ መጠቀማቸውን ያረጋግጡ. እዚህ ላይ ማረጋገጥ ልክ ያልሆኑ ግብዓቶችን አለመቀበልን ያመለክታል። የውሂብ ጎታ አስተዳዳሪም መጠኑን ለመቀነስ መቆጣጠሪያዎችን ማዘጋጀት ይችላል። መረጃ ይህ ሊኖር ይችላል ይገለጽ በመርፌ ጥቃት.
የSQL መርፌን ለመከላከል፣ OWASP ውሂብን ከትዕዛዞች እና መጠይቆች እንዲለይ ይመክራል። የሚመረጠው አማራጭ አስተማማኝ መጠቀም ነው ኤ ፒ አይ አስተርጓሚ መጠቀምን ለመከላከል ወይም ወደ የነገር ግንኙነት የካርታ መሳሪያዎች (ORMs) ለመሸጋገር.
የተሰበረ ማረጋገጫ
የማረጋገጫ ድክመቶች አጥቂ የተጠቃሚ መለያዎችን እንዲደርስ እና የአስተዳዳሪ መለያን በመጠቀም ስርዓቱን እንዲያበላሽ ያስችለዋል. የሳይበር ወንጀለኛ የትኛው እንደሚሰራ ለማየት በሺዎች የሚቆጠሩ የይለፍ ቃላትን በአንድ ስርዓት ላይ ለመሞከር ስክሪፕት ሊጠቀም ይችላል።. የሳይበር ወንጀለኛው አንዴ ከገባ በኋላ የተጠቃሚውን ማንነት በማጭበርበር ሚስጥራዊ መረጃ እንዲያገኙ ያስችላቸዋል.
የተሰበረ የማረጋገጫ ተጋላጭነት በራስ ሰር መግባትን በሚፈቅዱ የድር መተግበሪያዎች ውስጥ አለ። የማረጋገጫ ተጋላጭነትን ለማስተካከል ታዋቂው መንገድ ባለብዙ ፋክተር ማረጋገጫን መጠቀም ነው። እንዲሁም የመግቢያ መጠን ገደብ ሊኖረው ይችላል። መካተት የጭካኔ ጥቃቶችን ለመከላከል በድር መተግበሪያ ውስጥ።
ሚስጥራዊነት ያለው የውሂብ ተጋላጭነት
የድር መተግበሪያዎች ሚስጥራዊነት ያላቸው አጥቂዎችን የማይከላከሉ ከሆነ ሊደርሱባቸው እና ለጥቅማቸው ሊጠቀሙባቸው ይችላሉ። በመንገድ ላይ የሚደረግ ጥቃት ሚስጥራዊነት ያለው መረጃ ለመስረቅ ታዋቂ ዘዴ ነው። ሁሉም ሚስጥራዊነት ያላቸው መረጃዎች ሲመሰጠሩ የመጋለጥ እድሉ አነስተኛ ነው። የድር ገንቢዎች ምንም ሚስጥራዊነት ያለው መረጃ በአሳሹ ላይ እንዳይጋለጥ ወይም ሳያስፈልግ እንዳይከማች ማረጋገጥ አለባቸው።
ኤክስኤምኤል የውጭ አካላት (XEE)
የሳይበር ወንጀለኛ በኤክስኤምኤል ሰነድ ውስጥ ተንኮል አዘል ኤክስኤምኤል ይዘትን፣ ትዕዛዞችን ወይም ኮድን መስቀል ወይም ማካተት ይችል ይሆናል።. ይህ በመተግበሪያ አገልጋይ ፋይል ስርዓት ላይ ፋይሎችን እንዲመለከቱ ያስችላቸዋል. አንዴ መዳረሻ ካገኙ በኋላ ከአገልጋዩ ጋር በመገናኘት የአገልጋይ ወገን ጥያቄ ፎርጀሪ (SSRF) ጥቃቶችን ለመፈጸም ይችላሉ።.
