applikationssäkerhet påverkar alla organisationer i alla branscher, men vår forskning har funnit att olika OWASP topp 10 brister är vanligare i olika branscher. Organisationer bör använda denna information för att flytta sitt fokus till de mest angelägna frågorna som deras specifika sektor står inför. Kolla in vårt tillstånd av programvara säkerhetsrapport för detaljer.,
en guide till testning för OWASP Top 10
eftersom programvaran ökar i betydelse, och angripare fortsätter att rikta applikationsskiktet, behöver organisationer ett nytt tillvägagångssätt för säkerhet. Ett program säkerhetsprogram som använder en blandning av teknik och tjänster för att säkra hela applikationslandskapet, och varje applikation under hela sin livscykel, blir en nödvändighet., Denna blandning bör innehålla:
- verktyg och processer som gör det möjligt för utvecklare att hitta och åtgärda sårbarheter medan de kodar
- programvara sammansättning analys
- dynamisk analys
- statisk analys
Kom igång med vår ultimata Guide för att komma igång med applikationssäkerhet.
OWASP topp 10 sårbarheter
Även om Veracode-plattformen upptäcker hundratals säkerhetsbrister för programvara, ger vi en rakhyvel fokus på att hitta de problem som är ” värt att åtgärda.,”OWASP Top 10 är en lista över brister så utbredd och svår att ingen webbapplikation ska levereras till kunder utan några bevis på att programvaran inte innehåller dessa fel.
följande identifierar var och en av OWASP Top 10 Web Application säkerhetsrisker, och erbjuder lösningar och bästa praxis för att förhindra eller åtgärda dem.
injektion
injektionsfel, såsom SQL-injektion, LDAP-injektion och CRLF-injektion, inträffar när en angripare skickar otillförlitliga data till en tolk som exekveras som ett kommando utan korrekt godkännande.,
* applikationssäkerhetsprovning kan enkelt upptäcka injektionsfel. Utvecklare bör använda parametriserade frågor vid kodning för att förhindra injektionsfel.
bruten autentisering och sessionshantering
felaktigt konfigurerad användar-och sessionsautentisering kan tillåta angripare att äventyra lösenord, nycklar eller sessionstoken, eller ta kontroll över användarnas konton för att anta deras identiteter.
* autentisering med flera faktorer, som FIDO eller dedikerade appar, minskar risken för komprometterade konton.,
känslig Dataexponering
program och API: er som inte skyddar känsliga data korrekt, t.ex. finansiella data, användarnamn och lösenord eller hälsoinformation, kan göra det möjligt för angripare att få tillgång till sådan information för att begå bedrägeri eller stjäla identiteter.
* kryptering av data i vila och i transit kan hjälpa dig att följa dataskyddsbestämmelserna.
XML extern enhet
dåligt konfigurerade XML-processorer utvärderar externa enhetsreferenser i XML-dokument., Angripare kan använda externa enheter för attacker inklusive fjärrkörning kod, och att avslöja interna filer och SMB fil aktier.
* Static application security testing (SAST) kan upptäcka problemet genom att inspektera beroenden och konfiguration.
bruten åtkomstkontroll
felaktigt konfigurerade eller saknade begränsningar för autentiserade användare tillåter dem att komma åt obehörig funktionalitet eller data, till exempel åtkomst till andra användares konton, visning av känsliga dokument och ändring av data och åtkomsträttigheter.,
* penetrationstest är avgörande för att upptäcka icke-funktionella åtkomstkontroller; andra testmetoder upptäcker endast var åtkomstkontroller saknas.
Säkerhetsfelkonfiguration
denna risk avser felaktigt genomförande av kontroller avsedda att hålla applikationsdata säkra, såsom felaktig konfiguration av säkerhetshuvuden, felmeddelanden som innehåller känslig information (informationsläckage) och inte lappa eller Uppgradera system, ramar och komponenter.
* Dynamic application security testing (DAST) kan upptäcka felfigurationer, till exempel läckande API: er.,
Cross-Site Scripting
cross-site scripting (XSS) brister ger angripare möjlighet att injicera klientsidan skript i programmet, till exempel för att omdirigera användare till skadliga webbplatser.
* Utvecklarträning kompletterar säkerhetstestning för att hjälpa programmerare att förhindra skriptning över webbplatsen med bästa kodning bästa praxis, såsom kodning av data och inmatningsvalidering.,
osäker deserialisering
osäkra deserialiseringsbrister kan göra det möjligt för en angripare att köra kod i programmet på distans, manipulera eller ta bort serialiserade (skrivna till disk) objekt, genomföra injiceringsattacker och höja privilegier.
* Applikationssäkerhetsverktyg kan upptäcka deserialiseringsfel, men penetrationstestning behövs ofta för att validera problemet.,
använda komponenter med kända sårbarheter
utvecklare vet ofta inte vilka open source-och tredjepartskomponenter som finns i deras program, vilket gör det svårt att uppdatera komponenter när nya sårbarheter upptäcks. Angripare kan utnyttja en osäker komponent för att ta över servern eller stjäla känsliga data.
* programkompositionsanalys utförd samtidigt som statisk analys kan identifiera osäkra versioner av komponenter.
otillräcklig loggning och övervakning
tiden för att upptäcka ett brott mäts ofta i veckor eller månader., Otillräcklig loggning och ineffektiv integration med säkerhet incident svarssystem tillåter angripare att svänga till andra system och upprätthålla ihållande hot.
* Tänk som en angripare och använd penntestning för att ta reda på om du har tillräcklig övervakning.undersök dina loggar efter penntestning.
kontakta oss för mer information eller för att se en demo av vår omfattande lösning.