OWASP là gì? Top 10 OWASP là gì? | VinSEP

Bạn đang quan tâm đến OWASP là gì? Top 10 OWASP là gì? | VinSEP phải không? Nào hãy cùng Vuihecungchocopie đón xem bài viết này ngay sau đây nhé, vì nó vô cùng thú vị và hay đấy!

owasp là gì?

owasp là viết tắt của Open Web Application Security Project, một tổ chức phi lợi nhuận quốc tế chuyên về bảo mật ứng dụng web. Một trong những nguyên tắc cốt lõi của owasp là tất cả tài liệu của tổ chức đều miễn phí và có thể truy cập dễ dàng trên trang web chính thức http://owasp.org, giúp tất cả mọi người, đặc biệt là ngành an ninh mạng có khả năng cải thiện tính bảo mật của các ứng dụng web. Tài liệu do owsap cung cấp bao gồm tài liệu, công cụ, video và diễn đàn. owasp được biết đến nhiều nhất trong top 10 owasp.

10 cú pháp hàng đầu là gì?

owasp top 10 là một báo cáo được cập nhật thường xuyên về các mối đe dọa bảo mật đối với bảo mật ứng dụng web, tập trung vào 10 rủi ro / lỗ hổng bảo mật quan trọng nhất. Báo cáo được chuẩn bị bởi một nhóm các chuyên gia bảo mật từ khắp nơi trên thế giới. owasp gọi 10 “tài liệu nâng cao nhận thức” hàng đầu và họ khuyến nghị tất cả các công ty nên kết hợp báo cáo này vào các quy trình của họ để giảm rủi ro bảo mật.

Bạn đang xem: Owasp là gì

Sau đây là những rủi ro bảo mật được báo cáo trong top 10 owasp:

Tiêm

Tấn công tiêm xảy ra khi dữ liệu không đáng tin cậy được gửi đến trình thông dịch mã bằng cách điền vào biểu mẫu hoặc một số dữ liệu khác được gửi đến trình thông dịch mã. ứng dụng web. Ví dụ: kẻ tấn công có thể nhập mã cơ sở dữ liệu sql vào một biểu mẫu yêu cầu tên người dùng văn bản rõ ràng. Nếu việc điền vào các biểu mẫu này không được bảo mật đúng cách, điều này sẽ khiến mã sql được thực thi. Đây được gọi là tiêm sql .

. tấn côngCác cuộc tấn công

Injection có thể được ngăn chặn bằng cách xác thực và / hoặc “làm sạch” dữ liệu do người dùng gửi. (Xác thực có nghĩa là từ chối dữ liệu đáng ngờ và “làm sạch” có nghĩa là làm sạch các phần dữ liệu có vẻ đáng ngờ.) Ngoài ra, quản trị viên cơ sở dữ liệu có thể thiết lập các biện pháp kiểm soát để giảm thiểu lượng thông tin bị lộ qua các cuộc tấn công đưa vào.

Xác thực không thành công

Các lỗ hổng trong hệ thống xác thực (đăng nhập) có thể cho phép kẻ tấn công truy cập vào tài khoản người dùng hoặc thậm chí xâm phạm toàn bộ hệ thống bằng tài khoản quản trị viên. Ví dụ: kẻ tấn công có thể lấy một danh sách chứa hàng nghìn tổ hợp tên người dùng / mật khẩu đã biết có được trong một vụ vi phạm dữ liệu và sử dụng một tập lệnh để thử tất cả chúng khi đăng nhập hệ thống để xem có tổ hợp nào hoạt động hay không.

Một số chiến lược để giảm thiểu lỗ hổng xác thực là sử dụng xác thực hai yếu tố (2fa) và hạn chế hoặc trì hoãn các lần đăng nhập lặp lại bằng cách sử dụng giới hạn đăng nhập. Khoảng thời gian đăng nhập bị sai.

Phơi nhiễm dữ liệu nhạy cảm

Nếu ứng dụng web không bảo vệ được dữ liệu nhạy cảm như thông tin tài chính và mật khẩu, thì tin tặc có thể truy cập vào dữ liệu này và sử dụng nó cho các mục đích bất chính. Một phương pháp phổ biến để đánh cắp thông tin nhạy cảm là sử dụng các cuộc tấn công đường dẫn.

