Ce este OWASP și Top 10 OWASP?
Publicat: 2020-08-07Open Web Application Security Project (OWASP) este o fundație nonprofit care lucrează pentru a îmbunătăți securitatea software-ului. OWASP Top 10 este un document de conștientizare standard pentru dezvoltatori și securitatea aplicațiilor web. Reprezintă un consens larg cu privire la cele mai critice riscuri de securitate pentru aplicațiile web.
Primele 10 riscuri de securitate ale aplicațiilor web OWASP
1. Injecție
O eroare de injecție ar putea permite unui atacator să injecteze cod rău intenționat în baza de date WordPress. Codul atacatorului poate păcăli WordPress sau serverul dvs. pentru a rula comenzi fără autorizarea corespunzătoare. Codul rău intenționat ar putea face orice, de la exportarea unei liste a utilizatorilor site-ului web până la ștergerea tabelelor din baza de date.
Prevenirea
Păstrarea datelor separate de comenzi și interogări poate ajuta la prevenirea vulnerabilităților la injecție.
2. Autentificare defectă
O vulnerabilitate de autentificare întreruptă poate permite unui atacator să compromită un utilizator sau parolele, cheile sau jetoanele de sesiune ale utilizatorului pentru a prelua conturile utilizatorului.
Prevenirea
Vă puteți ajuta să vă protejați site-ul împotriva vulnerabilităților de autentificare întreruptă utilizând autentificarea cu doi factori.
Vă puteți ajuta să vă protejați site-ul împotriva vulnerabilităților de autentificare întreruptă utilizând autentificarea cu doi factori.
3. Expunerea la date sensibile
Aplicațiile și API-urile care nu protejează corect împotriva expunerii sensibile la date ar putea permite unui atacator să aibă acces la numerele cardurilor de credit, dosarele medicale sau alte informații personale private.
Datele pot fi expuse fie atunci când sunt în tranzit, fie când sunt în repaus.
- Un exemplu de date în tranzit este atunci când un număr de card de credit este trimis din browserul clientului dvs. către gateway-ul de plată al site-ului dvs. web.
- Datele aflate în repaus înseamnă că sunt stocate și nu sunt utilizate. Un exemplu de date în repaus este backupul dvs. BackupBuddy stocat într-o locație offsite. Copia de rezervă va rămâne în repaus până va fi necesară.
Prevenirea
Puteți instala un certificat SSL pentru a ajuta la securizarea și criptarea datelor aflate în tranzit și pentru a adăuga criptarea datelor în repaus pentru a preveni expunerea.
4. Entități externe XML (XXE)
Multe procesoare XML mai vechi sau slab configurate evaluează entitatea externă - cum ar fi un hard disk - referințele din documentele XML. Un atacator poate păcăli un analizor XML pentru a transmite informații sensibile unei entități externe aflate sub controlul lor
Prevenirea
Cel mai bun mod de a preveni XXE este de a utiliza formate de date mai puțin complexe, cum ar fi JSON și de a evita serializarea datelor sensibile.
5. Controlul accesului întrerupt
O vulnerabilitate a controlului de acces întrerupt ar permite unui atacator să ocolească autorizația și să efectueze sarcini care ar fi de obicei limitate la utilizatorii cu privilegii mai mari, cum ar fi un administrator.
În contextul WordPress, o vulnerabilitate Broken Access Control ar putea permite unui utilizator cu rol de Abonat să efectueze sarcini la nivel de Administrator, cum ar fi adăugarea / eliminarea pluginurilor și a utilizatorilor.
Prevenirea
iThemes Security Pro vă poate ajuta să vă protejați site-ul împotriva controlului de acces întrerupt, restricționând accesul administratorului la o listă de dispozitive de încredere.
O vulnerabilitate a controlului de acces întrerupt ar permite unui atacator să ocolească autorizația și să efectueze sarcini care ar fi de obicei limitate la utilizatorii cu privilegii mai mari, cum ar fi un administrator.
6. Configurația greșită a securității
Configurarea greșită a securității este cea mai frecventă problemă din listă. Acest tip de vulnerabilitate este de obicei rezultatul configurațiilor implicite nesigure, a mesajelor de eroare prea descriptive și a anteturilor HTTP neconfigurate.
Prevenirea
Problemele de configurare greșită ale securității pot fi atenuate prin eliminarea oricăror caracteristici neutilizate din cod, menținerea tuturor bibliotecilor la zi și generalizarea mesajelor de eroare.
