OWASP أهم 10 مخاطر أمنية | ملخص
جدول المحتويات
ما هو OWASP؟
OWASP هي منظمة غير ربحية مكرسة لتعليم أمان تطبيقات الويب.
يمكن الوصول إلى مواد OWASP التعليمية على موقع الويب الخاص بهم. أدواتهم مفيدة لتحسين أمان تطبيقات الويب. يتضمن ذلك المستندات والأدوات ومقاطع الفيديو والمنتديات.
OWASP Top 10 هي قائمة تسلط الضوء على أهم مخاوف الأمان لتطبيقات الويب اليوم. يوصون بأن تقوم جميع الشركات بتضمين هذا التقرير في عملياتها لتقليل المخاطر الأمنية. فيما يلي قائمة بمخاطر الأمان المدرجة في تقرير OWASP Top 10 لعام 2017.
حقن SQL
يحدث حقن SQL عندما يرسل المهاجم بيانات غير ملائمة إلى تطبيق ويب لتعطيل البرنامج في التطبيق.
مثال على حقن SQL:
يمكن للمهاجم إدخال استعلام SQL في نموذج إدخال يتطلب نصًا عاديًا لاسم مستخدم. إذا لم يتم تأمين نموذج الإدخال ، فسيؤدي ذلك إلى تنفيذ استعلام SQL. هذه يشار إليه إلى مثل حقن SQL.
لحماية تطبيقات الويب من إدخال التعليمات البرمجية ، تأكد من أن المطورين يستخدمون التحقق من صحة الإدخال في البيانات التي يرسلها المستخدم. يشير التحقق من الصحة هنا إلى رفض المدخلات غير الصالحة. يمكن لمدير قاعدة البيانات أيضًا تعيين عناصر تحكم لتقليل مقدار معلومات التي يمكن أن يتم الكشف عنها في هجوم الحقن.
لمنع إدخال SQL ، توصي OWASP بالحفاظ على البيانات منفصلة عن الأوامر والاستعلامات. الخيار الأفضل هو استخدام ملف API لمنع استخدام المترجم الفوري ، أو الترحيل إلى أدوات رسم الخرائط العلائقية (ORMs).
مصادقة مكسورة
يمكن أن تسمح الثغرات الأمنية في المصادقة للمهاجم بالوصول إلى حسابات المستخدمين وتعريض النظام للخطر باستخدام حساب المسؤول. يمكن لمجرم الإنترنت استخدام برنامج نصي لتجربة الآلاف من مجموعات كلمات المرور على نظام لمعرفة أيها يعمل. بمجرد دخول المجرم الإلكتروني ، يمكنهم تزوير هوية المستخدم ، مما يتيح لهم الوصول إلى المعلومات السرية.
توجد ثغرة أمنية معطلة في تطبيقات الويب التي تسمح بتسجيل الدخول الآلي. طريقة شائعة لتصحيح ثغرة المصادقة هي استخدام المصادقة متعددة العوامل. أيضا ، يمكن لحد معدل تسجيل الدخول كن ضمن ذلك في تطبيق الويب لمنع هجمات القوة الغاشمة.
التعرض للبيانات الحساسة
إذا كانت تطبيقات الويب لا تحمي المهاجمين الحساسين ، فيمكنهم الوصول إليها واستخدامها لتحقيق مكاسبهم. يعد الهجوم على المسار طريقة شائعة لسرقة المعلومات الحساسة. يمكن أن يكون خطر التعرض ضئيلًا عند تشفير جميع البيانات الحساسة. يجب على مطوري الويب التأكد من عدم كشف أي بيانات حساسة على المتصفح أو تخزينها دون داع.
كيانات XML الخارجية (XEE)
قد يتمكن المجرم الإلكتروني من تحميل أو تضمين محتوى XML ضار أو أوامر أو تعليمات برمجية داخل مستند XML. هذا يسمح لهم بعرض الملفات على نظام ملفات خادم التطبيق. بمجرد وصولهم ، يمكنهم التفاعل مع الخادم لتنفيذ هجمات تزوير الطلب من جانب الخادم (SSRF).
يمكن لهجمات كيانات XML الخارجية القيام بذلك يتم منعه بواسطة السماح لتطبيقات الويب بقبول أنواع البيانات الأقل تعقيدًا مثل JSON. يؤدي تعطيل معالجة كيان XML الخارجي أيضًا إلى تقليل فرص هجوم XEE.
كسر التحكم في الوصول
التحكم في الوصول هو بروتوكول نظام يقيد المستخدمين غير المصرح لهم بالمعلومات الحساسة. إذا تم كسر نظام التحكم في الوصول ، يمكن للمهاجمين تجاوز المصادقة. هذا يمنحهم الوصول إلى المعلومات الحساسة كما لو كان لديهم إذن. يمكن تأمين التحكم في الوصول من خلال تنفيذ رموز التفويض عند تسجيل دخول المستخدم. في كل طلب يقدمه المستخدم أثناء المصادقة ، يتم التحقق من رمز التفويض مع المستخدم ، مما يشير إلى أن المستخدم مصرح له بإجراء هذا الطلب.
خطأ في التكوين الأمني
يعد التهيئة الخاطئة للأمان مشكلة شائعة الأمن السيبراني يلاحظ المتخصصون في تطبيقات الويب. يحدث هذا نتيجة تكوين رؤوس HTTP بشكل خاطئ ، وعناصر تحكم الوصول المعطلة ، وعرض الأخطاء التي تعرض المعلومات في تطبيق الويب. يمكنك تصحيح خطأ في التكوين الأمني عن طريق إزالة الميزات غير المستخدمة. يجب عليك أيضًا تصحيح أو ترقية حزم البرامج الخاصة بك.
