a Aplicação de segurança que afeta todas as organizações em todos os setores, mas a nossa pesquisa encontrou que os diferentes OWASP Top 10 falhas são mais predominantes em diferentes indústrias. As organizações devem usar esta informação para mudar o seu foco para as questões mais prementes que enfrentam seu setor particular. Confira nosso Relatório de segurança do Estado do Software para mais detalhes.,
a Guide to Testing for the OWASP Top 10
As software increases in importance, and attackers continue to target the application layer, organizations will need a new approach to security. Um programa de segurança de aplicativos que utiliza uma mistura de tecnologias e serviços para proteger todo o cenário de aplicação, e cada aplicação ao longo de seu ciclo de vida, está se tornando uma necessidade., Esta mistura deve incluir:
- Ferramentas e processos que permitem aos desenvolvedores a encontrar e corrigir vulnerabilidades, enquanto eles estão codificação
- Software de análise de composição
- análise Dinâmica
- análise Estática
comece com a nossa melhor Guia para se familiarizar Com o Aplicativo de Segurança.
OWASP Top 10 vulnerabilidades
embora a plataforma Veracode detecte centenas de falhas de segurança de software, nós fornecemos um foco razor em encontrar os problemas que são “vale a pena corrigir.,”O OWASP Top 10 é a lista de falhas tão frequente e grave que nenhum aplicativo da web devem ser entregues aos clientes sem alguma evidência de que o software não contenha estes erros.o seguinte identifica cada um dos 10 maiores riscos de segurança de aplicações web da OWASP, e oferece soluções e melhores práticas para prevenir ou remediar esses riscos.
injeção
falhas de injeção, tais como injeção SQL, injeção LDAP e injeção CRLF, ocorrem quando um atacante envia dados não confiáveis para um interpretador que é executado como um comando sem autorização adequada.,
* O teste de segurança da aplicação pode facilmente detectar falhas na injecção. Os desenvolvedores devem usar consultas parametrizadas ao codificar para evitar falhas de injeção.
autenticação quebrada e gestão de sessões
autenticação de utilizador e sessão configurada incorrectamente pode permitir aos atacantes comprometer senhas, chaves ou tokens de sessão, ou assumir o controlo das contas dos utilizadores para assumir as suas identidades.
* autenticação multi-fator, como FIDO ou aplicativos dedicados, reduz o risco de comprometimento de contas.,
exposição de dados sensível
aplicações e APIs que não protegem adequadamente dados sensíveis, tais como dados financeiros, nomes de usuário e senhas, ou informações de saúde, poderiam permitir aos atacantes acessar tais informações para cometer fraude ou roubar identidades.
* criptografia de dados em repouso e em trânsito pode ajudá-lo a cumprir as regras de proteção de dados.
entidade externa XML
processadores XML mal configurados avaliam as referências de entidades externas dentro dos documentos XML., Os atacantes podem usar entidades externas para ataques, incluindo a execução de código remoto, e para divulgar arquivos internos e ações de arquivos SMB.
* testes estáticos de segurança da aplicação (SAST) podem descobrir este problema inspecionando dependências e configuração.
Broken Access Control
inadequadamente configurado ou as restrições em falta aos utilizadores autenticados permitem-lhes aceder a funcionalidades ou dados não autorizados, tais como aceder às contas de outros utilizadores, ver documentos sensíveis e modificar dados e direitos de acesso.,
* o ensaio de penetração é essencial para detectar controlos de acesso não funcionais; outros métodos de ensaio apenas detectam onde faltam controlos de acesso.este risco refere-se à implementação inadequada de controlos destinados a manter os dados da aplicação seguros, tais como a configuração incorrecta de cabeçalhos de segurança, mensagens de erro contendo informações sensíveis (fuga de informação), e não Sistemas de patching ou atualização, frameworks e componentes.
* Dynamic application security testing (DAST) can detect mionfigurations, such as leaky APIs.,
Cross-Site Scripting
Cross-site scripting (XSS) falhas dão aos atacantes a capacidade de injetar scripts do lado do cliente na aplicação, por exemplo, para redirecionar os usuários para sites maliciosos.
* a formação do desenvolvedor complementa testes de segurança para ajudar os programadores a evitar scripting cross-site com as melhores práticas de codificação, tais como codificação de dados e validação de entrada.,
deserialização insegura
deserialização insegura falhas podem permitir que um atacante execute código na aplicação remotamente, adulterar ou excluir objetos serializados (escritos no disco), conduzir ataques de injeção e elevar privilégios.
* Ferramentas de segurança de Aplicação podem detectar falhas de deseralização, mas testes de penetração são frequentemente necessários para validar o problema.,
usando componentes com vulnerabilidades conhecidas
os desenvolvedores frequentemente não sabem quais componentes de código aberto e terceiros estão em suas aplicações, tornando difícil atualizar componentes quando novas vulnerabilidades são descobertas. Os atacantes podem explorar um componente inseguro para assumir o servidor ou roubar dados sensíveis.
* Análise de composição de Software conduzida ao mesmo tempo que a análise estática pode identificar versões inseguras de componentes.
registo e Monitorização insuficientes
o tempo para detectar uma violação é frequentemente medido em semanas ou meses., O registro insuficiente e a integração ineficaz com os sistemas de resposta a incidentes de segurança permitem que os atacantes se movam para outros sistemas e mantenham ameaças persistentes.
* pense como um atacante e use o teste da caneta para descobrir se você tem monitoramento suficiente; examine seus registros após teste da caneta.
Contate – nos para mais informações ou para ver uma demonstração de nossa solução abrangente.