Có thể giảm thiểu rủi ro rò rỉ dữ liệu bằng cách mã hóa (mã hóa) tất cả dữ liệu nhạy cảm và tắt * bộ nhớ cache của bất kỳ thông tin nhạy cảm nào. Ngoài ra, các nhà phát triển ứng dụng web nên cẩn thận để đảm bảo rằng họ không lưu trữ bất kỳ dữ liệu nhạy cảm nào một cách không cần thiết.

Xem thêm: Thịt bò phi lê là gì? Cách chế biến Ngon & Hấp Dẫn

* bộ nhớ cache lưu trữ dữ liệu tạm thời để sử dụng lại. Ví dụ: các trình duyệt web thường lưu vào bộ nhớ cache các trang web để trình duyệt không phải tìm nạp chúng từ đầu nếu người dùng truy cập lại chúng trong một khoảng thời gian cố định.

thực thể bên ngoài xml (xee)

Đây là một cuộc tấn công ứng dụng web bằng cách phân tích cú pháp xml * input (phân tích cú pháp xml * input). Đầu vào này có thể đề cập đến một thực thể bên ngoài đang cố gắng khai thác lỗ hổng trong trình phân tích cú pháp. Thực thể bên ngoài có thể là một đơn vị lưu trữ, chẳng hạn như ổ cứng. Trình phân tích cú pháp XML có thể bị lừa gửi dữ liệu đến các thực thể bên ngoài trái phép và chuyển trực tiếp dữ liệu nhạy cảm cho kẻ tấn công.

Cách tốt nhất để ngăn chặn các cuộc tấn công xee là làm cho các ứng dụng web chấp nhận các kiểu dữ liệu ít phức tạp hơn như json ** hoặc vô hiệu hóa các thực thể bên ngoài trong các ứng dụng xml.

* xml hoặc Ngôn ngữ đánh dấu có thể mở rộng là ngôn ngữ đánh dấu được thiết kế để con người và máy móc có thể đọc và hiểu được. XML hiện đang bị loại bỏ dần trong nhiều ứng dụng web do sự phức tạp và các lỗ hổng bảo mật.

** Ký hiệu đối tượng JavaScript (json) là một ký hiệu đơn giản để truyền dữ liệu qua internet. Mặc dù ban đầu được tạo ra cho javascript, json là một ngôn ngữ có thể được thông dịch bởi nhiều ngôn ngữ lập trình khác nhau.

Kiểm soát truy cập bị hỏng

Kiểm soát truy cập hoặc kiểm soát truy cập đề cập đến một hệ thống kiểm soát quyền truy cập vào thông tin hoặc chức năng. Kiểm soát truy cập chứa một lỗ hổng cho phép kẻ tấn công bỏ qua ủy quyền và thực hiện các tác vụ như người dùng có đặc quyền, chẳng hạn như quản trị viên. Ví dụ: một ứng dụng web có thể cho phép người dùng thay đổi tài khoản mà họ đã đăng nhập bằng cách thay đổi một phần của url mà không cần bất kỳ xác minh bổ sung nào.

Kiểm soát truy cập có thể được bảo mật bằng cách đảm bảo rằng các ứng dụng web sử dụng mã thông báo ủy quyền * và kiểm soát chặt chẽ các mã thông báo này.

* Nhiều dịch vụ cho phép sử dụng mã thông báo ủy quyền khi người dùng đăng nhập. Cần có mã thông báo ủy quyền cho bất kỳ yêu cầu đặc quyền nào do người dùng thực hiện. Đây là một cách an toàn để đảm bảo rằng người dùng phù hợp có quyền phù hợp.

Lỗi cấu hình bảo mật

Định cấu hình sai bảo mật, hoặc định cấu hình sai bảo mật, là lỗ hổng phổ biến nhất trong danh sách, thường là kết quả của việc sử dụng cấu hình mặc định hoặc thông báo lỗi quá nhiều thông tin. Ví dụ: một ứng dụng có thể hiển thị lỗi mô tả quá nhiều thông tin có thể làm lộ lỗ hổng trong ứng dụng. Điều này có thể được giảm thiểu bằng cách loại bỏ bất kỳ chức năng không sử dụng nào trong mã và đảm bảo rằng các thông báo lỗi có bản chất chung chung hơn.

Tập lệnh trên nhiều trang web

Xem thêm: Quan hệ tình dục an toàn và không an toàn là gì?

