Che cos'è OWASP e la Top 10 di OWASP?
Pubblicato: 2020-08-07L'Open Web Application Security Project (OWASP) è una fondazione senza scopo di lucro che lavora per migliorare la sicurezza del software. L'OWASP Top 10 è un documento di sensibilizzazione standard per sviluppatori e sicurezza delle applicazioni web. Rappresenta un ampio consenso sui rischi di sicurezza più critici per le applicazioni web.
I 10 principali rischi per la sicurezza delle applicazioni Web di OWASP
1. Iniezione
Un difetto di iniezione potrebbe consentire a un utente malintenzionato di iniettare codice dannoso nel database di WordPress. Il codice dell'attaccante può indurre WordPress o il tuo server a eseguire comandi senza l'adeguata autorizzazione. Il codice dannoso potrebbe fare qualsiasi cosa, dall'esportazione di un elenco degli utenti del sito Web all'eliminazione di tabelle nel database.
Prevenzione
Mantenere i dati separati da comandi e query può aiutare a prevenire vulnerabilità di injection.
2. Autenticazione interrotta
Una vulnerabilità di autenticazione interrotta può consentire a un utente malintenzionato di compromettere un utente o le password, le chiavi o i token di sessione dell'utente per impossessarsi degli account dell'utente.
Prevenzione
Puoi aiutare a proteggere il tuo sito web dalle vulnerabilità di Broken Authentication utilizzando l'autenticazione a due fattori.
Puoi aiutare a proteggere il tuo sito web dalle vulnerabilità di Broken Authentication utilizzando l'autenticazione a due fattori.
3. Esposizione ai dati sensibili
Le applicazioni e le API che non proteggono correttamente dall'esposizione ai dati sensibili potrebbero consentire a un utente malintenzionato di accedere a numeri di carta di credito, cartelle cliniche o altre informazioni personali private.
I dati possono essere esposti sia quando sono in transito che quando sono a riposo.
- Un esempio di dati in transito è quando un numero di carta di credito viene inviato dal browser del tuo cliente al gateway di pagamento del tuo sito web.
- I dati inattivi significano che sono stati archiviati e non vengono utilizzati. Un esempio di dati a riposo è il backup di BackupBuddy archiviato in una posizione fuori sede. Il backup rimarrà inattivo finché non sarà necessario.
Prevenzione
Puoi installare un certificato SSL per proteggere e crittografare i dati in transito e aggiungere la crittografia ai dati inattivi per prevenire l'esposizione.
4. Entità esterne XML (XXE)
Molti processori XML meno recenti o mal configurati valutano i riferimenti a entità esterne, come un disco rigido, all'interno di documenti XML. Un utente malintenzionato può indurre un parser XML a passare informazioni sensibili a un'entità esterna sotto il suo controllo
Prevenzione
Il modo migliore per prevenire XXE è utilizzare formati di dati meno complessi come JSON ed evitare la serializzazione di dati sensibili.
5. Controllo degli accessi interrotto
Una vulnerabilità di Broken Access Control consentirebbe a un utente malintenzionato di ignorare l'autorizzazione ed eseguire attività che in genere sarebbero limitate agli utenti con privilegi più elevati come un amministratore.
Nel contesto di WordPress, una vulnerabilità di Broken Access Control potrebbe consentire a un utente con il ruolo di Abbonato di eseguire attività a livello di amministratore come l'aggiunta/rimozione di plug-in e utenti.
Prevenzione
iThemes Security Pro può aiutare a proteggere il tuo sito web da Broken Access Control limitando l'accesso dell'amministratore a un elenco di dispositivi attendibili.
Una vulnerabilità di Broken Access Control consentirebbe a un utente malintenzionato di ignorare l'autorizzazione ed eseguire attività che in genere sarebbero limitate agli utenti con privilegi più elevati come un amministratore.
6. Configurazione errata della sicurezza
L'errata configurazione della sicurezza è il problema più comune nell'elenco. Questo tipo di vulnerabilità è in genere il risultato di configurazioni predefinite non sicure, messaggi di errore eccessivamente descrittivi e intestazioni HTTP mal configurate.
Prevenzione
I problemi di configurazione errata della sicurezza possono essere mitigati rimuovendo tutte le funzionalità inutilizzate nel codice, mantenendo aggiornate tutte le librerie e rendendo i messaggi di errore più generali.
