OWASP Top 10 risika fiarovana | Overview
Fizahan-takelaka
Inona no atao hoe OWASP?
OWASP dia fikambanana tsy mitady tombony natokana ho an'ny fanabeazana fiarovana amin'ny fampiharana tranonkala.
Ny fitaovana fianarana OWASP dia azo jerena ao amin'ny tranokalany. Ny fitaovan'izy ireo dia ilaina amin'ny fanatsarana ny fiarovana ny rindranasa tranonkala. Anisan'izany ny antontan-taratasy, fitaovana, horonan-tsary ary forum.
Ny OWASP Top 10 dia lisitra iray manasongadina ny olana ara-piarovana ambony indrindra amin'ny fampiharana tranonkala ankehitriny. Manoro hevitra izy ireo fa ny orinasa rehetra dia hampiditra ity tatitra ity amin'ny fizotrany hanapahana ny risika amin'ny fiarovana. Ity ambany ity ny lisitry ny risika fiarovana tafiditra ao amin'ny tatitra OWASP Top 10 2017.
SQL Injection
Ny tsindrona SQL dia mitranga rehefa misy mpanafika mandefa angon-drakitra tsy mety amin'ny rindranasa tranonkala mba hanakorontanana ny programa ao amin'ny rindranasa.
Ohatra iray amin'ny SQL Injection:
Ny mpanafika dia afaka mampiditra fangatahana SQL amin'ny endrika fampidirana izay mitaky solonanarana anarana. Raha toa ka tsy voaaro ny endrika fampidirana, dia hiteraka fanatanterahana ny fangatahana SQL izany. izany no resahina ho toy ny SQL injection.
Mba hiarovana ny rindranasa amin'ny tranonkala amin'ny fanindronana kaody, ataovy azo antoka fa mampiasa fanamarinana fidirana amin'ny angona atolotry ny mpampiasa ny mpamorona anao. Ny fanamarinana eto dia manondro ny fandavana ny fampidirana tsy mety. Afaka mametraka fanaraha-maso ihany koa ny mpitantana ny database mba hampihenana ny habetsahan'ny vaovao izay afaka hambara amin'ny fanafihana tsindrona.
Mba hisorohana ny tsindrona SQL, OWASP dia manoro hevitra ny hitazona ny angon-drakitra misaraka amin'ny baiko sy ny fanontaniana. Ny safidy tsara indrindra dia ny fampiasana azo antoka API hisorohana ny fampiasana mpandika teny, na hifindra any amin'ny Object Relational Mapping Tools (ORMs).
Authentication tapaka
Ny vulnerabilities amin'ny fanamarinana dia ahafahan'ny mpanafika miditra amin'ny kaonty mpampiasa ary mampandefitra rafitra iray mampiasa kaonty admin.. Ny mpanao heloka bevava an-tserasera dia afaka mampiasa script iray hanandrana fitambarana tenimiafina an'arivony amin'ny rafitra iray hahitana hoe iza no miasa. Raha vao tafiditra ny cybercriminal dia afaka misandoka ny mombamomba ny mpampiasa izy ireo, manome azy ireo fahafahana miditra amin'ny fampahalalana tsiambaratelo.
Misy vulnerability authentication tapaka ao amin'ny rindranasa amin'ny tranonkala izay mamela fidirana mandeha ho azy. Ny fomba malaza hanitsiana ny vulnerability authentication dia ny fampiasana authentication multifactor. Ary koa, mety hisy fetran'ny tahan'ny fidirana ampidirina ao amin'ny app web mba hisorohana ny fanafihana mahery vaika.
Fipoahana data saro-pady
Raha tsy miaro ny rindranasa an-tranonkala dia afaka miditra sy mampiasa azy ireo ny mpanafika saro-pady mba hahazoana tombony. Ny fanafihana an-dalana dia fomba malaza amin'ny fangalarana vaovao saro-pady. Ny loza ateraky ny fiparitahana dia kely indrindra rehefa voarakotra ny angon-drakitra saro-pady rehetra. Ny mpamorona tranonkala dia tokony hiantoka fa tsy misy angon-drakitra saro-pady hita ao amin'ny navigateur na voatahiry tsy ilaina.
