applicatie beveiliging treft alle organisaties in alle industrieën, maar ons onderzoek heeft aangetoond dat verschillende OWASP Top 10 gebreken vaker voorkomen in verschillende industrieën. Organisaties moeten deze informatie gebruiken om hun focus te verleggen naar de meest dringende kwesties waarmee hun specifieke sector te maken heeft. Bekijk ons State of Software Security rapport voor meer informatie.,
A Guide to Testing for the OWASP Top 10
naarmate software in belang toeneemt en aanvallers zich blijven richten op de applicatielaag, zullen organisaties een nieuwe benadering van beveiliging nodig hebben. Een applicatie beveiligingsprogramma dat gebruik maakt van een mix van technologieën en diensten om het hele applicatielandschap te beveiligen, en elke applicatie gedurende de hele levenscyclus, wordt een noodzaak., Deze mix zou moeten bevatten:
- Tools en processen die ontwikkelaars in staat stellen om kwetsbaarheden te vinden en te repareren terwijl ze coderen
- Software composition analysis
- dynamische analyse
- statische analyse
aan de slag met onze ultieme gids om aan de slag te gaan met applicatiebeveiliging.
OWASP Top 10 kwetsbaarheden
hoewel het Veracode Platform honderden software beveiligingsfouten detecteert, bieden we een razor focus op het vinden van de problemen die “de moeite waard zijn om op te lossen.,”De OWASP Top 10 is een lijst van gebreken zo overwegend en ernstig dat er geen webapplicatie moet worden geleverd aan klanten zonder enig bewijs dat de software deze fouten niet bevat.
het volgende identificeert elk van de OWASP Top 10 beveiligingsrisico ‘ s voor webtoepassingen en biedt oplossingen en best practices om deze te voorkomen of te verhelpen.
injectie
injectiefouten, zoals SQL-injectie, LDAP-injectie en CRLF-injectie, treden op wanneer een aanvaller onbetrouwbare gegevens verzendt naar een interpreter die als een opdracht wordt uitgevoerd zonder de juiste autorisatie.,
* beveiligingstests voor toepassingen kunnen gemakkelijk injectiefouten detecteren. Ontwikkelaars moeten geparametreerde queries gebruiken bij het coderen om injectiefouten te voorkomen.
gebroken authenticatie en sessiebeheer
onjuist geconfigureerde gebruikers-en sessieverificatie kan aanvallers in staat stellen wachtwoorden, sleutels of sessietokens te compromitteren, of de controle over gebruikersaccounts over te nemen om hun identiteit aan te nemen.
* Multi-factor authenticatie, zoals FIDO of dedicated apps, vermindert het risico van gecompromitteerde accounts.,
blootstelling aan gevoelige gegevens
toepassingen en API ‘ s die gevoelige gegevens zoals financiële gegevens, gebruikersnamen en wachtwoorden of gezondheidsinformatie niet goed beschermen, kunnen aanvallers in staat stellen toegang te krijgen tot dergelijke informatie om fraude te plegen of identiteiten te stelen.
* versleuteling van gegevens in rust en onderweg kan u helpen om te voldoen aan de regels voor gegevensbescherming.
XML externe entiteit
slecht geconfigureerde XML-processors evalueren externe entiteitverwijzingen binnen XML-documenten., Aanvallers kunnen externe entiteiten gebruiken voor aanvallen, waaronder uitvoering van externe code, en om interne bestanden en SMB-bestandshares bekend te maken.
* Static application security testing (SAST) kan dit probleem ontdekken door afhankelijkheden en configuratie te inspecteren.
gebroken Toegangscontrole
onjuist geconfigureerd of ontbrekende beperkingen voor geverifieerde gebruikers stellen hen in staat om toegang te krijgen tot ongeautoriseerde functionaliteit of gegevens, zoals toegang tot accounts van andere gebruikers, het bekijken van gevoelige documenten en het wijzigen van gegevens en toegangsrechten.,
* penetratietests zijn essentieel voor het detecteren van niet-functionele toegangscontroles; andere testmethoden detecteren alleen waar toegangscontroles ontbreken.
onjuiste configuratie van de beveiliging
dit risico heeft betrekking op onjuiste implementatie van controles die bedoeld zijn om toepassingsgegevens veilig te houden, zoals verkeerde configuratie van beveiligingsheaders, foutmeldingen die gevoelige informatie bevatten (informatielekkage), en niet het patchen of upgraden van systemen, frameworks en componenten.
* Dast (Dynamic application security testing) kan misconfiguraties detecteren, zoals lekkende API ‘ s.,
Cross-site Scripting
Cross-site scripting (XSS) gebreken geven aanvallers de mogelijkheid om client-side scripts in de applicatie te injecteren, bijvoorbeeld om gebruikers om te leiden naar kwaadaardige websites.
* Ontwikkelaarstraining is een aanvulling op beveiligingstests om programmeurs te helpen cross-site scripting te voorkomen met de beste coderingspraktijken, zoals codering van gegevens en invoervalidatie.,
onveilige deserialisatie
onveilige deserialisatiefouten kunnen een aanvaller in staat stellen om code op afstand in de toepassing uit te voeren, geserialiseerde (naar schijf Geschreven) objecten te saboteren of te verwijderen, injectieaanvallen uit te voeren en privileges te verhogen.
* Applicatiebeveiligingshulpmiddelen kunnen deserialisatiefouten detecteren, maar penetratietesten zijn vaak nodig om het probleem te valideren.,
met behulp van componenten met bekende kwetsbaarheden
ontwikkelaars weten vaak niet welke open source-en externe componenten zich in hun toepassingen bevinden, waardoor het moeilijk is om componenten bij te werken wanneer nieuwe kwetsbaarheden worden ontdekt. Aanvallers kunnen een onveilige component gebruiken om de server over te nemen of gevoelige gegevens te stelen.
* Softwaresamenstellingsanalyse die tegelijkertijd met statische analyse wordt uitgevoerd, kan onveilige versies van componenten identificeren.
onvoldoende Logging en Monitoring
De tijd om een inbreuk op te sporen wordt vaak gemeten in weken of maanden., Onvoldoende logging en ineffectieve integratie met security incident response systems zorgen ervoor dat aanvallers om te draaien naar andere systemen en aanhoudende bedreigingen te handhaven.
* denk als een aanvaller en gebruik pen testing om erachter te komen of je voldoende controle hebt; bekijk je logs na pen testing.
neem Contact met ons op voor meer informatie of voor een demo van onze uitgebreide oplossing.