7. Cross-Site Scripting (XSS)
O vulnerabilitate de tip Cross-Site Scripting apare atunci când o aplicație web permite utilizatorilor să adauge cod personalizat în calea URL. Un atacator poate exploata vulnerabilitatea pentru a rula codul rău intenționat în browserul web al victimei, poate crea o redirecționare către un site web rău intenționat sau poate deturna o sesiune de utilizator.
Prevenirea
Funcția Dispozitive de încredere iThemes Security Pro vă poate ajuta să vă protejați împotriva deturnării sesiunii prin verificarea faptului că dispozitivul unui utilizator nu se schimbă în timpul unei sesiuni.
Funcția Dispozitive de încredere iThemes Security Pro vă poate ajuta să vă protejați împotriva deturnării sesiunii prin verificarea faptului că dispozitivul unui utilizator nu se schimbă în timpul unei sesiuni.
8. Deserializarea nesigură
Serializarea convertește obiectele din codul unei aplicații într-un format care poate fi restaurat ulterior, cum ar fi exportarea setărilor iThemes Security Pro într-un fișier JSON.
Deserializarea este inversul acestui proces, luând date structurate într-un anumit format și reconstruind-le înapoi într-un obiect. De exemplu, luând setările iThemes Security Pro pe care le-ați stocat într-un fișier JSON și le importați pe un nou site web.
Defectele nesecurizate de deserializare pot și vor duce adesea la un exploat de la Executarea codului la distanță, care poate duce la atacuri de injecție și escaladare de privilegii.
Prevenirea
Singura modalitate de atenuare împotriva exploatărilor nesecurizate de deserializare nu este acceptarea serializării din surse de încredere.
9. Utilizarea componentelor cu vulnerabilități cunoscute
Este omniprezent pentru dezvoltatori să utilizeze componente precum biblioteci și cadre în aplicațiile lor. Aceasta include dezvoltatorii de pluginuri și teme WordPress. Aceste biblioteci și cadre terțe ar putea introduce găuri de securitate dacă nu sunt actualizate corect.
Prevenirea
Dezvoltatorii pot reduce la minimum riscul utilizării componentelor cu vulnerabilități cunoscute, eliminând codul terț neutilizat și folosind doar componente din surse de încredere.
10. Logare și monitorizare insuficiente
Înregistrarea și monitorizarea insuficiente pot duce la o întârziere în detectarea unei încălcări de securitate. Majoritatea studiilor privind încălcările arată că timpul pentru detectarea unei încălcări este de peste 200 de zile! Această perioadă de timp permite unui atacator să încalce alte sisteme, să modifice, să fure sau să distrugă mai multe date.
Prevenirea
Jurnalele de securitate WordPress iThemes Security Pro monitorizează o multitudine de activități dăunătoare și utilizează informațiile colectate pentru a bloca atacurile și vă avertizează când ceva nu merge bine.
Majoritatea studiilor privind încălcările arată că timpul pentru a detecta o încălcare este de peste 200 de zile!
Adăugați mai multă protecție cu scanarea site-ului iThemes Security Pro
În postările noastre bilunare Vulnerability Roundup, împărtășim toate cele mai recente vulnerabilități de bază, plugin și temă WordPress dezvăluite. Multe dintre pluginurile și temele pe care le acoperim în rezumatele noastre au exploatări care se află în lista de top 10 OWASP.
Vinovatul nr. 1 al site-urilor web piratate reprezintă vulnerabilități pentru care un patch a fost disponibil, dar nu a fost aplicat. Adăugați scanarea site-ului iThemes Security Pro la centura de instrumente de securitate WordPress pentru a vă proteja site-ul web de a fi dezamăgit de o problemă de securitate cunoscută. IThemes Security Pro Site Scanner verifică site-ul dvs. pentru vulnerabilități cunoscute și aplică automat un patch dacă este disponibil.
Fie că tema dvs. folosește componente cu vulnerabilități cunoscute , fie că utilizați un plugin care are o vulnerabilitate cunoscută de scripturi între site-uri , iThemes Security Pro Site Scan vă acoperă.
Fie că tema dvs. folosește componente cu vulnerabilități cunoscute , fie că utilizați un plugin care are o vulnerabilitate cunoscută de scripturi între site-uri , iThemes Security Pro Site Scan vă acoperă.
Încheiere: OWASP Top 10
Lista Top 10 OWASP este o resursă excelentă pentru a răspândi conștientizarea modului de securizare a aplicațiilor dvs. împotriva celor mai frecvente vulnerabilități de securitate. Din păcate, motivul pentru care aceste vulnerabilități fac din top 10 lista este că acestea sunt predominante. Utilizarea unui plugin de securitate WordPress precum iThemes Security Pro vă poate ajuta să vă protejați și să vă protejați site-ul web de multe dintre aceste probleme de securitate obișnuite.
În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.
