OWASP Top 10 Zowopsa Zachitetezo | Mwachidule
M'ndandanda wazopezekamo
Kodi OWASP ndi chiyani?
OWASP ndi bungwe lopanda phindu lodzipereka ku maphunziro achitetezo a pulogalamu yapaintaneti.
Zida zophunzirira za OWASP zimapezeka patsamba lawo. Zida zawo ndizothandiza pakuwongolera chitetezo cha mapulogalamu a pa intaneti. Izi zikuphatikiza zolemba, zida, makanema, ndi ma forum.
OWASP Top 10 ndi mndandanda womwe umawunikira nkhawa zapamwamba zachitetezo cha mapulogalamu apa intaneti masiku ano. Amalimbikitsa kuti makampani onse aphatikizepo lipoti ili m'njira zawo kuti achepetse ziwopsezo zachitetezo. Pansipa pali mndandanda wazowopsa zachitetezo zomwe zikuphatikizidwa mu lipoti la OWASP Top 10 2017.
SQL Injection
Jekeseni wa SQL umachitika pamene wowukira atumiza deta yosayenera ku pulogalamu yapaintaneti kuti asokoneze pulogalamuyo..
Chitsanzo cha SQL Injection:
Wowukirayo atha kuyika funso la SQL mu fomu yolowera yomwe imafunikira dzina lolowera. Ngati fomu yolowetsayo siitetezedwa, idzachititsa kuti funso la SQL likwaniritsidwe. Izi akutumizidwa ngati jekeseni wa SQL.
Kuti muteteze mapulogalamu a pa intaneti ku jekeseni wa ma code, onetsetsani kuti okonza mapulogalamu anu amagwiritsa ntchito zovomerezeka pa data yomwe yatumizidwa ndi ogwiritsa ntchito. Kutsimikizira apa kukutanthauza kukana zolowa zosavomerezeka. Woyang'anira database amathanso kukhazikitsa zowongolera kuti achepetse kuchuluka kwa mudziwe zomwe zingathe kuwululidwa mu jekeseni.
Pofuna kupewa jekeseni wa SQL, OWASP imalimbikitsa kuti deta ikhale yosiyana ndi malamulo ndi mafunso. Njira yabwino ndiyo kugwiritsa ntchito chitetezo API kuletsa kugwiritsa ntchito womasulira, kapena kusamukira ku Object Relational Mapping Tools (ORMs).
Chitsimikizo Chosweka
Zowopsa zotsimikizira zitha kulola woukira kuti alowe muakaunti ya ogwiritsa ntchito ndikusokoneza dongosolo pogwiritsa ntchito akaunti ya admin. Wachigawenga wa pa intaneti amatha kugwiritsa ntchito script kuyesa masauzande a mawu achinsinsi pa makina kuti awone zomwe zimagwira ntchito. Wophwanya malamulo akalowa, amatha kunamizira wogwiritsa ntchitoyo, kuwapatsa mwayi wodziwa zinsinsi..
Chiwopsezo chosweka chotsimikizira chilipo pamapulogalamu apa intaneti omwe amaloleza kulowa modzidzimutsa. Njira yodziwika bwino yowongolera chiwopsezo chotsimikizika ndikugwiritsa ntchito kutsimikizika kwa multifactor. Komanso, malire olowera akhoza kuphatikizidwa mu pulogalamu yapaintaneti kuti mupewe kuwukira mwankhanza.
Sensitive Data Exposure
Ngati ntchito zapaintaneti sizimateteza omwe akuwukira atha kuzipeza ndikuzigwiritsa ntchito kuti apindule. Kuukira panjira ndi njira yodziwika bwino yoba zidziwitso zachinsinsi. Chiwopsezo chowonekera chikhoza kukhala chochepa pamene deta yonse yachinsinsi imasungidwa. Opanga mawebusayiti akuyenera kuwonetsetsa kuti palibe chidziwitso chachinsinsi chomwe chikuwonekera pa msakatuli kapena kusungidwa mosafunikira.
