У цій статті ми розглянемо що таке OWASP і що таке рейтинг Топ-10 вразливих місць.
Спочатку давайте дізнаємось що таке OWASP.
Що таке OWASP? ТОП 10 вразливостей
Що таке OWASP? ТОП 10 вразливостей
Open Web Application Security Project (OWASP) – це не комерційний фонд, який працює над підвищеннями рівня безпеки програмного забезпечення.
Цей фонд був заснований у 2001 році, а в 2004 році він став некомерційною благодійною організацією США. Основною задачею фонду є покращення безпеки програмного забезпечення, у цьому йому допомагають відкриті спільноти розробників, технологів, і просто ентузіастів по всьому світу. У склад фонду входить більш ніж 275 відділень по всьому світу та десятки тисяч учасників. Кожного року проводяться поглиблюючі освітні та навчальні конференції.Найголовніше, що всі проєкти, інструменти, документи, та конференції є абсолютно безкоштовними і відкритими для всіх, хто зацікавлений у підвищенні безпеки додатків.
Декілька проєктів над якими працює OWASP
OWASP Security Knowledge Framework (SKF) – це база знань по безпеці з відкритим кодом. Вона включає в себе керовані проєкти з контрольними списками і приклади передового коду на декількох мовах програмування, що показують, як запобігти хакерському доступу і запуску експлойтів у вашому додатку.
OWASP Mobile Security Testing Guide (MSTG) – це комплексне керівництво з тестування безпеки мобільних додатків і зворотного проєктування для тестувальників безпеки мобільних пристроїв на iOS і Android.
OWASP Web Security Testing Guide (WSTG) – це комплексне керівництво по тестуванню захищеності веб-додатків та веб-сервісів. Створене спільними зусиллями професіоналів в області кібербезпеки і відданих своїй справі добровольців, керівництво WSTG являє собою основу передової практики, використовуваної фахівцями з тестування на проникнення і організаціями по всьому світу.
OWASP Zed Attack Proxy (ZAP) – є одним з найбільш популярних безкоштовних інструментів в світі, який тестує безпеку. Також він активно підтримується спеціалізованою міжнародною командою.
OWASP Top Ten – це інформаційний документ для розробників і тестувальників з безпеки додатків. Він являє собою великий документ з описом та рішеннями найсерйозніших загроз для безпеки веб-додатків.
На даний момент найактуальнішим документом є «OWASP Top 10 2017». Top 10 2017 був заснований, в основному, на матеріалах, наданих компаніями, які спеціалізуються на безпеці додатків, і на дослідженні більш ніж 500 незалежних галузевих опитувань. Ці дані охоплюють уразливі місця, отримані від сотень різних організацій і більше 100 000 реальних додатків та API. В основі списку Top 10 лежать дані про поширеність, простоті експлуатації, а також про складність виявлення вразливостей і про можливості заподіяння шкоди.
Основна мета OWASP Top 10 – ознайомити розробників, дизайнерів, архітекторів, менеджерів та організації з наслідками найпоширеніших і найважливіших недоліків безпеки веб-додатків.
Незважаючи на те, що основною метою проєкту Top 10 OWASP було те, щоб привернути увагу розробників і менеджерів до проблем, які присутні в безпеці, проєкт де-факто став стандартом безпеки додатків.
Типи вразливостей
A1:2017 – Введення (ін'єкції).
Ризики,які пов'язані з введенням SQL, NoSQL, OS та LDAP, виникають при відправці команд інтерпретатору, які можуть нашкодити. Ці дані обманом примушують інтерпретатор виконувати не передбачені команди або без належної авторизації звертатись до даних.
A2:2017 – Недоліки функції аутентифікації.
Функції додатків, які сполучаються з керуванням сесіями та аутентифікацією, часто можуть бути реалізовані з помилками, що може дати можливість зловмисникам скомпрометувати паролі, ключі або токени сеансу. Також використовувати допущені помилки для присвоєння (тимчасових або постійних) облікових параметрів користувачів.
A3:2017 – Розголошення конфіденційних даних.
У деяких веб-додатків і API погано захищені критичні дані, наприклад, фінансові, медичні або персональні. В такому випадку у зловмисників є можливість вкрасти або змінити ці дані для того, щоб зробити з ними шахрайські дії (з кредитними картами або персональними даними). До конфіденційних даних необхідно застосовувати додатковий захист, наприклад, шифрування при зберіганні або передачі, а також спеціальні запобіжні заходи при обміні даними з браузером.
A4:2017 – Зовнішні сутності XML (XXE).
Посилання на зовнішні сутності в документах XML обробляються старими або погано налаштованими процесорами XML. Дані сутності можуть використовувати для розкриття внутрішніх файлів за допомогою процесора URI файлів і доступу до загальних папок, а також для сканування портів, віддаленого виконання коду і атак типу відмов в обслуговуванні.
A5:2017 – Недоліки контролю доступу.
Найчастіше дії, які дозволені аутентифікованим користувачам, не дотримуються належним чином. Цими недоліками і користуються зловмисники, які зможуть отримати доступ до облікових записів інших користувачів або їх конфіденційної інформації, в результаті цього користувацькі дані або права доступу можуть бути змінені.
A6:2017 – Некоректне налаштування параметрів безпеки.
Це одна з найпоширеніших помилок, яка є результатом небезпечних або неповних конфігурацій за замовчуванням, відкритого хмарного сховища, некоректних HTTP-заголовків і докладних повідомлень про помилки. У них може міститися конфіденційна інформація. Всі ОС, фреймворки, бібліотеки та додатки потрібно не тільки надійно налаштовувати, але також і своєчасно оновлювати та коригувати.
A7:2017 – Міжсайтове виконання сценаріїв (XSS).
XSS-атаки часто виникають при додаванні даних на нову сторінку без належної перевірки чи перетворення, або коли, використовуючи надані вами дані, оновлює відкриту веб-сторінку через API браузера, який може створювати HTML або JavaScript. XSS дозволяє зловмисникам виконувати сценарії в браузері жертви, які дозволяють їм перехоплювати сесії користувачів, підміняти сторінки сайту і перенаправляти користувача на шкідливі сайти.
A8:2017 – Небезпечна десеріалізація.
Небезпечна десеріалізація часто призводить до віддаленого виконання коду. Помилки десеріалізації,які не призводять до віддаленого виконання коду можуть використовуватися для виконання атаки з повторенням, атаки з інєкціями і атаки з підвищенням привілеїв.
A9:2017 – Використання компонентів з відомими вразливостями.
Бібліотеки, фреймворки і програмні модулі, працюють з тими ж привілеями, що і додаток. Експлуатація уразливого компоненту сприяє серйозній втраті даних або захоплення контролю над сервером. Використання додатків і API компонентів з відомими вразливостями ставить під загрозу захист додатків і робить можливими різні атаки і впливи.
A10:2017 – Недоліки журналізування та моніторингу.
Недоліки журналізування та моніторингу, а також відсутність або неефективне використання системи реагування на інциденти, завдяки всьому цьому зловмисники можуть ламати системи, приховуючи свою присутність і проникати в інші системи, а також втручатися, витягувати або знищувати дані. Дуже багато досліджень показують, що час на виявлення порушення становить понад 200 днів і зазвичай ці порушення виявляються зовнішніми сторонами, а не внутрішніми процесами або моніторингом.
У самому документі можна знайти базові методи захисту від цих основних ризиків, а також дані рекомендації щодо того, що робити далі, якщо вразливість виявлена.
