Musraqil ish Mavzu: OWASP WebGoat симуляторида аутентификацияни синдириш (Broken authentication) ҳужумини амалга ошириш. 710-19 guruh talabasi Yarasheva Matluba Reja: 1. Open Web Application Security Project (OWASP) 2. OWASP Top Ten 3. OWASP WebGoat
OWASP nima?
Open Web Application Security Project (OWASP) butun dunyo boʻylab notijorat tashkilot boʻlib, dasturiy taʼminot xavfsizligini yaxshilashga qaratilgan. Shuningdek, ularda interaktiv hamjamiyat mavjud boʻlib, unda butun dunyo boʻylab ishlab chiquvchilar va mutaxassislar xavfsizroq ilovalar yaratish uchun birlashadilar. OWASP "jamoa" modeli ostida ishlaydi, ya'ni har kim OWASP bilan bog'liq loyihalarda ishtirok etishi va o'z hissasini qo'shishi mumkin. Texnik qo'llanmalar va vositalardan tortib tadbirlargacha bo'lgan barcha narsalar uchun OWASP o'z takliflari bepul va hamma uchun oson bo'lishini ta'minlaydi.
Nima uchun OWASP muhim?
OWASP muhim ahamiyatga ega, chunki ular bir nechta mutlaqo mustaqil tashkilotlardan biri, ya'ni ular biron bir sotuvchi yoki texnologiya bilan bog'liq emas. Bu OWASP-ga o'zining notijorat missiyasiga e'tibor qaratish imkonini beradi va ilovalar xavfsizligi haqida xolis, amaliy ma'lumot beradi.
OWASP ham juda muhim, chunki u bir nechta juda mashhur loyihalarga ega, shu jumladan butun dunyo bo'ylab ishlab chiquvchilar va xavfsizlik bo'yicha mutaxassislar tomonidan keng qo'llaniladigan OWASP Top Tenga, shuningdek, uning jamoaviy harakatlari tashkilotga dasturiy ta'minot xavfsizligi sanoatida katta ta'sir ko'rsatadi.
OWASP Top 10 nima?
OWASP Top Ten - bu veb-ilovalarga eng ko'p uchraydigan hujumlar tasnifi. OWASP ning asosiy maqsadi ishlab chiquvchilar va tashkilotlarni xavfsizlikning ahamiyati to'g'risida xabardor qilish uchun ushbu ro'yxatni ommaviy qilishdir.
Mana OWASP eng yaxshi o'nta xavfsizlik xavflarining joriy ro'yxati:
A01 – Buzilgan kirish nazorati : Kirishni boshqarish siyosatini qo‘llamaslik, ya’ni foydalanuvchilar o‘zlariga mo‘ljallangan ruxsatlardan tashqarida harakat qila olmasligi zaifliklarga olib kelishi mumkin, jumladan, eng kam imtiyozli foydalanuvchining buzilishi, boshqa birovning akkauntini ko‘rish yoki tahrirlashga ruxsat berish va imtiyozni oshirish.
- A02 – Kriptografik nosozliklar : Birinchi narsa, tranzit va dam olish holatidagi ma’lumotlarni himoya qilish ehtiyojlarini aniqlash, aniq matnda uzatilgan har qanday ma’lumotlardan parolga asoslangan kalit mavjud bo‘lmaganda kriptografik kalit sifatida parollar ishlatilishi yoki foydalanilmasligigacha. hosila qilish funktsiyasi.
- A03 - Injection : Ilova, masalan, foydalanuvchi tomonidan taqdim etilgan ma'lumotlar ilova tomonidan tasdiqlanmagan, filtrlanmagan yoki tozalanmagan bo'lsa, ilova hujumga qarshi zaifdir. Eng keng tarqalgan in'ektsiyalardan ba'zilari SQL, NoSQL, OS buyrug'i, Ob'ekt bilan bog'liq xaritalash (ORM) va LDAP in'ektsiyasidir.
- A04 - Ishonchsiz dizayn : Ishonchsiz dizayn - bu "etishmayotgan yoki samarasiz boshqaruv dizayni" sifatida ifodalangan turli zaif tomonlarini ifodalovchi keng kategoriya. Ishonchsiz dizaynga hissa qo'shadigan omillardan biri ishlab chiqilayotgan dasturiy ta'minot yoki tizimga xos bo'lgan biznes risklari profilining yo'qligi hisoblanadi.
- A05 – Xavfsizlikning noto‘g‘ri konfiguratsiyasi : Masalan, ilova bulut xizmatlariga noto‘g‘ri sozlangan ruxsatnomalar, standart hisoblar va ularning parollari hali ham yoqilgan bo‘lsa, foydalanuvchilarga haddan tashqari ma’lumot beruvchi xato xabarlari yoki eskirgan yoki zaif dasturiy ta’minot bo‘lsa, ilova zaif bo‘lishi mumkin.
- A06 - Zaif va eskirgan komponentlar : Agar siz foydalanadigan barcha komponentlar versiyalarini bilmasangiz, zaifliklarni muntazam tekshirmasangiz yoki dasturiy ta'minot ishlab chiquvchilari yangilangan, yangilangan yoki yamalgan kutubxonalarning mosligini sinab ko'rmasangiz, ehtimol siz zaif bo'lib qolasiz. .
- A07 – Identifikatsiya va autentifikatsiyadagi nosozliklar : Agar ilova, masalan, hisob maʼlumotlarini toʻldirish, qoʻpol kuch yoki boshqa avtomatlashtirilgan hujumlar kabi avtomatlashtirilgan hujumlarga ruxsat bersa yoki koʻp faktorli autentifikatsiya etishmayotgan yoki samarasiz boʻlsa, autentifikatsiya qilishda kamchiliklar boʻlishi mumkin.
- A08 - Dasturiy ta'minot va ma'lumotlar yaxlitligidagi nosozliklar : dasturiy ta'minot va ma'lumotlar yaxlitligi buzilgan kod va infratuzilma bilan bog'liq bo'lib, ular yaxlitlik buzilishidan himoya qilmaydi, bu tajovuzkorlarga o'z yangilanishlarini yuklash imkonini beradi yoki ob'ektlar yoki ma'lumotlar tajovuzkor tomonidan kodlangan yoki ketma-ketlashtirilgan tuzilishga kiradi. ko'ring va o'zgartiring.
- A09 – Xavfsizlik jurnali va monitoringdagi nosozliklar : yetarlicha ro‘yxatga olish, aniqlash, monitoring va faol javob har qanday vaqtda sodir bo‘ladi, masalan, tekshirilishi mumkin bo‘lgan hodisalar qayd etilmaganda yoki dastur real vaqt rejimida faol hujumlarni aniqlay olmasa, kuchaytira olmasa yoki ogohlantira olmasa yoki real vaqtga yaqin.
- A10 – Server tomonidagi so‘rovni qalbakilashtirish : SSRF kamchiliklari har safar veb-ilova foydalanuvchi tomonidan taqdim etilgan URL-manzilni tasdiqlamasdan masofaviy resursni olishda yuzaga keladi va bu tajovuzkorga dasturni kutilmagan manzilga tayyorlangan so‘rov yuborishga majburlash imkonini beradi.
Do'stlaringiz bilan baham: |