Application security påvirker alle organisasjoner i alle bransjer, men vår forskning har funnet at ulike OWASP Top 10 feil er mer utbredt i ulike bransjer. Organisasjoner bør bruke denne informasjonen til å skifte fokus til de mest presserende problemer mot deres bestemt sektor. Sjekk ut vår Tilstand av Programvare Sikkerhet rapporten for detaljer.,
En Guide til Testing for OWASP Top 10
Som programvare øker i betydning, og angriperne fortsette å målrette programmet lag, organisasjoner trenger en ny tilnærming til sikkerhet. Et program sikkerhet program som bruker en blanding av teknologi og tjenester for å sikre hele programmet landskap, og hvert program gjennom hele livssyklusen, er blitt en nødvendighet., Denne blandingen skal omfatte:
- Verktøy og prosesser som gjør det mulig for utviklere å finne og løse sikkerhetsproblemer mens de er koding
- Programvare sammensetning analyse
- Dynamisk analyse
- Statisk analyse
Komme i gang med vår Ultimate Guide til å Komme i Gang Med Programmet Sikkerhet.
OWASP Top 10 Sårbarheter
Selv om det Veracode Plattform oppdager hundrevis av programvare sikkerhet feil, vi gir et knivskarpt fokus på å finne problemer som er «verdt å fikse.,»Det OWASP Top 10 er en liste over feil som er så utbredt og alvorlig at ingen web-programmet skal være levert til kunder uten noen bevis for at programvaren ikke inneholder disse feilene.
følgende identifiserer hver av OWASP Top 10 Web Application Security Risiko, og tilbyr løsninger og beste praksis for å forebygge eller avhjelpe dem.
Injeksjon
Injeksjon feil, for eksempel SQL-injeksjon, LDAP injeksjon, og CRLF injeksjon, oppstår når en angriper sender upålitelige data til en tolk som er utført som en kommando uten autorisasjon.,
* Bruk sikkerhet testing kan enkelt oppdage injeksjon feil. Utviklere bør bruke parameterized spørsmål når koding for å hindre injeksjon feil.
Brutt Godkjenning og Økt Management
Feil konfigurert brukeren og økt godkjenning kan gjøre det mulig for angripere å invadere passord, nøkler, eller økt tokens, eller ta kontroll over brukernes kontoer til å anta at deres identitet.
* Multi-faktor autentisering, for eksempel FIDO eller dedikerte apper, reduserer risikoen for svekket kontoer.,
Sensitive Data Eksponering
Programmer og Api-er det ikke riktig å beskytte sensitive data, for eksempel finansielle data, brukernavn og passord, eller helse informasjon, kan gjøre det mulig for angripere å få tilgang til slik informasjon for å begå svindel eller stjele identiteter.
* Kryptering av data i ro og i transitt kan hjelpe deg å overholde regelverk for beskyttelse av personopplysninger.
Eksterne XML-Enhet
Dårlig konfigurerte XML-prosessorer vurdere ekstern enhet referanser innen XML-dokumenter., Angripere kan bruke eksterne enheter for angrep, inkludert ekstern kjøring av kode, og til å offentliggjøre interne filer og SMB-fil aksjer.
* Statisk program sikkerhet testing (SAST) kan oppdage dette problemet ved å inspisere avhengigheter og konfigurasjon.
Ødelagte Access Control
Feil konfigurert eller mangler restriksjoner på godkjente brukere tillate dem å få tilgang til uautoriserte funksjonalitet eller data, slik som å få tilgang til andre brukeres kontoer, visning av sensitive dokumenter, og endre data og tilgang til rettigheter.,
* Penetration testing er viktig for å oppdage ikke-funksjonelle tilgang til kontrollene; andre testmetoder bare oppdage hvor tilgang til kontrollene mangler.
Sikkerhet feil konfigurasjon
Denne risikoen refererer til feilaktig gjennomføring av kontroller til hensikt å holde application data trygt, for eksempel feil konfigurasjon av sikkerhet overskrifter, feilmeldinger som inneholder sensitiv informasjon (informasjon lekkasje), og ikke oppdatering eller oppgradering av systemer, rammer og komponenter.
* Dynamisk program sikkerhet testing (DAST) kan oppdage feilkonfigurering, slik som lekk Api-er.,
Cross-Site Scripting
Cross-site scripting (XSS) feil å gi angriperne mulighet til å injisere client-side scripts inn i programmet, for eksempel, for å omdirigere brukere til ondsinnede nettsteder.
* Utvikler trening utfyller sikkerhet testing for å hjelpe programmerere hindre cross-site scripting med beste koding beste praksis, for eksempel koding av data og validering av inndata.,
Usikre deserialisering
Usikre deserialisering feil kan gjøre det mulig for en angriper å kjøre kode i programmet eksternt, modifisere eller slette serialisert (skrevet til disk) objekter, gjennomføre injeksjon angrep, og heve privilegier.
* Bruk sikkerhet verktøy som kan oppdage deserialisering feil, men penetration testing er ofte nødvendig for å validere problemet.,
ved Hjelp av Komponenter Med Kjente Sårbarheter
Utviklere ofte ikke vet hvilken open source og tredje-parts komponenter er i programmene sine, noe som gjør det vanskelig å oppdatere komponentene når nye sårbarheter er oppdaget. Angripere kan utnytte et usikkert komponent for å ta over server eller stjele sensitive data.
* Programvare sammensetning analyse utført på samme tid som statisk analyse kan identifisere usikre versjoner av komponenter.
Utilstrekkelig Logging og Overvåking
tid til å oppdage et brudd er ofte målt i uker eller måneder., Utilstrekkelig logging og ineffektiv integrasjon med security incident response systems gjøre det mulig for angripere å pivot til andre systemer og opprettholde vedvarende trusler.
* Tenk som en angriper og bruke penn testing for å finne ut om du har tilstrekkelig overvåking; undersøke loggene etter penn testing.
Kontakt oss for mer informasjon eller for å se en demo av vår omfattende løsning.