Veiligheid

OWASP-project: ontdek wat het is en waarvoor het dient

0 317 4 minuten om te lezen

OWASP staat voor het acroniem Beveiligingsproject voor webtoepassingen openen . Het is een stichting zonder winstoogmerk met duizenden leden die zich inzetten voor softwarebeveiliging in het algemeen. Het project genereert allerlei soorten documentatie, het is permanent gratis en iedereen die geïnteresseerd is, heeft er zonder problemen toegang toe. Kortom, u kunt de documentatie delen en aanpassen naar uw voorkeuren en behoeften. Zolang het maar gebaseerd is op de doelstelling van het project.

Een van de belangrijkste projecten van de stichting is de Top tien 'S OWASP . Dit is een gestandaardiseerd bewustwordingsdocument over het ontwikkelen van veilige code voor alle soorten software, naast webapplicaties. Dit is geworteld in een brede consensus over de belangrijkste veiligheidsrisico's en bedreigingen. Om deze reden wordt het ten zeerste aanbevolen om de aanbevelingen van OWASP Top Ten uit te voeren om risico's en bedreigingen te minimaliseren.

De risico's die deel uitmaken van de OWASP Top Ten

Vervolgens zullen we elk van de risico's voor webapplicaties en software in het algemeen opsommen. Het is zeer waarschijnlijk dat u er al eerder van heeft gehoord, aangezien sommige van hen cyberaanvallen zijn die bekend staan ​​om hun verwoestende effecten. We vermelden ze op basis van wat de originele projectdocumentatie zegt.

