OWASP (Open Web Application Security Project) - otwarta społeczność tworząca artykuły, metodologie, narzędzia związane z bezpieczeństwem aplikacji internetowych. W ostatnich dniach miałem okazję wziąć udział w szkoleniu z tego zagadnienia i myślę, że warto się podzielić tą wiedzą.
Szkolenie dotyczyło 10 największych ryzyk bezpieczeństwa w zaktualizowanej wersji (2017). Jak można się domyślić co jakiś czas lista jest aktualizowana. Wynika to ze względu i na postęp technologiczny (frameworki rozwiązują część problemów) jak i nowe metodyki ataków na aplikacje internetowe.
Jak przedstawia się lista OWASP 2017?
A1. Injection
A2. Broken authentication
A3. Sensitive data exposure
A4. XML External Entities (XXE)
A5. Broken access control
A6. Security disconfiguration
A7. Cross-site scripting (XSS)
A8. Insecure deserialization
A9. Using components with known vulnerabilities
A10. Insufficient logging and monitoring
Listę rozpoczyna Injection który króluje na niej od 2010 roku. Najłatwiej można go opisać jako możliwość przesłania nieprawidłowych danych do zapytań. Konsekwencje tego zagrożenia:
- dostęp do danych, których nie powinien widzieć atakujący
- uruchamianie komend systemowych
- LDAP
- SMTP
- OS Commands
- Enviromental Variables
- NoSQL
- użycie frameworków (np. ORM przy dostępie do danych)
- oddzielenie parametrów zapytań od samego zapytania (użycie parametrów zamiast łączenia zapytania za pomocą stringów)
- jeżeli jest to możliwe, zabronienie używania użytkownikowi systemu specjalnych znaków w zapytaniach
- przeglądanie kodu w poszukiwaniu słabych punktów
- użycie statycznej/dynamicznej analizy kodu na serwerze CI (np. Veracode scan)
Brak komentarzy:
Prześlij komentarz