Tập lệnh trên nhiều trang web xảy ra khi ứng dụng web cho phép người dùng thêm mã tùy chỉnh vào url hoặc các trang web khác mà người dùng sẽ thấy. Lỗ hổng này có thể được khai thác để chạy mã javascript độc hại trên trình duyệt của nạn nhân. Ví dụ: kẻ tấn công có thể gửi cho nạn nhân một email có vẻ là từ một ngân hàng đáng tin cậy, có chứa liên kết đến trang web của ngân hàng. Tuy nhiên, liên kết này có thể có một số mã javascript độc hại được gắn thẻ ở cuối url. Nếu trang web của ngân hàng không được bảo vệ đúng cách để chống lại kịch bản chéo trang, mã độc sẽ chạy trong trình duyệt web của nạn nhân khi nạn nhân nhấp vào liên kết.

Các chiến lược giảm thiểu tấn công kịch bản trên nhiều trang web bao gồm thoát khỏi các yêu cầu http không đáng tin cậy và xác thực và / hoặc xóa nội dung do người dùng thêm vào. Sử dụng các khung phát triển web hiện đại như reactjs và ruby ​​on rails cũng có thể cung cấp một số biện pháp bảo vệ chống lại các cuộc tấn công tập lệnh xuyên trang.

deserialization không an toàn

Cuộc tấn công này liên quan đến việc tuần tự hóa và giải mã hóa.

• Tuần tự hóa có nghĩa là lấy các đối tượng từ mã ứng dụng và chuyển đổi chúng thành một định dạng có thể được sử dụng cho các mục đích khác, chẳng hạn như lưu trữ dữ liệu vào đĩa hoặc truyền dữ liệu trực tuyến.
• Hủy đăng ký là ngược lại với tuần tự hóa.

Sắp xếp thứ tự giống như xếp mọi thứ vào hộp trước khi chuyển ra ngoài và sắp xếp lại hàng hóa giống như mở hộp và lắp ráp đồ đạc sau khi chuyển ra ngoài. Một cuộc tấn công deserialization giống như xáo trộn nội dung của một chiếc hộp trước khi giải nén khi đang di chuyển.

Sử dụng các thành phần có lỗ hổng đã biết

Ngày nay, nhiều nhà phát triển web sử dụng các thành phần như thư viện và khuôn khổ trong các ứng dụng web của họ. Các thành phần này là phần mềm giúp các nhà phát triển tránh công việc thừa và cung cấp chức năng họ cần; các ví dụ phổ biến bao gồm các khuôn khổ front-end như react và các thư viện nhỏ để thêm các biểu tượng được chia sẻ hoặc các bài kiểm tra a / b. Một số kẻ tấn công tìm kiếm các lỗ hổng trong các thành phần này, sau đó chúng có thể sử dụng để lập kế hoạch tấn công. Một số thành phần phổ biến hơn được sử dụng trên hàng trăm nghìn trang web; những kẻ tấn công tìm thấy lỗ hổng bảo mật trong các thành phần này có thể cho phép hàng trăm nghìn trang web bị khai thác.

Các nhà phát triển của các thành phần này thường cung cấp các bản vá bảo mật và bản cập nhật để bổ sung các lỗ hổng đã biết, nhưng các nhà phát triển ứng dụng web không phải lúc nào cũng có các bản vá lỗi hoặc các bản cập nhật mới nhất. Để giảm nguy cơ chạy các thành phần có lỗ hổng đã biết, các nhà phát triển nên loại bỏ các thành phần không sử dụng khỏi các dự án và đảm bảo chúng có được các thành phần từ các nguồn đáng tin cậy và đảm bảo chúng được cập nhật.

Kiểm tra nhật ký & amp; giám sát không hoạt động

Nhiều ứng dụng web không thực hiện các biện pháp thích hợp để phát hiện vi phạm dữ liệu. Thời gian phát hiện trung bình cho một vi phạm là khoảng 200 ngày sau khi nó xảy ra. Điều này giúp kẻ tấn công có nhiều thời gian để gây sát thương trước khi chúng kịp phản ứng. owasp khuyến nghị các nhà phát triển web thực hiện ghi nhật ký và giám sát cũng như kế hoạch ứng phó sự cố để đảm bảo họ nhận thức được các cuộc tấn công vào ứng dụng của họ.

Xem thêm về 10 cú hích hàng đầu

Tìm hiểu thêm: thử nghiệm thâm nhập tiêu chuẩn owasp

Xem thêm: Ngò rí và 30 công dụng tuyệt vời cho sức khỏe