البرمجة النصية للمواقع المشتركة (XSS)
تحدث ثغرة XSS عندما يتلاعب مهاجم بواجهة برمجة تطبيقات DOM لموقع ويب موثوق به لتنفيذ تعليمات برمجية ضارة في متصفح المستخدم. غالبًا ما يحدث تنفيذ هذه الشفرة الضارة عندما ينقر المستخدم على ارتباط يبدو أنه من موقع ويب موثوق به. إذا لم يكن موقع الويب محميًا من ثغرة XSS ، فيمكنه ذلك يتم اختراقها. الشيفرة الخبيثة يتم تنفيذ يمنح المهاجم إمكانية الوصول إلى جلسة تسجيل دخول المستخدمين وتفاصيل بطاقة الائتمان وغيرها من البيانات الحساسة.
لمنع البرمجة النصية عبر المواقع (XSS) ، تأكد من أن HTML الخاص بك مطهر جيدًا. هذا يمكن يتم تحقيقه عن طريق اختيار أطر عمل موثوقة حسب اللغة المختارة. يمكنك استخدام لغات مثل .Net و Ruby on Rails و React JS لأنها تساعد في تحليل شفرة HTML وتنظيفها. يمكن أن تؤدي معالجة جميع البيانات الواردة من المستخدمين المصادق عليهم أو غير المصادق عليهم على أنها غير موثوق بها إلى تقليل مخاطر هجمات XSS.
انعدام الأمن Deserialization
إلغاء التسلسل هو تحويل البيانات المتسلسلة من خادم إلى كائن. يعد إلغاء تسلسل البيانات أمرًا شائعًا في تطوير البرامج. إنه غير آمن عند البيانات غير متسلسل من مصدر غير موثوق به. هذا يمكن يحتمل تعريض تطبيقك للهجمات. يحدث إلغاء التسلسل غير الآمن عندما تؤدي البيانات التي تم إلغاء تسلسلها من مصدر غير موثوق به إلى هجمات DDOS أو هجمات تنفيذ التعليمات البرمجية عن بُعد أو تجاوزات المصادقة.
لتجنب إلغاء التسلسل غير الآمن ، فإن القاعدة الأساسية هي عدم الوثوق أبدًا ببيانات المستخدم. يجب على كل بيانات إدخال المستخدم أن يعامل as يحتمل ضار. تجنب إلغاء تسلسل البيانات من مصادر غير موثوق بها. تأكد من أن وظيفة إلغاء التسلسل يستخدم في تطبيق الويب الخاص بك آمن.
استخدام المكونات ذات الثغرات الأمنية المعروفة
جعلت المكتبات وأطر العمل تطوير تطبيقات الويب أسرع بكثير دون الحاجة إلى إعادة اختراع العجلة. هذا يقلل من التكرار في تقييم الكود. إنها تمهد الطريق للمطورين للتركيز على جوانب أكثر أهمية من التطبيقات. إذا اكتشف المهاجمون ثغرات في هذه الأطر ، فإن كل قاعدة بيانات تستخدم الإطار ستفعل ذلك يتم اختراقها.
غالبًا ما يقدم مطورو المكونات تصحيحات أمان وتحديثات لمكتبات المكونات. لتجنب الثغرات الأمنية للمكونات ، يجب أن تتعلم إبقاء تطبيقاتك محدثة بأحدث تصحيحات الأمان والترقيات. يجب أن المكونات غير المستخدمة يتم إزالته من التطبيق لقطع نواقل الهجوم.
التسجيل والمراقبة غير كافيين
التسجيل والمراقبة مهمان لإظهار الأنشطة في تطبيق الويب الخاص بك. يجعل التسجيل من السهل تتبع الأخطاء ، مراقب تسجيلات دخول المستخدم وأنشطته.
يحدث تسجيل ومراقبة غير كافيين عندما لا يتم تسجيل الأحداث الأمنية الهامة بصورة صحيحة. يستفيد المهاجمون من ذلك لتنفيذ هجمات على تطبيقك قبل أن يكون هناك أي رد ملحوظ.
يمكن أن يساعد التسجيل شركتك في توفير المال والوقت لأن مطوريك يمكنهم ذلك بسهولة البحث عن البق. هذا يسمح لهم بالتركيز أكثر على حل الأخطاء بدلاً من البحث عنها. في الواقع ، يمكن أن يساعد التسجيل في الحفاظ على تشغيل مواقعك وخوادمك في كل مرة دون أن تواجه أي توقف.
وفي الختام
الرمز الجيد ليس كذلك م حول الوظائف ، يتعلق الأمر بالحفاظ على أمان المستخدمين والتطبيقات. OWASP Top 10 هي قائمة بأهم مخاطر أمان التطبيقات وهي مورد مجاني رائع للمطورين لكتابة تطبيقات الويب والجوال الآمنة. يمكن أن يؤدي تدريب المطورين في فريقك على تقييم المخاطر وتسجيلها إلى توفير وقت فريقك وأموالك على المدى الطويل. إذا كنت ترغب في تعرف على المزيد حول كيفية تدريب فريقك على OWASP Top 10 انقر هنا.
