OWASP 10 ຄວາມສ່ຽງດ້ານຄວາມປອດໄພສູງສຸດ | ພາບລວມ
ສາລະບານ
OWASP ແມ່ນຫຍັງ?
OWASP ເປັນອົງການທີ່ບໍ່ຫວັງຜົນກໍາໄລທີ່ອຸທິດຕົນເພື່ອການສຶກສາຄວາມປອດໄພຂອງແອັບຯເວັບ.
ອຸປະກອນການຮຽນຮູ້ OWASP ແມ່ນສາມາດເຂົ້າເຖິງໄດ້ຢູ່ໃນເວັບໄຊທ໌ຂອງພວກເຂົາ. ເຄື່ອງມືຂອງພວກເຂົາແມ່ນເປັນປະໂຫຍດສໍາລັບການປັບປຸງຄວາມປອດໄພຂອງຄໍາຮ້ອງສະຫມັກເວັບ. ນີ້ປະກອບມີເອກະສານ, ເຄື່ອງມື, ວິດີໂອ, ແລະເວທີສົນທະນາ.
OWASP Top 10 ແມ່ນບັນຊີລາຍຊື່ທີ່ຊີ້ໃຫ້ເຫັນເຖິງຄວາມກັງວົນກ່ຽວກັບຄວາມປອດໄພອັນດັບຕົ້ນໆສໍາລັບແອັບຯເວັບໃນມື້ນີ້. ພວກເຂົາເຈົ້າແນະນໍາໃຫ້ບໍລິສັດທັງຫມົດລວມເອົາບົດລາຍງານນີ້ໃນຂະບວນການຂອງພວກເຂົາເພື່ອຕັດຄວາມສ່ຽງດ້ານຄວາມປອດໄພ. ຂ້າງລຸ່ມນີ້ແມ່ນບັນຊີລາຍຊື່ຂອງຄວາມສ່ຽງດ້ານຄວາມປອດໄພລວມຢູ່ໃນບົດລາຍງານ OWASP Top 10 2017.
SQL Injection
ການສີດ SQL ເກີດຂື້ນເມື່ອຜູ້ໂຈມຕີສົ່ງຂໍ້ມູນທີ່ບໍ່ເຫມາະສົມໄປຫາແອັບຯເວັບເພື່ອລົບກວນໂຄງການໃນແອັບພລິເຄຊັນ..
ຕົວຢ່າງຂອງ SQL Injection:
ຜູ້ໂຈມຕີສາມາດໃສ່ຄໍາຖາມ SQL ເຂົ້າໄປໃນແບບຟອມການປ້ອນຂໍ້ມູນທີ່ຕ້ອງການຊື່ຜູ້ໃຊ້ plaintext. ຖ້າແບບຟອມການປ້ອນຂໍ້ມູນບໍ່ປອດໄພ, ມັນຈະສົ່ງຜົນໃຫ້ມີການປະຕິບັດການສອບຖາມ SQL. ນີ້ ຖືກອ້າງອີງ ເພື່ອເປັນສີດ SQL.
ເພື່ອປົກປ້ອງແອັບພລິເຄຊັນເວັບຈາກການສີດລະຫັດ, ໃຫ້ແນ່ໃຈວ່ານັກພັດທະນາຂອງທ່ານໃຊ້ການກວດສອບການປ້ອນຂໍ້ມູນໃນຂໍ້ມູນທີ່ສົ່ງໂດຍຜູ້ໃຊ້. ການກວດສອບຄວາມຖືກຕ້ອງໃນທີ່ນີ້ຫມາຍເຖິງການປະຕິເສດການປ້ອນຂໍ້ມູນທີ່ບໍ່ຖືກຕ້ອງ. ຜູ້ຈັດການຖານຂໍ້ມູນຍັງສາມາດກໍານົດການຄວບຄຸມເພື່ອຫຼຸດຜ່ອນຈໍານວນ ຂໍ້ມູນຂ່າວສານ ທີ່ສາມາດເຮັດໄດ້ ຖືກເປີດເຜີຍ ໃນການໂຈມຕີດ້ວຍສີດ.
