O que é OWASP e o OWASP Top 10?

O Open Web Application Security Project (OWASP) é uma fundação sem fins lucrativos que trabalha para melhorar a segurança do software. O OWASP Top 10 é um documento padrão de conscientização para desenvolvedores e segurança de aplicativos da web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para os aplicativos da web.

Os 10 principais riscos de segurança de aplicativos da Web da OWASP

1. Injeção

Uma falha de injeção pode permitir que um invasor injete um código malicioso em seu banco de dados do WordPress. O código do invasor pode enganar o WordPress ou seu servidor para executar comandos sem a autorização adequada. O código malicioso pode fazer qualquer coisa, desde exportar uma lista de usuários do site até excluir tabelas em seu banco de dados.

Prevenção

Manter os dados separados dos comandos e consultas pode ajudar a prevenir vulnerabilidades de injeção.

2. Autenticação quebrada

Uma vulnerabilidade de autenticação interrompida pode permitir que um invasor comprometa um usuário ou as senhas, chaves ou tokens de sessão de um usuário para assumir o controle das contas do usuário.

Prevenção

Você pode ajudar a proteger seu site contra vulnerabilidades de autenticação quebrada usando a autenticação de dois fatores.

3. Exposição de dados sensíveis

Aplicativos e APIs que não protegem corretamente contra a exposição de dados confidenciais podem permitir que um invasor obtenha acesso a números de cartão de crédito, registros de saúde ou outras informações pessoais privadas.

Os dados podem ser expostos quando estão em trânsito ou quando estão em repouso.

• Um exemplo de dados em trânsito é quando um número de cartão de crédito é enviado do navegador do cliente para o gateway de pagamento do seu site.
• Dados em repouso significam que estão armazenados e não estão sendo usados. Um exemplo de dados em repouso é o backup do BackupBuddy armazenado em um local externo. O backup permanecerá em repouso até que seja necessário.

Prevenção

Você pode instalar um certificado SSL para ajudar a proteger e criptografar os dados em trânsito e adicionar criptografia aos dados em repouso para ajudar a evitar a exposição.

4. Entidades externas XML (XXE)

Muitos processadores XML mais antigos ou mal configurados avaliam referências a entidades externas - como um disco rígido - em documentos XML. Um invasor pode enganar um analisador XML para passar informações confidenciais para uma entidade externa sob seu controle

Prevenção

A melhor maneira de evitar o XXE é usar formatos de dados menos complexos, como JSON, e evitar a serialização de dados confidenciais.

5. Controle de acesso quebrado

Uma vulnerabilidade de controle de acesso quebrado permitiria a um invasor ignorar a autorização e executar tarefas que normalmente seriam restritas a usuários com privilégios mais altos, como um administrador.

No contexto do WordPress, uma vulnerabilidade de controle de acesso interrompido pode permitir que um usuário com a função de assinante execute tarefas de nível de administrador, como adicionar / remover plug-ins e usuários.

Prevenção

O iThemes Security Pro pode ajudar a proteger seu site contra o controle de acesso quebrado, restringindo o acesso do administrador a uma lista de dispositivos confiáveis.

6. Configuração incorreta de segurança

A configuração incorreta de segurança é o problema mais comum da lista. Esse tipo de vulnerabilidade é normalmente o resultado de configurações padrão inseguras, mensagens de erro excessivamente descritivas e cabeçalhos HTTP configurados incorretamente.

Prevenção

Problemas de configuração incorreta de segurança podem ser atenuados removendo quaisquer recursos não utilizados no código, mantendo todas as bibliotecas atualizadas e tornando as mensagens de erro mais gerais.

7. Cross-Site Scripting (XSS)

Uma vulnerabilidade de Cross-Site Scripting ocorre quando um aplicativo da web permite que os usuários adicionem código personalizado no caminho da URL. Um invasor pode explorar a vulnerabilidade para executar código malicioso no navegador da vítima, criar um redirecionamento para um site malicioso ou sequestrar uma sessão de usuário.

Prevenção

O recurso Dispositivos confiáveis ​​iThemes Security Pro pode ajudar a proteger contra sequestro de sessão, verificando se o dispositivo de um usuário não muda durante uma sessão.

8. Desserialização insegura

A serialização converte objetos do código de um aplicativo em um formato que pode ser restaurado posteriormente, como exportar suas configurações do iThemes Security Pro para um arquivo JSON.

A desserialização é o reverso desse processo, pegando dados estruturados em algum formato e reconstruindo-os em um objeto. Por exemplo, pegar as configurações do iThemes Security Pro armazenadas em um arquivo JSON e importá-las para um novo site.

As falhas de desserialização insegura podem e geralmente levam a uma exploração de execução remota de código, que pode resultar em ataques de injeção e escalonamento de privilégios.

Prevenção

A única maneira de reduzir os exploits de desserialização insegura é não aceitar a serialização de fontes não confiáveis.

9. Usando componentes com vulnerabilidades conhecidas

É onipresente para os desenvolvedores usar componentes como bibliotecas e estruturas em seus aplicativos. Isso inclui o plugin do WordPress e desenvolvedores de temas. Essas bibliotecas e estruturas de terceiros podem apresentar falhas de segurança se não forem atualizadas adequadamente.

Prevenção

Os desenvolvedores podem minimizar o risco de usar componentes com vulnerabilidades conhecidas removendo código de terceiros não usado e usando apenas componentes de fontes confiáveis.

10. Registro e monitoramento insuficientes

O registro e o monitoramento insuficientes podem levar a um atraso na detecção de uma violação de segurança. A maioria dos estudos de violação mostra que o tempo para detectar uma violação é de mais de 200 dias! Esse período de tempo permite que um invasor viole outros sistemas, modifique, roube ou destrua mais dados.

Prevenção

O iThemes Security Pro WordPress Security Logs monitora uma infinidade de atividades maliciosas e usa as informações coletadas para bloquear ataques e alertá-lo quando algo der errado.

Adicione mais proteção com o iThemes Security Pro Site Scan

Em nossas postagens bimestrais do Resumo de Vulnerabilidades, compartilhamos todas as vulnerabilidades de núcleo, plug-in e tema mais recentes divulgadas do WordPress. Muitos dos plug-ins e temas que cobrimos em nossos roundups têm exploits que estão na lista dos 10 principais do OWASP.

O principal culpado de sites hackeados são vulnerabilidades para as quais um patch estava disponível, mas não foi aplicado. Adicione o iThemes Security Pro Site Scan ao seu conjunto de ferramentas de segurança do WordPress para proteger o seu site de ser derrubado por um problema de segurança conhecido. O iThemes Security Pro Site Scanner verifica se há vulnerabilidades conhecidas em seu site e aplica automaticamente um patch, se houver um disponível.

Se o seu tema está usando componentes com vulnerabilidades conhecidas , ou você está usando um plugin que tem uma vulnerabilidade conhecida de Cross-Site Scripting , o iThemes Security Pro Site Scan ajuda você.

Resumindo: OWASP Top 10

A lista OWASP Top 10 é um ótimo recurso para divulgar como proteger seus aplicativos contra as vulnerabilidades de segurança mais comuns. Infelizmente, o motivo pelo qual essas vulnerabilidades estão na lista das 10 principais é que elas são predominantes. Usar um plugin de segurança do WordPress como o iThemes Security Pro pode ajudar a proteger e proteger o seu site de muitos desses problemas de segurança comuns.

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.