Что такое OWASP и топ-10 OWASP?

Open Web Application Security Project (OWASP) - это некоммерческий фонд, который работает над повышением безопасности программного обеспечения. OWASP Top 10 - это стандартный информационный документ для разработчиков и безопасности веб-приложений. Он представляет собой широкий консенсус в отношении наиболее серьезных угроз безопасности веб-приложений.

10 основных рисков безопасности веб-приложений OWASP

1. Инъекция

Injection ошибка может позволить злоумышленнику внедрить вредоносный код в вашу базу данных WordPress. Код злоумышленника может обманом заставить WordPress или ваш сервер выполнять команды без надлежащей авторизации. Вредоносный код может делать что угодно - от экспорта списка пользователей веб-сайта до удаления таблиц в вашей базе данных.

Профилактика

Хранение данных отдельно от команд и запросов может помочь предотвратить уязвимости, связанные с инъекциями.

2. Сломанная аутентификация

Уязвимость Broken Authentication может позволить злоумышленнику скомпрометировать пользователя или его пароли, ключи или токены сеанса, чтобы захватить учетные записи пользователя.

Профилактика

Вы можете защитить свой веб-сайт от уязвимостей сломанной аутентификации, используя двухфакторную аутентификацию.

3. Раскрытие конфиденциальных данных

Приложения и API-интерфейсы, которые неправильно защищают от раскрытия конфиденциальных данных, могут позволить злоумышленнику получить доступ к номерам кредитных карт, медицинским записям или другой частной личной информации.

Данные могут быть подвержены либо , когда он находится в пути или когда он находится в состоянии покоя.

• Примером данных в пути, когда номер кредитной карты отправляется через браузер вашего клиента на платежный шлюз вашего сайта.
• Данные, которые находятся в состоянии покоя, означают, что они сохранены и не используются. Примером данных в состоянии покоя является ваша резервная копия BackupBuddy, хранящаяся вне офиса. Резервная копия будет оставаться в покое до тех пор, пока она не понадобится.

Профилактика

Вы можете установить сертификат SSL, чтобы защитить и зашифровать передаваемые данные, а также добавить шифрование к неактивным данным, чтобы предотвратить раскрытие.

4. Внешние объекты XML (XXE)

Многие старые или плохо сконфигурированные процессоры XML оценивают ссылки на внешние объекты, такие как жесткий диск, в документах XML. Злоумышленник может обманом заставить анализатор XML передать конфиденциальную информацию внешнему объекту, находящемуся под его контролем.

Профилактика

Лучший способ предотвратить появление XXE - использовать менее сложные форматы данных, такие как JSON, и избегать сериализации конфиденциальных данных.

5. Нарушенный контроль доступа

Уязвимость Broken Access Control позволит злоумышленнику обойти авторизацию и выполнить задачи, которые обычно доступны только пользователям с более высокими привилегиями, например администратору.

В контексте WordPress уязвимость Broken Access Control может позволить пользователю с ролью подписчика выполнять задачи уровня администратора, такие как добавление / удаление подключаемых модулей и пользователей.

Профилактика

iThemes Security Pro может помочь защитить ваш сайт от нарушения контроля доступа, ограничив доступ администратора к списку доверенных устройств.

6. Неверная конфигурация безопасности

Неверная конфигурация безопасности - самая частая проблема в списке. Этот тип уязвимости обычно является результатом небезопасных конфигураций по умолчанию, излишне описательных сообщений об ошибках и неправильно настроенных заголовков HTTP.

Профилактика

Проблемы неправильной конфигурации безопасности можно уменьшить, удалив все неиспользуемые функции в коде, поддерживая все библиотеки в актуальном состоянии и делая сообщения об ошибках более общими.

7. Межсайтовый скриптинг (XSS)

Уязвимость межсайтового скриптинга возникает, когда веб-приложение позволяет пользователям добавлять собственный код в путь URL-адреса. Злоумышленник может использовать уязвимость, чтобы запустить вредоносный код в веб-браузере жертвы, создать перенаправление на вредоносный веб-сайт или захватить сеанс пользователя.

Профилактика

Функция надежных устройств iThemes Security Pro может помочь защитить от перехвата сеанса, проверяя, что устройство пользователя не изменяется во время сеанса.

8. Небезопасная десериализация

Сериализация преобразует объекты из кода приложения в формат, который можно восстановить позже, например при экспорте настроек iThemes Security Pro в файл JSON.

Десериализация - это процесс, обратный этому процессу, когда данные структурированы в определенном формате и перестраиваются обратно в объект. Например, взять настройки iThemes Security Pro, которые вы сохранили в файле JSON, и импортировать их на новый веб-сайт.

Недостатки небезопасной десериализации могут и часто приводят к эксплойту удаленного выполнения кода, что может привести к атакам с использованием инъекций и повышения привилегий.

Профилактика

Единственный способ предотвратить использование уязвимостей небезопасной десериализации - не принимать сериализацию из ненадежных источников.

9. Использование компонентов с известными уязвимостями

Разработчики повсеместно используют в своих приложениях такие компоненты, как библиотеки и фреймворки. Сюда входят разработчики плагинов и тем WordPress. Эти сторонние библиотеки и фреймворки могут создать дыры в безопасности, если они не будут обновлены должным образом.

Профилактика

Разработчики могут минимизировать риск использования компонентов с известными уязвимостями , удалив неиспользуемый сторонний код и используя только компоненты из надежных источников.

10. Недостаточное ведение журнала и мониторинг

Недостаточное ведение журнала и мониторинг могут привести к задержке обнаружения нарушения безопасности. Большинство исследований показывают, что время обнаружения нарушения составляет более 200 дней! Это время позволяет злоумышленнику взломать другие системы, изменить, украсть или уничтожить больше данных.

Профилактика

Журналы безопасности WordPress iThemes Security Pro отслеживают множество вредоносных действий и используют собранную информацию для блокировки атак и предупреждают вас, когда что-то идет не так.

Добавьте дополнительную защиту с помощью сканирования сайта iThemes Security Pro

В наших публикациях, публикуемых два раза в месяц, мы рассказываем обо всех последних обнаруженных уязвимостях ядра, плагинов и тем WordPress. Многие плагины и темы, которые мы рассматриваем в наших обзорах, содержат эксплойты, которые входят в топ-10 списка OWASP.

Виновником №1 взлома веб-сайтов являются уязвимости, для которых был доступен патч, но они не были применены. Добавьте сканирование сайта iThemes Security Pro в свой набор инструментов безопасности WordPress, чтобы защитить свой сайт от сбоя из-за известной проблемы безопасности. Сканер сайта iThemes Security Pro проверяет ваш сайт на наличие известных уязвимостей и автоматически применяет исправление, если оно доступно.

Независимо от того, использует ли ваша тема компоненты с известными уязвимостями или плагин с известной уязвимостью межсайтового скриптинга , iThemes Security Pro Site Scan поможет вам.

Подведение итогов: OWASP Top 10

Список OWASP Top 10 - отличный ресурс для распространения информации о том, как защитить свои приложения от наиболее распространенных уязвимостей. К сожалению, причина, по которой эти уязвимости попали в первую десятку списка, заключается в их распространенности. Использование плагина безопасности WordPress, такого как iThemes Security Pro, может помочь защитить ваш сайт от многих из этих распространенных проблем безопасности.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.