ເພື່ອປ້ອງກັນການສີດ SQL, OWASP ແນະນໍາໃຫ້ເກັບຮັກສາຂໍ້ມູນແຍກຕ່າງຫາກຈາກຄໍາສັ່ງແລະການສອບຖາມ. ທາງເລືອກທີ່ດີແມ່ນການນໍາໃຊ້ທີ່ປອດໄພ API ເພື່ອປ້ອງກັນການນໍາໃຊ້ນາຍພາສາ, ຫຼືການເຄື່ອນຍ້າຍໄປຫາ Object Relational Mapping Tools (ORMs).
ການພິສູດຢືນຢັນທີ່ແຕກຫັກ
ຊ່ອງໂຫວ່ຂອງການກວດສອບຄວາມຖືກຕ້ອງສາມາດເຮັດໃຫ້ຜູ້ໂຈມຕີເຂົ້າເຖິງບັນຊີຜູ້ໃຊ້ ແລະທໍາລາຍລະບົບໂດຍໃຊ້ບັນຊີຜູ້ເບິ່ງແຍງລະບົບ. cybercriminal ສາມາດໃຊ້ສະຄຣິບເພື່ອລອງການປະສົມລະຫັດຜ່ານຫຼາຍພັນອັນຢູ່ໃນລະບົບເພື່ອເບິ່ງວ່າອັນໃດເຮັດວຽກໄດ້. ເມື່ອອາຊະຍາກໍາທາງອິນເຕີເນັດຢູ່ໃນ, ພວກເຂົາສາມາດປອມແປງຕົວຕົນຂອງຜູ້ໃຊ້, ໃຫ້ພວກເຂົາເຂົ້າເຖິງຂໍ້ມູນລັບ.
ຊ່ອງໂຫວ່ການພິສູດຢືນຢັນທີ່ແຕກຫັກມີຢູ່ໃນແອັບພລິເຄຊັນເວັບທີ່ອະນຸຍາດໃຫ້ເຂົ້າສູ່ລະບົບອັດຕະໂນມັດ. ວິທີທີ່ນິຍົມເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ໃນການກວດສອບຄວາມຖືກຕ້ອງແມ່ນການໃຊ້ການພິສູດຢືນຢັນແບບຫຼາຍປັດໃຈ. ນອກຈາກນີ້, ຂີດຈໍາກັດອັດຕາການເຂົ້າສູ່ລະບົບສາມາດ ລວມ ໃນແອັບເວັບເພື່ອປ້ອງກັນການໂຈມຕີດ້ວຍກຳລັງທີ່ໂຫດຮ້າຍ.
ການເປີດເຜີຍຂໍ້ມູນທີ່ລະອຽດອ່ອນ
ຖ້າແອັບພລິເຄຊັນເວັບບໍ່ປົກປ້ອງຜູ້ໂຈມຕີທີ່ລະອຽດອ່ອນສາມາດເຂົ້າເຖິງ ແລະໃຊ້ພວກມັນເພື່ອຜົນປະໂຫຍດຂອງເຂົາເຈົ້າ. ການໂຈມຕີຢູ່ໃນເສັ້ນທາງແມ່ນວິທີການທີ່ນິຍົມສໍາລັບການລັກຂໍ້ມູນທີ່ລະອຽດອ່ອນ. ຄວາມສ່ຽງຕໍ່ການເປີດເຜີຍສາມາດມີໜ້ອຍທີ່ສຸດເມື່ອຂໍ້ມູນລະອຽດອ່ອນທັງໝົດຖືກເຂົ້າລະຫັດ. ຜູ້ພັດທະນາເວັບຄວນຮັບປະກັນວ່າບໍ່ມີຂໍ້ມູນທີ່ລະອຽດອ່ອນຖືກເປີດເຜີຍຢູ່ໃນຕົວທ່ອງເວັບຫຼືຖືກເກັບໄວ້ໂດຍບໍ່ຈໍາເປັນ.
