Aplikace zabezpečení se týká všech organizací ve všech průmyslových odvětví, ale náš výzkum ukázal, že různé OWASP Top 10 nedostatky jsou více převládající v různých průmyslových odvětvích. Organizace by měly tyto informace využít k přesunu svého zaměření na nejnaléhavější problémy, kterým čelí jejich konkrétní sektor. Podívejte se na naši zprávu o stavu zabezpečení softwaru pro podrobnosti.,
Návod na Testování pro OWASP Top 10
Jako software zvyšuje význam a útočníci i nadále zaměřovat na aplikační vrstvě, organizace bude potřebovat nový přístup k bezpečnosti. Bezpečnostní program aplikace, který využívá kombinaci technologií a služeb k zajištění celého aplikačního prostředí a každé aplikace po celou dobu svého životního cyklu, se stává nutností., Tento mix by měl zahrnovat:
- Nástroje a procesy, které umožňují vývojářům najít a opravit chyby, zatímco oni jsou kódování
- Softwarová analýza složení
- Dynamické analýzy
- Statická analýza
začněte s naší Ultimate Guide začínáme S Aplikací Zabezpečení.
OWASP Top 10 zranitelností
přestože platforma Veracode detekuje stovky bezpečnostních chyb softwaru, Zaměřujeme se na nalezení problémů, které „stojí za to opravit.,“OWASP Top 10 je seznam nedostatků tak převládajících a závažných, že žádná webová aplikace by neměla být doručována zákazníkům bez důkazů, že software tyto chyby neobsahuje.
následující identifikuje každé z bezpečnostních rizik webové aplikace OWASP Top 10 a nabízí řešení a osvědčené postupy k jejich prevenci nebo nápravě.
Injekce
Injekce nedostatky, jako jsou SQL injection, LDAP injection, a CRLF injection, nastat, když útočník pošle nedůvěryhodné údaje na tlumočníka, který je spuštěn jako příkazového bez řádného povolení.,
* testování bezpečnosti aplikací může snadno odhalit chyby v injekci. Vývojáři by měli při kódování používat parametrizované dotazy, aby se zabránilo chybám při vstřikování.
Broken Authentication and Session Management
Nesprávně nakonfigurované uživatele a ověření relace by mohla umožnit útočníkovi kompromitovat hesla, klíče nebo session tokeny, nebo převzít kontrolu nad účty uživatelů předpokládat jejich identity.
* vícefaktorová autentizace, jako je FIDO nebo vyhrazené aplikace, snižuje riziko ohrožených účtů.,
Citlivá Data Vystavení
Aplikace a rozhraní Api, které nemají řádně chránit citlivá data jako jsou finanční údaje, uživatelská jména a hesla, nebo informace o zdraví, by mohla umožnit útočníkům přístup k těmto informacím a ke spáchání podvodu, nebo ukrást identitu.
* šifrování dat v klidu a v tranzitu vám může pomoci dodržovat předpisy na ochranu údajů.
externí entita XML
špatně nakonfigurované procesory XML vyhodnocují externí odkazy entit v dokumentech XML., Útočníci mohou používat externí subjekty pro útoky, včetně vzdáleného spuštění kódu, a zveřejnit interní soubory a akcie SMB souborů.
* statické testování zabezpečení aplikací (SAST) může tento problém objevit kontrolou závislostí a konfigurace.
Broken Access Control
Nesprávně nakonfigurováno nebo chybí omezení na ověřené uživatele, umožnit jim přístup k neoprávněným funkce nebo dat, jako je například přístup k jiné účty uživatelů, prohlížení citlivých dokumentů a úpravy dat a přístupová práva.,
* penetrační testování je nezbytné pro detekci nefunkčních kontrol přístupu; jiné zkušební metody detekují pouze tam, kde chybí ovládací prvky přístupu.
Zabezpečení Konfigurací
Toto riziko se vztahuje k nesprávné provádění kontrol určených, aby aplikace data v bezpečí, jako konfigurací zabezpečení mailů, chybové zprávy, které obsahují citlivé informace (informační únik), a ne opravy nebo modernizace systémů, frameworky a komponenty.
* dynamické testování zabezpečení aplikací (DAST) dokáže detekovat chybné konfigurace, jako jsou děravá rozhraní API.,
Cross-Site Scripting
Cross-site scripting (XSS) chyby dát útočníkům schopnost aplikovat skripty na straně klienta do aplikace, například přesměrovat uživatele na nebezpečné webové stránky.
* vývojářské školení doplňuje bezpečnostní testování, které pomáhá programátorům zabránit skriptování napříč stránkami s nejlepšími osvědčenými postupy kódování, jako je kódování dat a ověření vstupu.,
Nejistý rekonstrukci
Nejistý rekonstrukci nedostatky může útočníkovi umožnit spuštění kódu v aplikaci na dálku, manipulovat nebo odstranit serializovat (zapsány na disk) objekty, chování injection útoky, a zvýšit oprávnění.
* nástroje pro zabezpečení aplikací mohou detekovat chyby deserializace, ale pro ověření problému je často zapotřebí penetrační testování.,
použití komponent se známými zranitelnostmi
vývojáři často nevědí, které komponenty open source a třetích stran jsou v jejich aplikacích, což ztěžuje aktualizaci komponent, když jsou objeveny nové chyby zabezpečení. Útočníci mohou zneužít nezabezpečenou součást k převzetí serveru nebo k odcizení citlivých dat.
* analýza složení softwaru provedená současně se statickou analýzou může identifikovat nezabezpečené verze komponent.
nedostatečné protokolování a monitorování
doba detekce porušení se často měří v týdnech nebo měsících., Nedostatečné protokolování a neúčinná integrace se systémy reakce na bezpečnostní incidenty umožňují útočníkům obrátit se na jiné systémy a udržovat trvalé hrozby.
* Přemýšlejte jako útočník a pomocí testování pera zjistěte, zda máte dostatečné sledování; zkontrolujte protokoly po testování pera.
kontaktujte nás pro více informací nebo pro ukázku našeho komplexního řešení.