az alkalmazásbiztonság minden iparágat érint, de kutatásaink azt találták, hogy a különböző OWASP Top 10 hibák gyakoribbak a különböző iparágakban. A szervezeteknek ezt az információt arra kell használniuk, hogy összpontosítsanak az adott ágazatuk legsürgetőbb kérdéseire. Nézze meg a szoftverbiztonsági jelentésünket a részletekért.,
útmutató az OWASP Top 10
teszteléséhez, mivel a szoftver jelentősége növekszik, és a támadók továbbra is az alkalmazásréteget célozzák meg, a szervezeteknek új biztonsági megközelítésre van szükségük. Szükségszerűvé válik egy olyan alkalmazásbiztonsági program, amely a technológiák és szolgáltatások keverékét használja az alkalmazás teljes tájképének, valamint minden alkalmazásnak az egész életciklusa alatt történő biztosításához., Ez a mix a következőket foglalja magába:
- Eszközök, folyamatok, amely lehetővé teszi a fejlesztők számára, hogy megtalálják, majd rögzítse a biztonsági rések, miközben ők kódolás
- Szoftver összetétel elemzés
- Dinamikus elemzés
- Statikus elemzés
induláshoz a Végső Útmutató első lépések az Alkalmazás Biztonsági.
OWASP Top 10 sebezhetőség
bár a Veracode Platform több száz szoftverbiztonsági hibát észlel, borotva összpontosítunk arra, hogy megtaláljuk azokat a problémákat, amelyeket “érdemes megjavítani.,”Az OWASP Top 10 olyan gyakori és súlyos hibák listája, hogy egyetlen webes alkalmazást sem szabad az ügyfeleknek kézbesíteni anélkül, hogy bizonyíték lenne arra, hogy a szoftver nem tartalmazza ezeket a hibákat.
az alábbiak azonosítják az OWASP Top 10 webalkalmazás biztonsági kockázatait, és megoldásokat és bevált gyakorlatokat kínálnak azok megelőzésére vagy kijavítására.
Injection
injekciós hibák, például SQL injection, LDAP injection és CRLF injection, akkor fordulnak elő, amikor a támadó megbízhatatlan adatokat küld egy olyan tolmácsnak, amelyet parancsként hajtanak végre megfelelő engedély nélkül.,
* az alkalmazásbiztonsági vizsgálatok könnyen észlelhetik az injekciós hibákat. A fejlesztőknek paraméterezett lekérdezéseket kell használniuk kódoláskor az injekciós hibák elkerülése érdekében.
Broken Authentication and Session Management
a helytelenül konfigurált felhasználói és munkamenet-hitelesítés lehetővé teheti a támadók számára, hogy kompromittálják a jelszavakat, kulcsokat vagy munkamenet-tokeneket, vagy átvegyék az irányítást a felhasználók fiókjai felett, hogy átvegyék a személyazonosságukat.
* a többtényezős hitelesítés, mint például a FIDO vagy a dedikált alkalmazások, csökkenti a veszélyeztetett fiókok kockázatát.,
érzékeny Adatexpozíció
olyan alkalmazások és API-k, amelyek nem védik megfelelően az érzékeny adatokat, például a pénzügyi adatokat, a felhasználóneveket és a jelszavakat vagy az egészségügyi információkat, lehetővé tehetik a támadók számára, hogy hozzáférjenek az ilyen információkhoz csalás vagy személyazonosság ellopása céljából.
* a nyugalmi és tranzit adatok titkosítása segíthet az adatvédelmi előírások betartásában.
XML külső entitás
a rosszul konfigurált XML processzorok az XML dokumentumokon belüli külső entitáshivatkozásokat értékelik., A támadók külső entitásokat használhatnak támadásokhoz, beleértve a távoli kód végrehajtását, valamint a belső fájlok és az SMB fájlmegosztások nyilvánosságra hozatalát.
* Static application security testing (SAST) felfedezheti ezt a problémát a függőségek és a konfiguráció ellenőrzésével.
törött hozzáférés-vezérlés
a hitelesített felhasználókra vonatkozó nem megfelelően konfigurált vagy hiányzó korlátozások lehetővé teszik számukra a jogosulatlan funkciók vagy adatok elérését, például más felhasználók fiókjainak elérését, az érzékeny dokumentumok megtekintését, valamint az adatok és a hozzáférési jogok módosítását.,
* a penetrációs tesztelés elengedhetetlen a nem funkcionális hozzáférés-vezérlők felderítéséhez; más vizsgálati módszerek csak azt észlelik, hogy a hozzáférési vezérlők hiányoznak.
Biztonsági konfigurációs hiba
Ezt a kockázatot jelenti, hogy a nem megfelelő végrehajtása az ellenőrzés célja, hogy tovább application data biztonságos, mint a konfigurációs hiba a biztonsági fejlécek, hibaüzenetek érzékeny információkat tartalmazó (információ szivárgás), nem pedig folt vagy korszerűsítése rendszerek, keretek, valamint alkatrészek.
* a dinamikus alkalmazásbiztonsági tesztelés (DAST) hibás konfigurációkat észlelhet, például szivárgó API-kat.,
Cross-Site Scripting
Cross-site scripting (XSS) hibákat ad a támadók képesek beadni kliens oldali szkriptek az alkalmazás, például átirányítani a felhasználókat a rosszindulatú weboldalak.
* A Fejlesztői képzés kiegészíti a biztonsági teszteket annak érdekében, hogy a programozók megakadályozzák a webhelyközi szkripteket a legjobb kódolási bevált gyakorlatokkal, például az adatok kódolásával és a bemeneti validációval.,
bizonytalan deserialization
a nem biztonságos deserializációs hibák lehetővé teszik a támadó számára, hogy távolról végrehajtsa a kódot az alkalmazásban, manipulálja vagy törölje a serialized (lemezre írt) objektumokat, injekciós támadásokat hajtson végre, és emelje fel a jogosultságokat.
* az alkalmazásbiztonsági eszközök észlelhetik a dezeralizációs hibákat, de a probléma érvényesítéséhez gyakran szükség van penetrációs tesztelésre.,
ismert sebezhetőségekkel rendelkező összetevők használata
a fejlesztők gyakran nem tudják, hogy mely nyílt forráskódú és harmadik féltől származó összetevők vannak az alkalmazásaikban, ami megnehezíti az összetevők frissítését, amikor új sebezhetőségeket fedeznek fel. A támadók kihasználhatnak egy nem biztonságos összetevőt, hogy átvegyék a kiszolgálót, vagy ellopják az érzékeny adatokat.
* A statikus elemzéssel egy időben végzett szoftverösszetétel-elemzés azonosítja az összetevők bizonytalan verzióit.
elégtelen naplózás és monitorozás
a jogsértés észlelésének idejét gyakran hetekben vagy hónapokban mérik., A nem megfelelő naplózás és a biztonsági eseményekre reagáló rendszerekkel való nem hatékony integráció lehetővé teszi a támadók számára, hogy más rendszerekhez forduljanak, és állandó fenyegetéseket tartsanak fenn.
* gondolkodj támadóként, és használd az injekciós toll tesztelését, hogy megtudd, van-e elegendő ellenőrzésed; vizsgáld meg a naplóidat az injekciós toll tesztelése után.
további információkért forduljon hozzánk, vagy tekintse meg átfogó megoldásunk bemutatóját.