Sovellus turvallisuus koskettaa kaikkia organisaatioita kaikilla toimialoilla, mutta meidän tutkimus on todennut, että eri OWASP Top 10 virheet ovat yleisempiä eri toimialoilla. Organisaatioiden tulisi käyttää näitä tietoja keskittyäkseen kaikkein kiireellisimpiin alansa kohtaamiin kysymyksiin. Tutustu State of Software Security report lisätietoja.,
Oppaan Testaus OWASP Top 10
Kun ohjelmisto merkitystä lisää, ja hyökkääjät edelleen tavoite sovellustasolla, organisaatiot tarvitsevat uudenlaista lähestymistapaa turvallisuuteen. Sovelluksen suojaus-ohjelma, joka käyttää sekoitus teknologioiden ja palvelujen turvaamiseksi koko sovellus maisema, ja jokainen hakemus koko sen elinkaaren ajan, on tulossa välttämättömyys., Tämä yhdistelmä tulisi sisältää:
- Työkalut ja prosessit, joiden avulla kehittäjät voivat löytää ja korjata haavoittuvuuksia, kun he ovat koodaus
- Ohjelmisto koostumus analyysi
- Dynaaminen analyysi
- Staattinen analyysi
Get alkoi kanssa Perimmäinen Opas aloittaminen Turvallisuutta.
OWASP Top 10-Haavoittuvuudet
Vaikka Veracode Alustan havaitsee satoja ohjelmiston tietoturva-aukkoja, tarjoamme razor keskittyä löytämään ongelmia, jotka ovat ”arvoinen vahvistamisesta.,”Että OWASP Top 10 on lista puutteita niin yleisiä ja vakavia, että ei ole web-sovellus tulee toimittaa asiakkaille ilman joitakin todisteita siitä, että ohjelmisto ei sisällä näitä virheitä.
seuraavassa yksilöidään kaikki OWASP Top 10 Web-sovelluksen tietoturvariskit ja tarjotaan ratkaisuja ja parhaita käytäntöjä niiden estämiseksi tai korjaamiseksi.
Injektio
Injektio puutteita, kuten SQL-injektio, LDAP-injektio, ja CRLF-injektio tapahtuu, kun hyökkääjä lähettää epäluotettava data tulkki, joka on toteutettu komento ilman asianmukaista lupaa.,
* Käyttövarmuustestauksella voidaan helposti havaita pistoksen puutteet. Kehittäjien tulisi käyttää parametrisoituja kyselyjä koodauksessa ruiskutusvikojen estämiseksi.
Broken Authentication and Session Management
Virheellisesti määritetty käyttäjä ja istunto todennus saattaa antaa hyökkääjän murtautua salasanat, avaimet, tai istunnon kuponkia, tai hallita käyttäjien tilejä olettaa heidän henkilöllisyytensä.
* Multi-factor authentication, kuten FIDO tai omistettu apps, vähentää riskiä vaarantaa tilien.,
Arkaluonteisten Tietojen Altistuminen
Sovellukset ja Ohjelmointirajapinnat, jotka eivät oikein suojaa arkaluonteisia tietoja, kuten taloudelliset tiedot, käyttäjätunnukset ja salasanat, tai terveydenhuollon tietojen avulla hyökkääjät voivat käyttää tällaisia tietoja petoksiin tai varastaa identiteettejä.
* levossa ja kauttakuljetuksessa olevien tietojen salaaminen voi auttaa sinua noudattamaan tietosuojasääntöjä.
XML ulkoinen yksikkö
huonosti konfiguroidut XML-suorittimet arvioivat ulkoisen kokonaisuuden referenssejä XML-asiakirjoissa., Hyökkääjät voivat käyttää ulkoisia tahoja hyökkäyksissä, mukaan lukien etäkoodin toteutus, ja paljastaa sisäisiä tiedostoja ja SMB-tiedostoosuuksia.
* Static application security testing (SAST) voi selvittää tämän ongelman tarkastamalla riippuvuudet ja kokoonpanon.
Rikki Access Control
Virheellisesti määritetty tai puuttuva rajoituksia todennetut käyttäjät voivat käyttää luvattomia toimintoja tai tietoja, kuten pääsy muiden käyttäjien tilejä, katselun arkaluonteisia asiakirjoja, ja muuttamalla tietoja ja käyttöoikeuksia.,
* Penetraatiotestaus on olennaisen tärkeää ei-toiminnallisten kulunvalvontalaitteiden havaitsemiseksi; muut testausmenetelmät havaitsevat vain, jos kulunvalvonta puuttuu.
Turvallisuus Väärät
Tämä riski viittaa väärä täytäntöönpano valvonnan tarkoituksena on pitää sovelluksen tiedot turvassa, kuten väärät tietoturva-otsakkeiden, virhe viestejä, jotka sisältävät arkaluonteisia tietoja (tietojen vuotaminen), eikä korjaaminen tai päivittäminen järjestelmiin, viitekehykset ja osat.
* Dynamic application security testing (dast) voi havaita väärinkäsityksiä, kuten vuotavia APIs-tunnisteita.,
Cross-Site Scripting
Cross-site scripting (XSS) puutteita antaa hyökkääjät kyky pistää client-side skriptit sovellukseen, esimerkiksi, ohjata käyttäjiä ilkeä sivustoja.
* Kehittäjä koulutus täydentää turvallisuuden testaus auttaa ohjelmoijia estää cross-site scripting kanssa parhaita koodaus parhaita käytäntöjä, kuten koodaus tiedot ja syöttää validointi.,
Epävarma deserialization
Epävarma deserialization puutteita voi mahdollistaa hyökkääjän koodin suorittamisen sovelluksen etänä, peukaloida tai poistaa sarjoitettu (kirjoitettu levylle) esineitä, suorittaa injektio-hyökkäyksiä, ja nosta käyttöoikeudet.
* sovelluksen tietoturvatyökaluilla voidaan havaita deserialisaatiovirheitä, mutta penetraatiotestausta tarvitaan usein ongelman validoimiseksi.,
Komponentteja Käyttäen Tunnettuja Haavoittuvuuksia
Kehittäjät usein tiedä, mikä avoimen lähdekoodin ja kolmannen osapuolen komponentit ovat niiden sovelluksia, jolloin se on vaikea päivittää komponentteja, kun uusia haavoittuvuuksia löydetään. Hyökkääjät voivat hyödyntää epävarmaa komponenttia vallatakseen palvelimen tai varastaakseen arkaluontoisia tietoja.
* Ohjelmistokoostumusanalyysi, joka tehdään samanaikaisesti staattisen analyysin kanssa, voi tunnistaa komponenttien epävarmat versiot.
riittämätön hakkuu ja seuranta
aika rikkomuksen havaitsemiseen mitataan usein viikoissa tai kuukausina., Riittämätön hakkuut ja tehoton integrointi security incident response järjestelmät mahdollistavat hyökkääjän pivot muihin järjestelmiin ja ylläpitää pysyviä uhkia.
* Ajattele kuin hyökkääjä ja käytä kynätestausta selvittääksesi, onko sinulla riittävä seuranta; tutki lokisi kynätestauksen jälkeen.
ota yhteyttä saadaksesi lisätietoja tai nähdäksesi Demon kattavasta ratkaisustamme.