XML External Entities (XEE)
Ny mpanao heloka bevava an-tserasera dia mety afaka mampakatra na mampiditra atiny XML, baiko, na kaody ratsy ao anatin'ny antontan-taratasy XML. Izany dia ahafahan'izy ireo mijery ny rakitra ao amin'ny rafitra fichier server application. Rehefa mahazo fidirana izy ireo dia afaka mifandray amin'ny mpizara hanao fanafihana hosoka amin'ny lafiny server (SSRF)..
Ny fanafihana enti-manana XML dia afaka ho sorohina amin'ny mamela ny fampiharana amin'ny tranonkala hanaiky karazana angona tsy dia sarotra toy ny JSON. Mampihena ny mety hisian'ny fanafihana XEE ihany koa ny fanalana ny fanodinana entity ivelany XML.
Broken Access Control
Ny fanaraha-maso ny fidirana dia protocole rafitra izay mametra ny mpampiasa tsy nahazo alalana amin'ny fampahalalana saro-pady. Raha tapaka ny rafitra fanaraha-maso ny fidirana dia afaka mandingana ny fanamarinana ny mpanafika. Izany dia manome azy ireo fahafahana miditra amin'ny fampahalalana saro-pady toy ny hoe manana fanomezan-dàlana. Ny fanaraha-maso ny fidirana dia azo antoka amin'ny fampiharana ny mari-pamantarana fanomezan-dàlana amin'ny fidirana mpampiasa. Amin'ny fangatahana rehetra ataon'ny mpampiasa iray rehefa voamarina, dia voamarina ny mari-pamantarana fanomezan-dàlana miaraka amin'ny mpampiasa, manambara fa nahazo alalana hanao izany fangatahana izany ny mpampiasa.
Fiovana tsy mety amin'ny fandriam-pahalemana
Olana mahazatra izay ny tsy fahampian'ny fiarovana cybersecurity Manara-maso ny fampiharana amin'ny tranonkala ny manam-pahaizana manokana. Mitranga izany noho ny lohatenin'ny HTTP diso, ny fanaraha-maso ny fidirana tapaka, ary ny fisehoana lesoka izay mampiharihary ny mombamomba ny fampiharana tranonkala.. Azonao atao ny manitsy ny tsy fahampian'ny fiarovana amin'ny alàlan'ny fanesorana ireo endri-javatra tsy ampiasaina. Tokony hametaka na hanavao ny fonosana rindrambaiko koa ianao.
Fanoratana an-tsoratra (XSS)
Ny vulnerability XSS dia mitranga rehefa misy mpanafika manodinkodina ny DOM API amin'ny tranokala azo itokisana mba hampiharana kaody ratsy amin'ny navigateur mpampiasa.. Ny famonoana an'ity kaody ratsy ity dia mitranga matetika rehefa misy mpampiasa manindry rohy toa avy amin'ny tranokala azo itokisana.. Raha tsy voaaro amin'ny vulnerability XSS ny tranokala dia afaka manaiky lembenana. Ny code ratsy izay dia novonoina manome ny mpanafika miditra amin'ny fotoam-pidiran'ny mpampiasa, ny antsipirian'ny carte de crédit, ary ny angona saropady hafa.
Mba hisorohana ny Cross-site Scripting (XSS), ataovy azo antoka fa voadio tsara ny HTML-nao. Ho afaka izany ho tratrarina amin'ny mifidy rafitra azo itokisana arakaraka ny fiteny nofidina. Azonao atao ny mampiasa fiteny toy ny .Net, Ruby on Rails, ary React JS satria manampy amin'ny famakafakana sy fanadiovana ny code HTML-nao. Ny fitondrana ny angon-drakitra rehetra avy amin'ny mpampiasa voamarina na tsy voamarina ho tsy azo itokisana dia mety hampihena ny mety hisian'ny fanafihana XSS.