XML External Entities (XEE)
ອາດຊະຍາກຳທາງອິນເຕີເນັດສາມາດອັບໂຫລດ ຫຼືລວມເອົາເນື້ອຫາ XML, ຄຳສັ່ງ ຫຼືລະຫັດທີ່ເປັນອັນຕະລາຍພາຍໃນເອກະສານ XML. ນີ້ອະນຸຍາດໃຫ້ພວກເຂົາເບິ່ງໄຟລ໌ໃນລະບົບໄຟລ໌ເຄື່ອງແມ່ຂ່າຍຂອງແອັບພລິເຄຊັນ. ເມື່ອພວກເຂົາເຂົ້າເຖິງ, ພວກເຂົາສາມາດພົວພັນກັບເຄື່ອງແມ່ຂ່າຍເພື່ອປະຕິບັດການໂຈມຕີການຮ້ອງຂໍການປອມແປງຂອງເຄື່ອງແມ່ຂ່າຍ (SSRF)..
ການໂຈມຕີ XML ພາຍນອກສາມາດ ໄດ້ຮັບການປ້ອງກັນໂດຍ ອະນຸຍາດໃຫ້ແອັບພລິເຄຊັນເວັບຍອມຮັບປະເພດຂໍ້ມູນທີ່ຊັບຊ້ອນໜ້ອຍເຊັ່ນ JSON. ການປິດໃຊ້ງານການປະມວນຜົນ XML ພາຍນອກຍັງຊ່ວຍຫຼຸດໂອກາດຂອງການໂຈມຕີ XEE.
ການຄວບຄຸມການເຂົ້າເຖິງທີ່ແຕກຫັກ
ການຄວບຄຸມການເຂົ້າເຖິງແມ່ນໂປໂຕຄອນລະບົບທີ່ຈໍາກັດຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດໃຫ້ຂໍ້ມູນທີ່ລະອຽດອ່ອນ. ຖ້າລະບົບການຄວບຄຸມການເຂົ້າເຖິງຖືກທໍາລາຍ, ຜູ້ໂຈມຕີສາມາດຂ້າມຜ່ານການກວດສອບໄດ້. ນີ້ເຮັດໃຫ້ພວກເຂົາເຂົ້າເຖິງຂໍ້ມູນທີ່ລະອຽດອ່ອນຄືກັບວ່າພວກເຂົາໄດ້ຮັບການອະນຸຍາດ. ການຄວບຄຸມການເຂົ້າເຖິງສາມາດຮັບປະກັນໄດ້ໂດຍການປະຕິບັດ tokens ການອະນຸຍາດໃນການເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້. ໃນທຸກໆຄໍາຮ້ອງຂໍທີ່ຜູ້ໃຊ້ເຮັດໃນຂະນະທີ່ຖືກຢືນຢັນ, token ການອະນຸຍາດກັບຜູ້ໃຊ້ໄດ້ຖືກກວດສອບ, ເປັນສັນຍານວ່າຜູ້ໃຊ້ໄດ້ຮັບອະນຸຍາດໃຫ້ເຮັດຄໍາຮ້ອງຂໍນັ້ນ.
