Топ-10 актуальних вразливостей від OWASP

Мітки: Security Testing

OWASP Топ-10 — є визнаною світовою методологією оцінки вразливостей веб-додатків у всьому світі і відображає сучасні тренди безпеки веб-додатків, є першим кроком організації до створення культури більш безпечного коду програмного забезпечення.

Попрацюй з OWASP та іншими інструментами на Mini course: Security Testing by static and dynamic analysis methods

kurs_security_testing_2.300x0.jpeg.pagespeed.ce.dcf2g_cJEt.jpg

Топ-10 актуальних вразливостей від OWASP

  1. Injection, Injection flaws, SQL, NoSQL, ОS, LDAP — ін’єкції коду, недоліки управління та зберігання сесіями і міжсайтовий скриптинг залишилися без змін уже не один рік, виникають, коли ненадійні дані надсилаються інтерпретатору як частина команди чи запиту. Впровадження різноманітних токенов, використання хешування на жаль свідчить, що безпечніші веб-додатки від цього не стають.
  2. Broken Authentication — функції програми, пов’язані з аутентифікацією та керуванням сеансом, часто реалізуються неправильно, що дозволяє зловмисникам компрометувати паролі, ключі, токени щоб ідентифікуватися користувачами системи.
  3. Sensitive Data Exposure — існує багато веб-додатків та API, скажімо соціальні, надають фінансові послуги, сфери охорони здоров’я тощо, які не захищають належним чином конфіденційні дані. Зловмисники можуть вкрасти або змінити такі слабко захищені дані, щоб вчинити шахрайство з кредитною карткою, крадіжку даних особи або інші злочини. Sensitive data можуть можуть також передаватися у неправильний спосіб, без шифрування, або без дотримання вимог спеціальних заходів безпеки при обміні з браузером.
  4. XML External Entities (XXE) — старі або погано налаштовані XML обробляють посилання на зовнішні суті всередині документів і можуть бути використані для доступу до внутрішніх файлів через обробники URI файлів, загальні папки, сканування портів, віддалене виконання коду і відмову в обслуговуванні.
  5. Broken Access Control — дії дозволені авторизованим користувачам можуть некоректно контролюватися. Зловмисники можуть використовувати ці недоліки для доступу до несанкціонованих функціональних можливостей частин програми та / або даних, таких як доступ до облікових записів інших користувачів, перегляд конфіденційних файлів, зміна даних інших користувачів, зміна прав доступу тощо.
  6. Security Misconfiguration — некоректні налаштування безпеки є поширеною помилкою. Це відбувається через використання стандартних параметрів безпеки, неповних або специфічних налаштувань, відкритого хмарного зберігання, некоректних HTTP-заголовків і повідомлень про помилки, що містять критичні дані. Всі ОС, фреймворки, бібліотеки і додатки повинні бути не тільки завантажуватись із перевірених репозиторіїв, але й налаштовані належним чином, а й оновлюватися.
  7. Cross-Site Scripting XSS — виникає коли додаток додає дані на сторінку з неперевірених джерел без перевірки або перетворень. Або оновлює наявну веб-сторінку за допомогою даних, що надаються користувачем, за допомогою API браузера, який може створювати HTML або JavaScript. XSS дозволяє зловмисникам виконувати скрипти в браузері жертви, які можуть перехоплювати сеанси користувачів, знищувати веб-сайти або перенаправляти користувача на шкідливі сайти.
  8. Insecure Deserialization — небезпечна десеріалізація часто призводить до віддаленого виконання коду. Помилки десеріалізації, що не приводять до віддаленого виконання коду, можуть бути використані для атак з повторним відтворенням, впровадженням і підвищенням привілеїв.
  9. Using Components with Known Vulnerabilities — використання компонентів з відомими вразливостями може призвести до втрати даних або перехоплення контролю над сервером і до серйозних наслідків.
  10. Insufficient Logging & Monitoring — недоліки журналирования і моніторингу, або ж узагалі відсутність, неефективне використання системи реагування на інциденти, дозволяє зловмисникам розвинути атаку, приховати свою присутність, а також змінити, витягти або знищити дані. Проникнення в систему зазвичай виявляють тільки через 200 днів і, як правило, сторонні дослідники, а не в рамках внутрішніх перевірок або моніторингу.

Курси та події

Публікації

Відео