Deserialization tsy azo antoka
Ny deserialization dia ny fiovan'ny angona serialised avy amin'ny mpizara ho zavatra iray. Ny deserialization ny angon-drakitra dia tranga mahazatra amin'ny famolavolana rindrambaiko. Tsy azo antoka izany rehefa data dia deserialized avy amin'ny loharano tsy azo itokisana. Afaka ity mety asehoy amin'ny fanafihana ny fampiharanao. Mitranga ny deserialization tsy azo antoka rehefa mitondra any amin'ny fanafihana DDOS, fanafihana famonoana kaody lavitra, na fandalovan'ny fanamarinana..
Mba hialana amin'ny deserialization tsy azo antoka, ny fitsipika ankapobeny dia ny tsy matoky velively ny angona mpampiasa. Ny angon-drakitra fampidirana mpampiasa tsirairay dia tokony tsaboina as mety ratsy fanahy. Halaviro ny fandroahana angon-drakitra avy amin'ny loharano tsy azo itokisana. Ataovy azo antoka fa miasa ny deserialization ampiasaina ao amin'ny fampiharana tranonkalanao dia azo antoka.
Mampiasa ireo singa manana fahasembanana fantatra
Ny trano famakiam-boky sy ny Frameworks dia nanafaingana kokoa ny famolavolana rindranasa an-tranonkala nefa tsy mila mamorona indray ny kodiarana. Mampihena ny tsy fahampian'ny fanombanana code izany. Izy ireo dia manome lalana ho an'ny mpamorona mba hifantoka amin'ny lafiny lehibe kokoa amin'ny fampiharana. Raha mahita fanararaotana ao anatin'ireo rafitra ireo ny mpanafika, dia ho hitan'ny codebase rehetra mampiasa ny rafitra manaiky lembenana.
Matetika ny mpamorona singa dia manolotra patch fiarovana sy fanavaozana ho an'ny tranomboky singa. Mba hialana amin'ny faharefoan'ny singa, dia tokony hianaranao ny fitazonana ny rindranasa ho vaovao miaraka amin'ireo patch fiarovana sy fanavaozana farany.. Ny singa tsy ampiasaina dia tokony esorina avy amin'ny fampiharana hanapaka ny vectors fanafihana.
Tsy ampy ny logging sy ny fanaraha-maso
Zava-dehibe ny fametahana sy ny fanaraha-maso mba hampisehoana ny hetsika ao amin'ny fampiharana tranonkalanao. Ny logging dia manamora ny fanarahana ny lesoka, Monitor ny fidirana mpampiasa, ary ny hetsika.
Tsy ampy ny fanoratana sy ny fanaraha-maso rehefa tsy voarakitra an-tsoratra ny hetsika manakiana ny fiarovana araka ny tokony ho. Manararaotra izany ny mpanafika mba hanaovana fanafihana amin'ny fampiharanao alohan'ny hisian'ny valiny miharihary.
Ny logging dia afaka manampy ny orinasanao hitsitsy vola sy fotoana satria azon'ny mpamorona anao izany mora foana mahita bibikely. Izany dia mamela azy ireo hifantoka bebe kokoa amin'ny famahana ireo bibikely fa tsy ny fitadiavana azy ireo. Raha ny tena izy dia afaka manampy amin'ny fitazonana ny tranokalanao sy ny mpizara anao ary mandeha isaky ny mandeha ny logging nefa tsy misy ny fotoana fitsaharana.
Famaranana
Ny kaody tsara dia tsy fotsiny momba ny fampiasa, momba ny fiarovana ny mpampiasa anao sy ny fampiharana izany. Ny OWASP Top 10 dia lisitry ny risika fiarovana amin'ny fampiharana manakiana indrindra dia loharano maimaim-poana ho an'ny mpamorona hanoratra tranonkala azo antoka sy fampiharana finday.. Ny fanofanana mpamorona ao amin'ny ekipanao mba hanombantombana sy hanombantombana ny loza mety hitranga dia afaka mitahiry fotoana sy vola amin'ny ekipanao mandritra ny fotoana maharitra. Raha tianao Mianara bebe kokoa momba ny fomba hampiofanana ny ekipanao amin'ny OWASP Top 10 tsindrio eto.