ຄວາມປອດໄພທີ່ບໍ່ຖືກຕ້ອງ
ການຕັ້ງຄ່າຄວາມປອດໄພບໍ່ຖືກຕ້ອງແມ່ນບັນຫາທົ່ວໄປທີ່ cybersecurity ຜູ້ຊ່ຽວຊານສັງເກດເຫັນໃນຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌. ອັນນີ້ເກີດຂຶ້ນເປັນຜົນມາຈາກສ່ວນຫົວ HTTP ທີ່ຖືກຕັ້ງຄ່າຜິດ, ການຄວບຄຸມການເຂົ້າເຖິງທີ່ແຕກຫັກ, ແລະການສະແດງຂໍ້ຜິດພາດທີ່ເປີດເຜີຍຂໍ້ມູນຢູ່ໃນເວັບ app.. ທ່ານສາມາດແກ້ໄຂການຕັ້ງຄ່າຄວາມປອດໄພທີ່ຜິດພາດໂດຍການລົບລັກສະນະທີ່ບໍ່ໄດ້ນໍາໃຊ້. ທ່ານຄວນປັບປຸງແພັກເກັດຊອບແວຂອງທ່ານ.
ອັກສອນຂ້າມເວບໄຊທ໌ (XSS)
ຊ່ອງໂຫວ່ XSS ເກີດຂຶ້ນເມື່ອຜູ້ໂຈມຕີຈັດການ DOM API ຂອງເວັບໄຊທ໌ທີ່ເຊື່ອຖືໄດ້ເພື່ອປະຕິບັດລະຫັດອັນຕະລາຍໃນຕົວທ່ອງເວັບຂອງຜູ້ໃຊ້.. ການປະຕິບັດລະຫັດອັນຕະລາຍນີ້ມັກຈະເກີດຂຶ້ນເມື່ອຜູ້ໃຊ້ຄລິກໃສ່ການເຊື່ອມຕໍ່ທີ່ເບິ່ງຄືວ່າມາຈາກເວັບໄຊທ໌ທີ່ເຊື່ອຖືໄດ້.. ຖ້າເວັບໄຊທ໌ບໍ່ໄດ້ຮັບການປົກປ້ອງຈາກຄວາມອ່ອນແອຂອງ XSS, ມັນສາມາດເຮັດໄດ້ ບຸກລຸກ. ລະຫັດທີ່ເປັນອັນຕະລາຍນັ້ນ ຖືກປະຕິບັດ ໃຫ້ຜູ້ໂຈມຕີເຂົ້າເຖິງເຊດຊັນການເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້, ລາຍລະອຽດບັດເຄຣດິດ, ແລະຂໍ້ມູນລະອຽດອ່ອນອື່ນໆ.
ເພື່ອປ້ອງກັນ Cross-site Scripting (XSS), ໃຫ້ແນ່ໃຈວ່າ HTML ຂອງທ່ານຖືກອະນາໄມດີ. ນີ້ສາມາດເຮັດໄດ້ ບັນລຸໄດ້ໂດຍ ການເລືອກກອບທີ່ເຊື່ອຖືໄດ້ຂຶ້ນກັບພາສາຂອງການເລືອກ. ທ່ານສາມາດນໍາໃຊ້ພາສາຕ່າງໆເຊັ່ນ: .Net, Ruby on Rails, ແລະ React JS ຍ້ອນວ່າພວກເຂົາຕ້ອງການຊ່ວຍວິເຄາະແລະເຮັດຄວາມສະອາດລະຫັດ HTML ຂອງທ່ານ. ການປະຕິບັດຂໍ້ມູນທັງໝົດຈາກຜູ້ໃຊ້ທີ່ຜ່ານການພິສູດຢືນຢັນ ຫຼື ບໍ່ໄດ້ຜ່ານການພິສູດຢືນຢັນທີ່ບໍ່ເຊື່ອຖືສາມາດຫຼຸດຜ່ອນຄວາມສ່ຽງຂອງການໂຈມຕີ XSS ໄດ້..