የኤክስኤምኤል የውጭ አካል ጥቃት ሊደርስ ይችላል። መከላከል በ የድር መተግበሪያዎች እንደ JSON ያሉ ውስብስብ ያልሆኑ የውሂብ አይነቶችን እንዲቀበሉ መፍቀድ. የኤክስኤምኤል ውጫዊ አካልን ማሰናከል የXEE ጥቃትን እድል ይቀንሳል።
የተሰበረ የመዳረሻ መቆጣጠሪያ
የመዳረሻ ቁጥጥር ያልተፈቀዱ ተጠቃሚዎችን ሚስጥራዊነት ያለው መረጃን የሚገድብ የስርዓት ፕሮቶኮል ነው። የመዳረሻ መቆጣጠሪያ ስርዓት ከተሰበረ አጥቂዎች ማረጋገጥን ማለፍ ይችላሉ። ይህ ፈቃድ እንዳላቸው ያህል ሚስጥራዊነት ያለው መረጃ እንዲያገኙ ያስችላቸዋል። የመዳረሻ መቆጣጠሪያ በተጠቃሚ መግቢያ ላይ የፍቃድ ማስመሰያዎችን በመተግበር ሊጠበቅ ይችላል። ተጠቃሚው በሚረጋገጥበት ጊዜ ባቀረበው እያንዳንዱ ጥያቄ፣ ከተጠቃሚው ጋር ያለው የፍቃድ ማስመሰያ ይረጋገጣል፣ ይህም ተጠቃሚው ያንን ጥያቄ የማቅረብ ስልጣን እንዳለው ያሳያል።
የደህንነት የተሳሳተ ውቅር
የደህንነት ስህተት ማዋቀር የተለመደ ጉዳይ ነው። cybersecurity ስፔሻሊስቶች በድር መተግበሪያዎች ውስጥ ይመለከታሉ. ይሄ የሚከሰተው በተሳሳተ የተዋቀሩ የኤችቲቲፒ አርዕስቶች፣ በተሰበሩ የመዳረሻ መቆጣጠሪያዎች እና በድር መተግበሪያ ውስጥ መረጃን የሚያጋልጡ ስህተቶችን በማሳየት ምክንያት ነው።. ጥቅም ላይ ያልዋሉ ባህሪያትን በማስወገድ የደህንነት የተሳሳተ ውቅረት ማስተካከል ይችላሉ። እንዲሁም የሶፍትዌር ፓኬጆችዎን መለጠፍ ወይም ማሻሻል አለብዎት።
አቋራጭ-ጣቢያ ስክሪፕት (XSS)
XSS ተጋላጭነት የሚከሰተው አጥቂ የታመነ ድር ጣቢያ DOM ኤፒአይን በተጠቃሚ አሳሽ ውስጥ ለማስፈጸም ሲጠቀም ነው።. የዚህ ተንኮል አዘል ኮድ አፈፃፀም ብዙውን ጊዜ የሚከሰተው ተጠቃሚው ከታመነ ድር ጣቢያ የመጣ የሚመስለውን አገናኝ ጠቅ ሲያደርግ ነው. ድህረ ገጹ ከXSS ተጋላጭነት ካልተጠበቀ፣ ይችላል። ተደራደር. ያ ተንኮል አዘል ኮድ ተፈጽሟል ለአጥቂ የተጠቃሚውን የመግቢያ ክፍለ ጊዜ፣ የክሬዲት ካርድ ዝርዝሮች እና ሌሎች ሚስጥራዊ መረጃዎችን መዳረሻ ይሰጣል.
ክሮስ-ሳይት ስክሪፕት (XSS) ለመከላከል ኤችቲኤምኤልዎ በደንብ የጸዳ መሆኑን ያረጋግጡ። ይህ ይችላል ማሳካት በ በተመረጠው ቋንቋ ላይ በመመስረት የታመኑ ማዕቀፎችን መምረጥ. የእርስዎን HTML ኮድ ለመተንተን እና ለማጽዳት ስለሚረዱ እንደ .Net፣ Ruby on Rails እና React JS ያሉ ቋንቋዎችን መጠቀም ይችላሉ። ሁሉንም የተረጋገጡ ወይም ያልተረጋገጡ ተጠቃሚዎች ውሂብ እንደ ታማኝነት ማከም የXSS ጥቃቶችን አደጋ ይቀንሳል.
ደህንነቱ ያልተጠበቀ ዲሴሪያላይዜሽን
መገለል ማለት የተከታታይ መረጃን ከአገልጋይ ወደ አንድ ነገር መለወጥ ነው። በሶፍትዌር ልማት ውስጥ መረጃን ማጥፋት የተለመደ ክስተት ነው። ውሂብ በሚኖርበት ጊዜ ደህንነቱ ያልተጠበቀ ነው። ዲሴሪያላይዝድ ነው። ከማይታመን ምንጭ. ይህ ይችላል። ሊሆን ይችላል መተግበሪያዎን ለጥቃት ያጋልጡ። ደህንነቱ ያልተጠበቀ መለያየት የሚከሰተው ካልታመነ ምንጭ የመጣ መረጃ ወደ DDOS ጥቃቶች፣ የርቀት ኮድ ማስፈጸሚያ ጥቃቶች ወይም የማረጋገጫ ማለፍ ሲመራ ነው።.