XML External Entities (XEE)
Wachigawenga pa intaneti atha kukweza kapena kuphatikiza zinthu zoyipa za XML, malamulo, kapena ma code mkati mwa chikalata cha XML. Izi zimawalola kuti aziwona mafayilo pamafayilo a seva ya pulogalamu. Akakhala ndi mwayi, amatha kulumikizana ndi seva kuti achite ziwopsezo za seva-side application forgery (SSRF)..
Kuwukira kwazinthu zakunja kwa XML kumatha kuletsedwa ndi kulola mapulogalamu a pa intaneti kuvomereza mitundu yochepa ya data monga JSON. Kuyimitsa kukonza kwazinthu zakunja kwa XML kumachepetsanso mwayi wa XEE kuwukira.
Kusokoneza Access Control
Ulamuliro wofikira ndi ndondomeko yadongosolo yomwe imaletsa ogwiritsa ntchito osaloledwa kudziwa zambiri. Ngati njira yowongolera mwayi yasweka, owukira amatha kulambalala kutsimikizika. Izi zimawapatsa mwayi wodziwa zambiri ngati ali ndi chilolezo. Access Control ikhoza kutetezedwa pokhazikitsa ma tokeni ovomerezeka pakulowa kwa ogwiritsa ntchito. Pa pempho lililonse lomwe wogwiritsa ntchito apanga atatsimikiziridwa, chizindikiro chovomerezeka ndi wogwiritsa ntchito chimatsimikiziridwa, kusonyeza kuti wogwiritsa ntchitoyo ali ndi chilolezo chopempha.
Kusasinthika kwachitetezo
Kusasinthika kwachitetezo ndi nkhani wamba yomwe cybersecurity akatswiri amawona pazogwiritsa ntchito pa intaneti. Izi zimachitika chifukwa cha mitu yolakwika ya HTTP, zowongolera zosweka, ndikuwonetsa zolakwika zomwe zimawulula zambiri mu pulogalamu yapa intaneti.. Mutha kukonza Zolakwika Zachitetezo pochotsa zinthu zomwe sizinagwiritsidwe ntchito. Muyeneranso kuyika kapena kukweza mapulogalamu anu.
Kugwiritsa Ntchito Malo Oseketsa (XSS)
Chiwopsezo cha XSS chimachitika wowukira akugwiritsa ntchito DOM API ya tsamba lodalirika kuti apereke nambala yoyipa mumsakatuli wa wogwiritsa ntchito.. Kuchita kwa code yoyipayi kumachitika nthawi zambiri wogwiritsa ntchito akadina ulalo womwe ukuwoneka ngati wakuchokera patsamba lodalirika.. Ngati tsambalo silikutetezedwa ku chiopsezo cha XSS, lingathe kukhala wonyengerera. Khodi yoyipa kuti amaphedwa imapatsa wowukira mwayi wolowera kugawo la ogwiritsa ntchito, zambiri za kirediti kadi, ndi data ina yovuta.
Kuti mupewe Cross-site Scripting (XSS), onetsetsani kuti HTML yanu ndi yoyeretsedwa bwino. Izi zitha kukwaniritsidwa ndi kusankha maziko odalirika kutengera chilankhulo chomwe mwasankha. Mutha kugwiritsa ntchito zilankhulo monga .Net, Ruby on Rails, ndi React JS momwe zingathandizire kusanthula ndikuyeretsa khodi yanu ya HTML. Kusamalira zidziwitso zonse kuchokera kwa ogwiritsa ntchito ovomerezeka kapena osatsimikizika monga osadalirika kungachepetse chiopsezo cha XSS.