Insecure Deserialization
Deserialization ແມ່ນການຫັນປ່ຽນຂໍ້ມູນ serialized ຈາກເຄື່ອງແມ່ຂ່າຍໄປຫາວັດຖຸ. Deserialization ຂອງຂໍ້ມູນແມ່ນເກີດຂຶ້ນທົ່ວໄປໃນການພັດທະນາຊອບແວ. ມັນບໍ່ປອດໄພເມື່ອຂໍ້ມູນ ຖືກ deserialized ຈາກແຫຼ່ງທີ່ບໍ່ເຊື່ອຖື. ນີ້ສາມາດ ອາດຈະເປັນ ເປີດເຜີຍແອັບພລິເຄຊັນຂອງທ່ານຕໍ່ກັບການໂຈມຕີ. ຄວາມບໍ່ປອດໄພ deserialization ເກີດຂຶ້ນເມື່ອຂໍ້ມູນທີ່ deserialized ຈາກແຫຼ່ງທີ່ບໍ່ຫນ້າເຊື່ອຖືນໍາໄປສູ່ການໂຈມຕີ DDOS, ການໂຈມຕີການດໍາເນີນການລະຫັດໄລຍະໄກ, ຫຼື bypasses ການກວດສອບ..
ເພື່ອຫຼີກເວັ້ນການ deserialization ທີ່ບໍ່ປອດໄພ, ກົດລະບຽບຂອງ thumb ແມ່ນເພື່ອບໍ່ໃຫ້ເຊື່ອຂໍ້ມູນຜູ້ໃຊ້. ທຸກໆການປ້ອນຂໍ້ມູນຂອງຜູ້ໃຊ້ຄວນ ໄດ້ຮັບການປິ່ນປົວ as ອາດຈະເປັນ ເປັນອັນຕະລາຍ. ຫຼີກເວັ້ນການ deserialization ຂອງຂໍ້ມູນຈາກແຫຼ່ງທີ່ບໍ່ຫນ້າເຊື່ອຖື. ໃຫ້ແນ່ໃຈວ່າການທໍາງານຂອງ deserialization ກັບ ຖືກນໍາໃຊ້ ໃນຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ຂອງທ່ານແມ່ນປອດໄພ.
ການນໍາໃຊ້ອົງປະກອບທີ່ມີຈຸດອ່ອນທີ່ຮູ້ຈັກ
ຫໍສະໝຸດ ແລະກອບວຽກໄດ້ເຮັດໃຫ້ມັນໄວຂຶ້ນຫຼາຍໃນການພັດທະນາແອັບພລິເຄຊັນເວັບໂດຍບໍ່ຈໍາເປັນຕ້ອງສ້າງລໍ້ໃຫມ່. ນີ້ຊ່ວຍຫຼຸດຜ່ອນຄວາມຊໍ້າຊ້ອນໃນການປະເມີນລະຫັດ. ພວກເຂົາເປີດທາງໃຫ້ນັກພັດທະນາສຸມໃສ່ລັກສະນະທີ່ສໍາຄັນຂອງແອັບພລິເຄຊັນ. ຖ້າຜູ້ໂຈມຕີຄົ້ນພົບການຂູດຮີດໃນກອບເຫຼົ່ານີ້, ທຸກໆ codebase ທີ່ໃຊ້ກອບຈະ ບຸກລຸກ.
ຜູ້ພັດທະນາອົງປະກອບມັກຈະສະເຫນີການແກ້ໄຂຄວາມປອດໄພແລະການປັບປຸງສໍາລັບຫ້ອງສະຫມຸດອົງປະກອບ. ເພື່ອຫຼີກເວັ້ນຄວາມອ່ອນແອຂອງອົງປະກອບ, ທ່ານຄວນຮຽນຮູ້ທີ່ຈະຮັກສາແອັບພລິເຄຊັນຂອງທ່ານໃຫ້ທັນສະໄຫມດ້ວຍການແກ້ໄຂຄວາມປອດໄພຫຼ້າສຸດແລະການອັບເກຣດ.. ອົງປະກອບທີ່ບໍ່ໄດ້ໃຊ້ຄວນ ໄດ້ຮັບການໂຍກຍ້າຍອອກ ຈາກຄໍາຮ້ອງສະຫມັກທີ່ຈະຕັດ vectors ການໂຈມຕີ.