አስተማማኝ አለመሆንን ለማስቀረት ዋናው ደንብ የተጠቃሚውን ውሂብ በጭራሽ አለማመን ነው። እያንዳንዱ የተጠቃሚ ግቤት ውሂብ አለበት። መታከም as ሊሆን ይችላል ተንኮለኛ. ካልታመኑ ምንጮች የተገኘ መረጃን ከመከፋፈል ተቆጠብ። የ deserialization ተግባር መሆኑን ያረጋግጡ ጥቅም ላይ በድር መተግበሪያዎ ውስጥ ደህንነቱ የተጠበቀ ነው።
ከታወቁ ተጋላጭነቶች ጋር አካላትን መጠቀም
ቤተ መፃህፍት እና ማዕቀፎች መንኮራኩሩን እንደገና መፍጠር ሳያስፈልጋቸው የድር መተግበሪያዎችን ለማዳበር በጣም ፈጣን አድርገውታል።. ይህ በኮድ ግምገማ ውስጥ ድግግሞሽን ይቀንሳል። ገንቢዎች ይበልጥ አስፈላጊ በሆኑ የመተግበሪያዎች ገጽታዎች ላይ እንዲያተኩሩ መንገዱን ይከፍታሉ። በእነዚህ ማዕቀፎች ውስጥ አጥቂዎች ብዝበዛዎችን ካወቁ፣ ማዕቀፉን የሚጠቀም እያንዳንዱ ኮድ ቤዝ ያደርጋል ተደራደር.
ክፍል ገንቢዎች ብዙ ጊዜ ለክፍለ ቤተ-ፍርግሞች የደህንነት መጠገኛዎችን እና ማሻሻያዎችን ያቀርባሉ። የአካላት ተጋላጭነትን ለማስቀረት፣ አፕሊኬሽኖችዎን ከቅርብ ጊዜ የደህንነት ጥገናዎች እና ማሻሻያዎች ጋር ማዘመንን መማር አለብዎት።. ጥቅም ላይ ያልዋሉ ክፍሎች መሆን አለባቸው መወገድ የጥቃት ቬክተሮችን ለመቁረጥ ከማመልከቻው.
በቂ ያልሆነ የምዝግብ ማስታወሻ እና ክትትል
በድር መተግበሪያዎ ውስጥ እንቅስቃሴዎችን ለማሳየት መግባት እና መከታተል አስፈላጊ ናቸው። መዝገቡ ስህተቶችን ለመፈለግ ቀላል ያደርገዋል ፣ ተቆጣጠር የተጠቃሚ መግቢያዎች እና እንቅስቃሴዎች።
በቂ ያልሆነ የምዝግብ ማስታወሻ እና ክትትል የሚከሰቱት ለደህንነት ወሳኝ የሆኑ ክስተቶች ካልገቡ ነው። በትክክል. ምንም የሚታይ ምላሽ ከመኖሩ በፊት አጥቂዎች በማመልከቻዎ ላይ ጥቃቶችን ለመፈጸም በዚህ አቢይ ይጠቀማሉ.
ምዝግብ ማስታወሻ መግባት ኩባንያዎ ገንዘብ እና ጊዜ እንዲቆጥብ ያግዛል ምክንያቱም የእርስዎ ገንቢዎች ስለሚችሉ ነው። በቀላሉ ሳንካዎችን ያግኙ. ይህም ችግሮቹን ከመፈለግ ይልቅ በመፍታት ላይ የበለጠ እንዲያተኩሩ ያስችላቸዋል። በተጨባጭ፣ ምዝግብ ማስታወሻ መመዝገብ ጣቢያዎቸን እና አገልጋዮችዎን ምንም አይነት የስራ ጊዜ ሳያጋጥማቸው በእያንዳንዱ ጊዜ እንዲሰሩ እና እንዲሰሩ ያግዛል።.
መደምደሚያ
ጥሩ ኮድ አይደለም ልክ ስለ ተግባር፣ የተጠቃሚዎችዎን እና የመተግበሪያዎን ደህንነት መጠበቅ ነው።. የ OWASP ከፍተኛ 10 በጣም ወሳኝ የሆኑ የመተግበሪያዎች ደህንነት ስጋቶች ዝርዝር ነው ደህንነታቸው የተጠበቁ የድር እና የሞባይል መተግበሪያዎችን ለመፃፍ ገንቢዎች ታላቅ ነፃ ግብዓት ነው።. በቡድንዎ ውስጥ ያሉ ገንቢዎች አደጋዎችን እንዲገመግሙ እና እንዲመዘግቡ ማሰልጠን የቡድን ጊዜዎን እና ገንዘብዎን በረጅም ጊዜ መቆጠብ ይችላሉ። ከፈለጉ ቡድንዎን በ OWASP Top 10 ላይ እንዴት ማሰልጠን እንደሚችሉ የበለጠ ይወቁ እዚህ ጠቅ ያድርጉ።