Kusatetezeka Deserialization
Deserialization ndikusintha kwa data kuchokera pa seva kupita ku chinthu. Deserialization of data ndizochitika zofala pakupanga mapulogalamu. Ndizosatetezeka ngati data ndi deserialized kuchokera ku gwero losadalirika. Izi zikhoza mwinamwake wonetsani pulogalamu yanu pakuwukira. Kuwonongeka kosatetezeka kumachitika pamene deta yotayika kuchokera ku gwero losadalirika imayambitsa kuwukiridwa kwa DDOS, kuwukiridwa kwa ma code akutali, kapena njira zotsimikizira..
Kuti mupewe kutayika kotetezedwa, lamulo la chala chachikulu ndikuti musamakhulupirire deta ya ogwiritsa ntchito. Aliyense wogwiritsa ntchito ayenera kuthandizidwa as mwinamwake wanjiru. Pewani kusokoneza deta kuchokera kuzinthu zosadalirika. Onetsetsani kuti deserialization imagwira ntchito kugwiritsidwa ntchito pa intaneti yanu ndi yotetezeka.
Kugwiritsa Ntchito Zigawo Zomwe Zili Ndi Zowopsa Zodziwika
Libraries ndi Frameworks zapangitsa kuti zikhale zofulumira kwambiri kupanga mapulogalamu a pa intaneti popanda kufunikira kukonzanso gudumu. Izi zimachepetsa kuperewera pakuwunika kwa ma code. Iwo amatsegula njira kwa omanga kuti ayang'ane mbali zofunika kwambiri za ntchito. Ngati owukira apeza zabwino pamapangidwe awa, codebase iliyonse yogwiritsa ntchito chimango ingatero kukhala wonyengerera.
Opanga chigawochi nthawi zambiri amapereka zigamba zachitetezo ndi zosintha zama library. Kuti mupewe kuwonongeka kwazinthu zina, muyenera kuphunzira kusunga mapulogalamu anu amakono ndi zotetezedwa zaposachedwa ndi kukweza. Zosagwiritsidwa ntchito ziyenera kuchotsedwa kuchokera ku pulogalamu yodula ma vectors owukira.
Kudula Mitengo Yosakwanira Ndi Kuwunika
Kudula mitengo ndi kuyang'anira ndikofunikira kuti muwonetse zochitika pa intaneti yanu. Kudula mitengo kumapangitsa kuti kukhale kosavuta kutsatira zolakwika, polojekiti kulowa kwa ogwiritsa ntchito, ndi ntchito.
Kudula mitengo kosakwanira ndi kuyang'anira kumachitika pamene zochitika zofunikira kwambiri zachitetezo sizinalembedwe bwino. Zigawenga zimagwiritsa ntchito izi kuti ziwukire pulogalamu yanu musanayankhe chilichonse.
Kudula mitengo kungathandize kampani yanu kusunga ndalama ndi nthawi chifukwa opanga anu angathe mosavuta kupeza nsikidzi. Izi zimawathandiza kuti aziganizira kwambiri kuthetsa ziphuphu kusiyana ndi kuzifufuza. M'malo mwake, kudula mitengo kungathandize kuti masamba anu ndi ma seva anu azigwira ntchito nthawi zonse osakumana ndi vuto lililonse.
Kutsiliza
Code yabwino ayi basi za magwiridwe antchito, ndizokhudza kusunga ogwiritsa ntchito anu ndi pulogalamu yanu kukhala yotetezeka. OWASP Top 10 ndi mndandanda waziwopsezo zowopsa zachitetezo cha pulogalamu ndi chida chabwino kwambiri chaulere kwa opanga kuti alembe mapulogalamu otetezeka a intaneti ndi mafoni.. Opanga ophunzitsa pagulu lanu kuti awone ndikuyika zoopsa zomwe zingasungidwe zitha kupulumutsa nthawi ndi ndalama za gulu lanu pakapita nthawi. Ngati mungafune kutero Dziwani zambiri za momwe mungaphunzitsire gulu lanu pa OWASP Top 10 dinani apa.
