Application security colpisce tutte le organizzazioni in tutti i settori, ma la nostra ricerca ha trovato che diversi OWASP Top 10 difetti sono più prevalenti in diversi settori. Le organizzazioni dovrebbero utilizzare queste informazioni per spostare la loro attenzione alle questioni più urgenti che devono affrontare il loro particolare settore. Controlla il nostro rapporto sullo stato della sicurezza del software per i dettagli.,
Una guida ai test per OWASP Top 10
Poiché il software aumenta di importanza e gli aggressori continuano a indirizzare il livello dell’applicazione, le organizzazioni avranno bisogno di un nuovo approccio alla sicurezza. Un programma di sicurezza delle applicazioni che utilizza un mix di tecnologie e servizi per proteggere l’intero panorama delle applicazioni e ogni applicazione per tutto il suo ciclo di vita, sta diventando una necessità., Questo mix dovrebbe includere:
- Strumenti e processi che consentono agli sviluppatori di trovare e risolvere le vulnerabilità, mentre sono di codifica
- Software di analisi della composizione
- analisi Dinamica
- analisi Statica
iniziare con la nostra Guida Definitiva per iniziare Con l’Applicazione di Sicurezza.
OWASP Top 10 Vulnerabilità
Anche se la piattaforma Veracode rileva centinaia di falle di sicurezza del software, forniamo un focus rasoio sulla ricerca dei problemi che sono “vale la pena di fissaggio.,”L’OWASP Top 10 è un elenco di difetti così diffusi e gravi che nessuna applicazione Web dovrebbe essere consegnata ai clienti senza alcuna prova che il software non contenga questi errori.
Quanto segue identifica ciascuno dei principali rischi per la sicurezza delle applicazioni Web OWASP 10 e offre soluzioni e best practice per prevenirli o porvi rimedio.
Iniezione
Difetti di iniezione, come SQL injection, LDAP injection e CRLF injection, si verificano quando un utente malintenzionato invia dati non attendibili a un interprete che viene eseguito come comando senza un’adeguata autorizzazione.,
* I test di sicurezza delle applicazioni possono facilmente rilevare difetti di iniezione. Gli sviluppatori dovrebbero utilizzare query parametrizzate durante la codifica per evitare difetti di iniezione.
Autenticazione e gestione delle sessioni interrotte
L’autenticazione utente e sessione configurata in modo errato potrebbe consentire agli aggressori di compromettere password, chiavi o token di sessione o di assumere il controllo degli account degli utenti per assumerne l’identità.
* L’autenticazione a più fattori, come FIDO o app dedicate, riduce il rischio di account compromessi.,
Esposizione ai dati sensibili
Le applicazioni e le API che non proteggono adeguatamente i dati sensibili come dati finanziari, nomi utente e password o informazioni sanitarie, potrebbero consentire agli aggressori di accedere a tali informazioni per commettere frodi o rubare identità.
* La crittografia dei dati a riposo e in transito può aiutarti a rispettare le normative sulla protezione dei dati.
Entità esterna XML
I processori XML mal configurati valutano i riferimenti di entità esterne all’interno dei documenti XML., Gli aggressori possono utilizzare entità esterne per attacchi, inclusa l’esecuzione di codice remoto, e per divulgare file interni e condivisioni di file SMB.
* Static Application Security Testing (SAST) può rilevare questo problema ispezionando le dipendenze e la configurazione.
Controllo di accesso interrotto
Le restrizioni configurate in modo improprio o mancanti sugli utenti autenticati consentono loro di accedere a funzionalità o dati non autorizzati, come l’accesso agli account di altri utenti, la visualizzazione di documenti sensibili e la modifica di dati e diritti di accesso.,
* Il test di penetrazione è essenziale per rilevare i controlli di accesso non funzionali; altri metodi di test rilevano solo dove mancano i controlli di accesso.
Errore di configurazione della sicurezza
Questo rischio si riferisce all’implementazione impropria di controlli destinati a mantenere al sicuro i dati delle applicazioni, come l’errata configurazione delle intestazioni di sicurezza, i messaggi di errore contenenti informazioni sensibili (perdita di informazioni) e non l’applicazione di patch o l’aggiornamento di sistemi, framework e componenti.
* Dynamic Application Security Testing (DAST) può rilevare errori di configurazione, come le API che perdono.,
Cross-Site Scripting
Cross-site scripting (XSS) difetti danno attaccanti la capacità di iniettare script lato client nell’applicazione, ad esempio, per reindirizzare gli utenti a siti web dannosi.
* La formazione degli sviluppatori integra i test di sicurezza per aiutare i programmatori a prevenire lo scripting cross-site con le migliori best practice di codifica, come la codifica dei dati e la convalida degli input.,
Deserializzazione non sicura
I difetti di deserializzazione non sicuri possono consentire a un utente malintenzionato di eseguire codice nell’applicazione in remoto, manomettere o eliminare oggetti serializzati (scritti su disco), condurre attacchi di iniezione ed elevare i privilegi.
* Gli strumenti di sicurezza delle applicazioni possono rilevare difetti di deserializzazione, ma spesso sono necessari test di penetrazione per convalidare il problema.,
Utilizzo di componenti con vulnerabilità note
Gli sviluppatori spesso non sanno quali componenti open source e di terze parti sono nelle loro applicazioni, rendendo difficile aggiornare i componenti quando vengono scoperte nuove vulnerabilità. Gli aggressori possono sfruttare un componente non sicuro per prendere in consegna il server o rubare dati sensibili.
* L’analisi della composizione del software condotta contemporaneamente all’analisi statica può identificare versioni non sicure dei componenti.
Registrazione e monitoraggio insufficienti
Il tempo per rilevare una violazione viene spesso misurato in settimane o mesi., La registrazione insufficiente e l’integrazione inefficace con i sistemi di risposta agli incidenti di sicurezza consentono agli aggressori di spostarsi su altri sistemi e mantenere le minacce persistenti.
* Pensa come un attaccante e usa il test della penna per scoprire se hai un monitoraggio sufficiente; esamina i tuoi log dopo il test della penna.
Contattaci per maggiori informazioni o per vedere una demo della nostra soluzione completa.