Co to jest OWASP i OWASP Top 10?

Open Web Application Security Project (OWASP) to fundacja non-profit, która działa na rzecz poprawy bezpieczeństwa oprogramowania. OWASP Top 10 to standardowy dokument uświadamiający dla programistów i bezpieczeństwa aplikacji internetowych. Reprezentuje szeroki konsensus co do najważniejszych zagrożeń bezpieczeństwa aplikacji internetowych.

10 największych zagrożeń bezpieczeństwa aplikacji internetowych OWASP

1. Wtrysk

Luka wstrzykiwania może umożliwić atakującemu wstrzyknięcie złośliwego kodu do Twojej bazy danych WordPress. Kod atakującego może nakłonić WordPressa lub Twój serwer do uruchamiania poleceń bez odpowiedniej autoryzacji. Złośliwy kod może zrobić wszystko, od wyeksportowania listy użytkowników witryny po usuwanie tabel z Twojej bazy danych.

Zapobieganie

Oddzielanie danych od poleceń i zapytań może pomóc w zapobieganiu wstrzykiwaniu luk.

2. Zepsute uwierzytelnianie

Luka w zabezpieczeniach Broken Authentication może umożliwić atakującemu złamanie haseł, kluczy lub tokenów sesji użytkownika lub użytkownika w celu przejęcia kont użytkownika.

Zapobieganie

Możesz pomóc chronić swoją witrynę przed lukami w zabezpieczeniach uszkodzonego uwierzytelniania, korzystając z uwierzytelniania dwuskładnikowego.

3. Narażenie na wrażliwe dane

Aplikacje i interfejsy API, które nie chronią prawidłowo przed narażeniem na wrażliwe dane, mogą umożliwić osobie atakującej uzyskanie dostępu do numerów kart kredytowych, dokumentacji medycznej lub innych prywatnych danych osobowych.

Dane mogą zostać ujawnione w trakcie przesyłania lub w spoczynku.

• Przykładem danych w tranzycie jest, gdy numer karty kredytowej zostanie wysłany od przeglądarce klienta do bramki płatności witryny.
• Dane, które są w spoczynku, oznaczają, że są przechowywane i nie są używane. Przykładem danych w spoczynku jest kopia zapasowa BackupBuddy przechowywana w lokalizacji poza siedzibą firmy. Kopia zapasowa pozostanie w stanie spoczynku, dopóki nie będzie potrzebna.

Zapobieganie

Możesz zainstalować certyfikat SSL, aby zabezpieczyć i zaszyfrować przesyłane dane, a także dodać szyfrowanie do danych w spoczynku, aby zapobiec ich ujawnieniu.

4. Jednostki zewnętrzne XML (XXE)

Wiele starszych lub źle skonfigurowanych procesorów XML ocenia odniesienia do zewnętrznych obiektów, takich jak dysk twardy, w dokumentach XML. Atakujący może nakłonić parser XML do przekazania poufnych informacji podmiotowi zewnętrznemu znajdującemu się pod jego kontrolą

Zapobieganie

Najlepszym sposobem zapobiegania XXE jest używanie mniej złożonych formatów danych, takich jak JSON, i unikanie serializacji poufnych danych.

5. Uszkodzona kontrola dostępu

Luka w zabezpieczeniach Broken Access Control umożliwiłaby atakującemu ominięcie autoryzacji i wykonanie zadań, które zazwyczaj byłyby ograniczone do użytkowników o wyższych uprawnieniach, takich jak administrator.

W kontekście WordPressa, luka w zabezpieczeniach Broken Access Control może umożliwić użytkownikowi pełniącemu rolę subskrybenta wykonywanie zadań na poziomie administratora, takich jak dodawanie/usuwanie wtyczek i użytkowników.

Zapobieganie

iThemes Security Pro może pomóc chronić Twoją witrynę przed uszkodzoną kontrolą dostępu, ograniczając dostęp administratora do listy zaufanych urządzeń.

6. Błędna konfiguracja zabezpieczeń

Błędna konfiguracja zabezpieczeń to najczęstszy problem na liście. Ten typ luki jest zwykle wynikiem niezabezpieczonych konfiguracji domyślnych, nadmiernie opisowych komunikatów o błędach i błędnie skonfigurowanych nagłówków HTTP.

Zapobieganie

Problemy z błędną konfiguracją zabezpieczeń można złagodzić, usuwając wszelkie nieużywane funkcje w kodzie, aktualizując wszystkie biblioteki i uogólniając komunikaty o błędach.

