OWASP Top 10 Rischi di Sicurezza | Panoramica
Table di cuntinutu
Cosa hè OWASP?
OWASP hè una urganizazione senza prufittu dedicata à l'educazione à a sicurità di l'applicazioni web.
I materiali di apprendimentu OWASP sò accessibili nantu à u so situ web. I so strumenti sò utili per migliurà a sicurità di l'applicazioni web. Questu include documenti, arnesi, video è fori.
L'OWASP Top 10 hè una lista chì mette in risaltu i principali prublemi di sicurità per l'applicazioni web oghje. Recomandenu chì tutte e cumpagnie includenu stu rapportu in i so prucessi per riduce i risichi di sicurezza. A sottu hè una lista di risichi di sicurità inclusi in u rapportu OWASP Top 10 2017.
SQL Injection
L'iniezione SQL si verifica quandu un attaccu manda dati inappropriati à una app web per disturbà u prugramma in l'applicazione..
Un esempiu di SQL Injection:
L'attaccante puderia inserisce una query SQL in una forma di input chì richiede un nome d'utilizatore testu chjaru. Se a forma di input ùn hè micca assicurata, risulterà in l'esekzione di una query SQL. Questu hè riferitu cum'è iniezione SQL.
Per prutege l'applicazioni web da l'iniezione di codice, assicuratevi chì i vostri sviluppatori utilizanu validazione di input nantu à e dati inviati da l'utilizatori. A validazione quì si riferisce à u rifiutu di inputs invalidi. Un gestore di basa di dati pò ancu stabilisce cuntrolli per riduce a quantità di nantu à u corsu chì pò esse divulgatu in un attaccu di iniezione.
Per impedisce l'iniezione SQL, OWASP ricumanda di mantene e dati separati da i cumandamenti è e dumande. L'opzione preferita hè di utilizà una sicura API per impedisce l'usu di un interprete, o per migrà à Strumenti di mappatura relazionale d'oggetti (ORM).
Autentificazione rotta
A vulnerabilità di l'autentificazione pò permette à un attaccu d'accede à i cunti d'utilizatori è cumprumette un sistema utilizendu un contu amministratore. Un cibercriminale pò aduprà un script per pruvà migliaia di cumminazzioni di password in un sistema per vede quale funziona. Una volta chì u cibercriminale hè in, ponu falsificà l'identità di l'utilizatore, dendu l'accessu à l'infurmazioni cunfidenziale..
Una vulnerabilità di autentificazione rotta esiste in l'applicazioni web chì permettenu logins automatizati. Un modu populari per correggerà a vulnerabilità di l'autentificazione hè l'usu di l'autentificazione multifattore. Inoltre, un limitu di tarifa di login puderia esse inclusu in l'app web per prevene attacchi di forza bruta.
Esposizione di Dati Sensibili
Se l'applicazioni web ùn pruteghjanu micca l'attaccanti sensittivi ponu accede è aduprà per u so guadagnu. Un attaccu nantu à a strada hè un metudu populari per arrubà infurmazione sensitiva. U risicu di l'esposizione pò hè minimu quandu tutti i dati sensibili sò criptati. I sviluppatori web anu da assicurà chì nisuna dati sensibili hè esposta in u navigatore o guardatu inutilmente.
Entità Esterne XML (XEE)
Un cibercriminale pò esse capace di carricà o include cuntenutu XML maliziusu, cumandamenti o codice in un documentu XML.. Questu li permette di vede i schedari nantu à u sistema di schedarii di u servitore di l'applicazioni. Una volta chì anu accessu, ponu interagisce cù u servitore per fà attacchi di falsificazione di richieste di u servitore (SSRF)..
L'attacchi di entità esterne XML ponu esse impeditu da chì permette à l'applicazioni web di accettà tipi di dati menu cumplessi cum'è JSON. A disattivazione di l'elaborazione di l'entità esterna XML riduce ancu e probabilità di un attaccu XEE.
Controlu d'accessu rottu
U cuntrollu di l'accessu hè un protokollu di sistema chì restringe l'utilizatori micca autorizati à l'infurmazioni sensibili. Se un sistema di cuntrollu d'accessu hè rottu, l'attaccanti ponu aggira l'autentificazione. Questu li dà accessu à l'infurmazioni sensittivi cum'è s'ellu avianu l'autorizazione. U cuntrollu di l'accessu pò esse assicuratu implementendu tokens d'autorizazione in u login di l'utilizatori. In ogni dumanda chì un utilizatore fa mentre hè autenticatu, u token d'autorizazione cù l'utilizatore hè verificatu, signalendu chì l'utilizatore hè autorizatu à fà quella dumanda.