ການບັນທຶກ ແລະການຕິດຕາມບໍ່ພຽງພໍ
ການບັນທຶກແລະການຕິດຕາມແມ່ນມີຄວາມສໍາຄັນໃນການສະແດງກິດຈະກໍາໃນຄໍາຮ້ອງສະຫມັກເວັບຂອງທ່ານ. ການບັນທຶກເຮັດໃຫ້ມັນງ່າຍຕໍ່ການຕິດຕາມຄວາມຜິດພາດ, ຕິດຕາມກວດກາ ການເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້, ແລະກິດຈະກໍາ.
ການບັນທຶກ ແລະການຕິດຕາມບໍ່ພຽງພໍເກີດຂຶ້ນເມື່ອເຫດການທີ່ສຳຄັນດ້ານຄວາມປອດໄພບໍ່ໄດ້ຖືກບັນທຶກ ເຫມາະສົມ. ການໂຈມຕີໃຊ້ທຶນນີ້ເພື່ອປະຕິບັດການໂຈມຕີໃນຄໍາຮ້ອງສະຫມັກຂອງທ່ານກ່ອນທີ່ຈະມີຄໍາຕອບທີ່ສັງເກດເຫັນ.
ການຕັດໄມ້ສາມາດຊ່ວຍໃຫ້ບໍລິສັດຂອງທ່ານປະຫຍັດເງິນແລະເວລາເພາະວ່ານັກພັດທະນາຂອງທ່ານສາມາດເຮັດໄດ້ ໄດ້ຢ່າງງ່າຍດາຍ ຊອກຫາແມງໄມ້. ນີ້ອະນຸຍາດໃຫ້ພວກເຂົາສຸມໃສ່ການແກ້ໄຂຂໍ້ບົກພ່ອງຫຼາຍກ່ວາການຊອກຫາພວກມັນ. ແທ້ຈິງແລ້ວ, ການບັນທຶກສາມາດຊ່ວຍຮັກສາເວັບໄຊທ໌ ແລະເຊີບເວີຂອງທ່ານ ແລະເຮັດວຽກໄດ້ທຸກຄັ້ງໂດຍທີ່ພວກມັນບໍ່ປະສົບກັບເວລາຢຸດເຮັດວຽກໃດໆ..
ສະຫຼຸບ
ລະຫັດທີ່ດີບໍ່ແມ່ນ ພຽງແຕ່ ກ່ຽວກັບການເຮັດວຽກ, ມັນແມ່ນກ່ຽວກັບການຮັກສາຜູ້ໃຊ້ແລະແອັບພລິເຄຊັນຂອງທ່ານໃຫ້ປອດໄພ. OWASP Top 10 ແມ່ນບັນຊີລາຍຊື່ຂອງຄວາມສ່ຽງດ້ານຄວາມປອດໄພຂອງແອັບພລິເຄຊັນທີ່ມີຄວາມສໍາຄັນທີ່ສຸດແມ່ນເປັນຊັບພະຍາກອນຟຣີທີ່ຍິ່ງໃຫຍ່ສໍາລັບນັກພັດທະນາໃນການຂຽນໂປຼແກຼມເວັບແລະມືຖືທີ່ປອດໄພ.. ການຝຶກອົບຮົມນັກພັດທະນາໃນທີມງານຂອງທ່ານເພື່ອປະເມີນແລະບັນທຶກຄວາມສ່ຽງສາມາດປະຫຍັດເວລາແລະເງິນຂອງທີມງານຂອງທ່ານໃນໄລຍະຍາວ. ຖ້າເຈົ້າຕ້ອງການ ຮຽນຮູ້ເພີ່ມເຕີມກ່ຽວກັບວິທີການຝຶກອົບຮົມທີມງານຂອງທ່ານໃນ OWASP Top 10 ກົດທີ່ນີ້.