7. Cross-Site Scripting (XSS)

Luka w zabezpieczeniach Cross-Site Scripting występuje, gdy aplikacja internetowa umożliwia użytkownikom dodawanie niestandardowego kodu w ścieżce adresu URL. Atakujący może wykorzystać tę lukę, aby uruchomić złośliwy kod w przeglądarce ofiary, utworzyć przekierowanie do złośliwej witryny lub przejąć sesję użytkownika.

Zapobieganie

Funkcja iThemes Security Pro Trusted Devices może pomóc w ochronie przed przejęciem sesji, sprawdzając, czy urządzenie użytkownika nie zmienia się podczas sesji.

8. Niebezpieczna deserializacja

Serializacja konwertuje obiekty z kodu aplikacji do formatu, który można później przywrócić, na przykład eksportując ustawienia iThemes Security Pro do pliku JSON.

Deserializacja jest odwrotnością tego procesu, polegającą na przyjmowaniu danych ustrukturyzowanych w pewnym formacie i przebudowywaniu ich z powrotem na obiekt. Na przykład pobranie ustawień iThemes Security Pro zapisanych w pliku JSON i zaimportowanie ich do nowej witryny internetowej.

Błędy niezabezpieczonej deserializacji mogą i często prowadzą do exploita zdalnego wykonania kodu, który może skutkować atakami typu „wstrzyknięcie” i eskalacją uprawnień.

Zapobieganie

Jedynym sposobem na ograniczenie zagrożeń związanych z niezabezpieczoną deserializacją jest nieakceptowanie serializacji z niezaufanych źródeł.

9. Używanie komponentów ze znanymi podatnościami

Programiści często używają w swoich aplikacjach komponentów, takich jak biblioteki i frameworki. Obejmuje to twórców wtyczek i motywów WordPress. Te biblioteki i frameworki innych firm mogą wprowadzić luki w zabezpieczeniach, jeśli nie zostaną odpowiednio zaktualizowane.

Zapobieganie

Deweloperzy mogą zminimalizować ryzyko używania komponentów ze znanymi lukami , usuwając nieużywany kod stron trzecich i używając tylko komponentów z zaufanych źródeł.

10. Niewystarczające rejestrowanie i monitorowanie

Niewystarczające rejestrowanie i monitorowanie może prowadzić do opóźnienia w wykryciu naruszenia bezpieczeństwa. Większość badań nad naruszeniami pokazuje, że czas na wykrycie naruszenia wynosi ponad 200 dni! Taka ilość czasu pozwala atakującemu na włamanie się do innych systemów, modyfikację, kradzież lub zniszczenie większej ilości danych.

Zapobieganie

Dzienniki bezpieczeństwa iThemes Security Pro WordPress monitorują wiele złośliwych działań i wykorzystują zebrane informacje do blokowania ataków i ostrzegania, gdy coś pójdzie nie tak.

Dodaj więcej ochrony dzięki skanowaniu witryny iThemes Security Pro

W naszych dwumiesięcznych postach dotyczących luk w zabezpieczeniach udostępniamy wszystkie najnowsze ujawnione luki w zabezpieczeniach rdzenia WordPressa, wtyczek i motywów. Wiele wtyczek i motywów, które omawiamy w naszych podsumowaniach, zawiera exploity, które znajdują się na liście 10 najlepszych OWASP.

Najważniejszym winowajcą zhakowanych stron internetowych są luki w zabezpieczeniach, dla których dostępna była łata, ale nie została zastosowana. Dodaj iThemes Security Pro Site Scan do paska narzędzi bezpieczeństwa WordPress, aby chronić swoją witrynę przed usunięciem przez znany problem z zabezpieczeniami. Skaner witryn iThemes Security Pro sprawdza Twoją witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie stosuje łatkę, jeśli jest dostępna.

Niezależnie od tego, czy Twój motyw używa komponentów ze znanymi lukami , czy używasz wtyczki, która ma znaną lukę Cross-Site Scripting , iThemes Security Pro Site Scan Cię obejmuje.

Podsumowanie: OWASP Top 10

Lista OWASP Top 10 jest doskonałym źródłem informacji o tym, jak zabezpieczyć swoje aplikacje przed najczęstszymi lukami w zabezpieczeniach. Niestety, powodem, dla którego te luki znajdują się w pierwszej dziesiątce, jest to, że są one powszechne. Korzystanie z wtyczki zabezpieczającej WordPress, takiej jak iThemes Security Pro, może pomóc w zabezpieczeniu i ochronie Twojej witryny przed wieloma z tych typowych problemów z bezpieczeństwem.

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.