  1. Injectie. Kortom, het gaat om het invoegen van kwaadaardige code in een tolk die deel uitmaakt van een opdracht of verzoek. Onthoud dat de opdrachten of query's deel uitmaken van de databases. Schadelijke code kan veel ongewenste acties uitvoeren, zoals ongeautoriseerde toegang tot gegevens. SQL-injectie-aanvallen of directory-toegangsprotocollen zoals LDAP worden veel gebruikt.
  2. Verlies van authenticatie . Het komt wel eens voor dat de functies van authenticatie en sessiebeheer zijn niet correct geïmplementeerd. Fouten zijn een toegangspoort voor cybercriminelen om kwaadaardige acties uit te voeren, zoals het schenden van wachtwoorden, sleutels, sessietokens, enz. Ze kunnen ook andere gebreken uitbuiten waardoor ze tijdelijk of permanent de identiteit van andere gebruikers kunnen aannemen, afhankelijk van de aanvallen die ze willen uitvoeren.
  3. Blootstelling van gevoelige gegevens. Het oorspronkelijke doel van API's is om het gemakkelijker te maken om gegevens en zelfs programmafunctionaliteit met anderen te openen en te integreren. Niet iedereen besteedt echter aandacht aan de bescherming van gevoelige gegevens, vooral als het gaat om bank-, financiële, gezondheids- en andere gegevens. Het vrijgeven van deze gegevens is een verder hulpmiddel voor cybercriminelen om andere aanvallen uit te voeren, zoals identiteitsdiefstal of creditcardfraude. Vandaar het belang van versleuteling van gegevens die zijn opgeslagen, onderweg of in het beste geval van eind tot eind .
  4. XML externe entiteiten. Het doel van deze kwetsbaarheid is dat de cybercrimineel een XML-document kan versturen dat zodanig is gemanipuleerd dat via een "XML ontleden" (een brug), begint het vertrouwelijke informatie van slachtoffertoepassingen bloot te leggen. Deze analysers zijn beschikbaar in toepassingen die ze ondersteunen. Uiteindelijk kunnen ze ook leiden tot overmatig gebruik van bronnen, het uitvoeren van kwaadaardige opdrachten en meer. Wat is echter een XML-document? Het is een opmaakdocument dat wordt gebruikt om gestructureerde informatie op internet weer te geven. Daarom kunnen applicaties en apparaten deze informatie opslaan, naast het manipuleren, bekijken en afdrukken ervan.
  5. Verlies van toegangscontrole. Cybercriminelen kunnen misbruik maken van mazen en kwetsbaarheden in het gebruikersbeperkingsbeleid. Houd er rekening mee dat deze beperkingen bepalen wat een gebruiker kan doen op basis van de rollen en machtigingen die hij heeft. Door bugs en kwetsbaarheden uit te buiten, worden ongeautoriseerde machtigingen en functionaliteit verkregen. Zoals het bekijken van gevoelige bestanden, het wijzigen van gegevens van andere gebruikers, het wijzigen van machtigingen en rollen van andere gebruikers, en nog veel meer.
  6. Beveiligingsconfiguratiefouten. Het wordt meestal veroorzaakt door onveilige standaardinstellingen, onvolledige ad-hocinstellingen, open cloudopslag, onjuist geconfigureerde HTTP-headers en foutmeldingen met gevoelige informatie. Hoewel besturingssystemen, frameworks, bibliotheken en applicaties zijn geconfigureerd met beveiliging, moeten ze ook: bijgewerkt regelmatig met beveiligingsoplossingen .
  7. Cross-site script (XSS). Dankzij het gebrek aan validatie in applicaties in het algemeen, kan dit gebeuren en verwoestende gevolgen hebben. XSS stelt cybercriminelen in staat om scripts in talen zoals JavaScript in gebruikerssessies uit te voeren om de beveiliging van siteverbindingen te wijzigen of gebruikers om te leiden naar kwaadaardige websites, zelfs als ze een geldige of legitieme URL invoeren.
  8. Onveilige deserialisatie. Deserialisatie is de reconstructie van een object op basis van de informatie die eruit wordt gehaald. Er zijn regels van een bepaalde programmeerconventie die zeggen dat informatie van serialiseerbare objecten wordt opgehaald. Dit vormt een groot risico, de uitvoering op afstand allerlei soorten kwaadaardige code, naast het uitvoeren van aanvallen, replicaties van eerdere aanvallen, injecties en misbruik van bevoegdheden.
  9. Gebruik van componenten met bekende kwetsbaarheden. Er zijn veel bibliotheken, frameworks en andere softwaremodules die dezelfde rechten hebben als de applicaties zelf. Als kwetsbare componenten worden uitgebuit, is er een groot risico op gegevensverlies of hacking door cybercriminelen. Daarom is het erg belangrijk om de veiligheidsmaatregelen van API die we kunnen implementeren, bijvoorbeeld om te voorkomen dat de deur wordt geopend voor een groot aantal kwetsbaarheden en aanvallen.
  10. Onvoldoende logboekverzameling en -bewaking. Dit paar voorzorgsmaatregelen , indien niet aanwezig in de implementatie van onze applicaties, stellen cybercriminelen niet alleen in staat om de aanvallen uit te voeren, maar kunnen ze ook een hoge mate van persistentie bereiken. Het is mogelijk dat ze op het punt komen de data te vernietigen, wat grote gevolgen kan hebben voor de omgeving waarin we ons bevinden.

Een van de grote voordelen van een dergelijk project is de standaardisatie van de belangrijkste risico's. Dit vergemakkelijkt hun identificatie en daaropvolgende oplossing zodra de juiste mitigerende maatregel is gevonden. Het is ook mogelijk om deel uit te maken van OWASP, dat verschillende vestigingen over de hele wereld heeft die proberen te ontmoeten en te verspreiden wat de stichting promoot door middel van een breed scala aan activiteiten. We raden u aan om de hoofdstuk dat past bij uw land!

0 317 4 minuten om te lezen

Vergelijkbare items

Foto van de beste VPN's voor Bangladesh die niet worden geblokkeerd in 2020

Beste VPN's voor Bangladesh die niet worden geblokkeerd in 2020

December 29, 2020
Foto van Leer hoe u valse websites, oplichting en oplichting kunt vermijden

Leer hoe u valse websites, oplichting en oplichting kunt vermijden

Juni 22, 2021
Foto van de beste Popcorn Time VPN-keuzes in 2020 - Popcorn Time deblokkeren

Beste Popcorn Time VPN-keuzes in 2020 - Popcorn Time deblokkeren

December 29, 2020
Foto van CryptoShuffler Trojan: hoe u uw portemonnee kunt beschermen

CryptoShuffler-trojan: hoe u uw portemonnee kunt beschermen?

December 29, 2020

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Terug naar boven knop