Dnes v tomto článku jsme vytvořili tuto příručku, abyste získali přehled o nejdůležitějších zranitelnostech v horní části OWASP a o tom, jak se můžeme posunout vpřed, abychom ji co nejlépe vyřešili nebo zmírnili. Také vás naučíme, co je nejlepší v každém případě udělat, i když existují některé, které jsou o něco složitější. Je dobré si uvědomit, že zranitelnosti, které budeme citovat níže, jsou založeny na populárním projektu OWASP s chybami aplikace.
Expozice citlivých dat
Jednou ze situací, které ovlivňují uživatele i organizace, je zabezpečení a integrita citlivosti. Pamatujte, že citlivé informace se mohou týkat něčeho osobního, pracovního, bankovního, finančního nebo zdravotního. Všechny typy dat, které o vás mohou generovat informace, jsou pro počítačové zločince velkým přínosem. Citlivým údajům hrozí nejen odhalení, ale mohou být také upravena, odcizena nebo prodána zařízením určeným k manipulaci s citlivými údaji.
Pokud máte odpovědnost za zpracování citlivých dat, je jednou z nejlepších metod klasifikace. Náhodný příklad, citlivá data a necitlivá data. Pokud jsou data citlivá, měla by na ně být použita další bezpečnostní opatření, jako jsou robustnější metody šifrování a Vyhněte se jejich skladování pokud to není nezbytně nutné, kromě toho, že k nim je vyžadována silná autentizace, a dokonce i faktor dvojité autentizace k posílení schématu autentizace. Na druhou stranu je třeba věnovat pozornost datům, která se přenášejí: doporučuje se používat zabezpečené protokoly, jako např. TLS (Transport Layer Security) a PFS (Perfect Forward Secrecy) .
Špatné nastavení zabezpečení
Jedná se o jednu z nejběžnějších chyb zabezpečení, a to hlavně kvůli špatné praktiky při vývoji aplikací. Standardní, nezabezpečené nebo neúplné konfigurace, implementace otevřených cloudových služeb, když jsou k dispozici citlivá data. Případy, jako jsou tyto, mohou obecně představovat vysoké riziko pro integritu aplikací.
Jednou z akcí, které lze provádět snadněji, je odebrání služeb a dalších doplňků k aplikaci, které nepotřebujete používat. Pamatujte, že tyto „neaktivní“ komponenty jsou velkým přínosem pro kyberzločince. Některé z těchto útoků jsou způsobeny nedostatečnou kontrolou nad tímto aspektem. Také často kontrolujte, které potenciální díry v konfiguraci se mohou objevit. Jednou z možností tohoto aspektu je uchýlit se k dokumentaci a podpoře od vašeho dodavatele. V mnoha případech mají spoustu zdrojů, které vám pomohou vytěžit maximum z vaší aplikační infrastruktury a zvýšit úroveň zabezpečení.
Ztráta kontroly přístupu
Jako správci uživatelů bychom nikdy neměli podceňovat koncové uživatele. Říkáme to proto, že existují případy, kdy „normální“ uživatelé mají více oprávnění, než by měli. V důsledku toho to může fungovat jako odrazový můstek pro provádění několika škodlivých činností. Nejhorší na tom je, že může obejít určité bezpečnostní kontroly, protože jste k tomu oprávněni. Zvýšení oprávnění je problémem sítí všech typů organizací. Útoky typu „zasvěcených osob“ (v rámci organizace) mají statistiky chill, takže je povinné upravit oprávnění, která každý typ uživatele má.
Na druhou stranu bychom neměli opomíjet uživatele s dotyčnými administrátorskými oprávněními. V tomto článku jsme o tom podrobně diskutovali a můžete se podívat, co je třeba zlepšit kontrolní mechanismy .
Injekce založená na databázových motorech
Injekce zahrnuje zavedení dat, která obsahují kód, který může provádět škodlivé akce. Mohou se vyskytovat v různých databázových strojích, jako je SQL, NoSQL a dokonce LDAP (Lightweight Directory Access Protocol) . Praktickým příkladem je, když se přihlásíme do konkrétního programu a místo zadávání přístupových informací napíšeme příkazy SQL, které provádějí škodlivé akce. To někdy není snadné zjistit. Existují však případy injekcí, kdy je aplikace prakticky k ničemu. Stejným způsobem mohou být informace v aplikacích zveřejněny nebo nemusí být k dispozici jejich vlastníkům.
Nejdůležitějším opatřením, které byste měli zvážit, je aplikovat na aplikace ověřování zadávání dat. To znamená, že uživatel nemůže zadat žádný typ textu do každého z polí v registračním formuláři, přihlášení, registraci atd. Zdá se, že je to docela základní postup, ale bohužel mnoho aplikací a služeb tuto hrozbu obecně podceňuje. Pokud váš formulář například vyžaduje číselné údaje, omezte zadávání dat pouze na čísla. Pokud se jedná o text, omezuje zadávání příkazů, které mohou znamenat věty databáze.
Jak jsme viděli, toto jsou jen některé z chyb zabezpečení, které uvádí OWASP. Věříme však, že to jsou jedny z nejdůležitějších ve vztahu k dopadu, který mají na infrastrukturu aplikací a jejich uživatele. Musíme mít na paměti, že nejenže musíme zvýšit bezpečnostní opatření tváří v tvář bezprostřednímu riziku útoku, ale musíme tak učinit za všech okolností. Správné postupy vývoje a implementace aplikací představují nejefektivnější ochranu před tolika zranitelnostmi.