Misconfigurazione di Sicurezza
A misconfigurazione di sicurezza hè un prublema cumuni chì cybersecurity i specialisti osservanu in l'applicazioni web. Questu hè u risultatu di intestazioni HTTP misconfigurate, cuntrolli d'accessu rotti, è a visualizazione di errori chì espone l'infurmazioni in una app web.. Pudete curregge una Misconfigurazione di Sicurezza rimuovendu e funzioni inutilizate. Duvete ancu patch o aghjurnà i vostri pacchetti di software.
Scrittura Cross-Site (XSS)
A vulnerabilità XSS si trova quandu un attaccu manipula l'API DOM di un situ web di fiducia per eseguisce codice maliziusu in u navigatore di l'utilizatore.. L'esekzione di stu codice maliziusu si faci spessu quandu un utilizatore clicche nantu à un ligame chì pare esse da un situ di fiducia.. Se u situ web ùn hè micca prutettu da a vulnerabilità XSS, pò esse cumprumessi. U codice malicioso chì hè eseguitu dà un accessu à l'attaccante à a sessione di login di l'utilizatori, i dettagli di a carta di creditu è altre dati sensittivi.
Per impediscenu Cross-site Scripting (XSS), assicuratevi chì u vostru HTML hè ben sanitizatu. Questu pò esse ottenuta da sceglie i frameworks di fiducia secondu a lingua di scelta. Pudete aduprà lingue cum'è .Net, Ruby on Rails, è React JS cumu aiutavanu à analizà è pulizziari u vostru codice HTML. Trattà tutte e dati da l'utilizatori autentificati o micca autentificati cum'è micca fiduciali pò riduce u risicu di attacchi XSS.
Deserializazione insicura
A deserializazione hè a trasfurmazioni di dati serializzati da un servitore à un oggettu. A deserializazione di e dati hè un casu cumuni in u sviluppu di software. Hè micca sicuru quandu dati hè deserializatu da una fonte micca fiducia. Questu pò potenziale espone a vostra applicazione à attacchi. A deserializazione insegura si verifica quandu i dati deserializzati da una fonte micca affidata porta à attacchi DDOS, attacchi di esecuzione di codice remota, o bypass di autentificazione..
Per evità a deserializazione insegura, a regula di u pulgaru hè di ùn mai fidà di i dati di l'utilizatori. Ogni dati di input di l'utilizatori deve esse trattatu as potenziale malicious. Evite a deserializazione di dati da fonti micca affidate. Assicurà chì a funzione deserialization à esse usatu in a vostra applicazione web hè sicura.
Utilizà cumpunenti cù vulnerabilità cunnisciute
Biblioteche è Frameworks anu fattu assai più veloce per sviluppà applicazioni web senza avè bisognu di reinventà a rota. Questu reduce a redundanza in a valutazione di codice. Aperanu a strada per i sviluppatori per fucalizza nantu à aspetti più impurtanti di l'applicazioni. Se l'attaccanti scopre sfruttamenti in questi frameworks, ogni codice di basa chì usa u framework esse cumprumessi.
I sviluppatori di cumpunenti offrenu spessu patch di sicurezza è aghjurnamenti per e librerie di cumpunenti. Per evità vulnerabilità di cumpunenti, duvete amparà à mantene e vostre applicazioni aghjurnati cù l'ultimi patch di sicurezza è aghjurnamenti.. Cumpunenti micca utilizati duveranu esse cacciatu da l'applicazione per tagliate i vettori di attaccu.
Insufficiente Logging è Monitoring
Logging è monitoring sò impurtanti per vede l'attività in a vostra applicazione web. Logging facilita a traccia di l'errori, Monitor logins d'utilizatori, è attività.
Logging è monitoraghju insufficiente si verificanu quandu l'avvenimenti critichi per a sicurità ùn sò micca registrati beni. L'attaccanti capitalizeghjanu questu per fà attacchi à a vostra applicazione prima chì ci sia una risposta notevole.
Logging pò aiutà a vostra cumpagnia à salvà soldi è tempu perchè i vostri sviluppatori ponu faciule truvà bug. Questu li permette di fucalizza più nantu à risolve i bug chè à circà. In effetti, u logu pò aiutà à mantene i vostri siti è servitori in funziunamentu ogni volta senza ch'elli sperimentanu alcunu downtime.
cunchiusioni
Un bonu codice ùn hè micca ghjustu nantu à a funziunalità, si tratta di mantene i vostri utilizatori è l'applicazione sicuri. L'OWASP Top 10 hè una lista di i risichi di sicurezza di l'applicazioni più critichi hè una grande risorsa gratuita per i sviluppatori per scrive applicazioni web è mobile sicure.. A furmazione di sviluppatori nantu à a vostra squadra per valutà è registrà i risichi pò salvà u vostru tempu di squadra è soldi à longu andà. Se vulete Sapete più nantu à cumu furmà a vostra squadra nantu à u Top 10 OWASP cliccate quì.