7. Scripting tra siti (XSS)
Una vulnerabilità di Cross-Site Scripting si verifica quando un'applicazione Web consente agli utenti di aggiungere codice personalizzato nel percorso dell'URL. Un utente malintenzionato può sfruttare la vulnerabilità per eseguire codice dannoso nel browser Web della vittima, creare un reindirizzamento a un sito Web dannoso o dirottare una sessione utente.
Prevenzione
La funzione Dispositivi attendibili di iThemes Security Pro può aiutare a proteggere dal dirottamento della sessione controllando che il dispositivo di un utente non cambi durante una sessione.
La funzione Dispositivi attendibili di iThemes Security Pro può aiutare a proteggere dal dirottamento della sessione controllando che il dispositivo di un utente non cambi durante una sessione.
8. Deserializzazione insicura
La serializzazione converte gli oggetti dal codice di un'applicazione in un formato che può essere ripristinato in seguito, ad esempio esportando le impostazioni di iThemes Security Pro in un file JSON.
La deserializzazione è l'inverso di quel processo, prendendo i dati strutturati in qualche formato e ricostruendoli in un oggetto. Ad esempio, prendendo le impostazioni di iThemes Security Pro che hai memorizzato in un file JSON e importandole su un nuovo sito web.
I difetti di deserializzazione non sicuri possono e spesso porteranno a un exploit di esecuzione di codice remoto, che può comportare attacchi di iniezione e escalation dei privilegi.
Prevenzione
L'unico modo per mitigare gli exploit di deserializzazione non sicura è non accettare la serializzazione da fonti non attendibili.
9. Utilizzo di componenti con vulnerabilità note
È onnipresente per gli sviluppatori utilizzare componenti come librerie e framework nelle loro applicazioni. Ciò include il plugin WordPress e gli sviluppatori di temi. Queste librerie e framework di terze parti potrebbero introdurre falle di sicurezza se non vengono aggiornate correttamente.
Prevenzione
Gli sviluppatori possono ridurre al minimo il rischio di utilizzare componenti con vulnerabilità note rimuovendo il codice di terze parti inutilizzato e utilizzando solo componenti provenienti da fonti attendibili.
10. Registrazione e monitoraggio insufficienti
La registrazione e il monitoraggio insufficienti possono portare a un ritardo nel rilevamento di una violazione della sicurezza. La maggior parte degli studi sulle violazioni mostra che il tempo per rilevare una violazione è di oltre 200 giorni! Tale lasso di tempo consente a un utente malintenzionato di violare altri sistemi, modificare, rubare o distruggere più dati.
Prevenzione
I registri di sicurezza di iThemes Security Pro WordPress monitorano una moltitudine di attività dannose e utilizzano le informazioni raccolte per bloccare gli attacchi e avvisarti quando qualcosa va storto.
La maggior parte degli studi sulle violazioni mostra che il tempo per rilevare una violazione è di oltre 200 giorni!
Aggiungi più protezione con iThemes Security Pro Site Scan
Nei nostri post bimestrali sulla raccolta delle vulnerabilità, condividiamo tutte le ultime vulnerabilità dei temi, dei plugin e dei core di WordPress rivelate. Molti dei plugin e dei temi che trattiamo nelle nostre raccolte hanno exploit che si trovano nella top 10 di OWASP.
Il colpevole numero 1 dei siti Web compromessi sono le vulnerabilità per le quali una patch era disponibile ma non applicata. Aggiungi iThemes Security Pro Site Scan alla tua cintura degli strumenti di sicurezza di WordPress per proteggere il tuo sito Web da un problema di sicurezza noto. IThemes Security Pro Site Scanner controlla il tuo sito per le vulnerabilità note e applica automaticamente una patch, se disponibile.
Sia che il tuo tema utilizzi componenti con vulnerabilità note o che tu stia utilizzando un plug-in con una vulnerabilità nota di Cross-Site Scripting , iThemes Security Pro Site Scan ti copre.
Sia che il tuo tema utilizzi componenti con vulnerabilità note o che tu stia utilizzando un plug-in con una vulnerabilità nota di Cross-Site Scripting , iThemes Security Pro Site Scan ti copre.
Conclusione: OWASP Top 10
L'elenco OWASP Top 10 è una grande risorsa per diffondere la consapevolezza su come proteggere le tue applicazioni dalle vulnerabilità di sicurezza più comuni. Sfortunatamente, il motivo per cui queste vulnerabilità fanno parte della top 10 è che sono prevalenti. L'utilizzo di un plug-in di sicurezza di WordPress come iThemes Security Pro può aiutare a proteggere e proteggere il tuo sito Web da molti di questi problemi di sicurezza comuni.
Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.
