Barr 10 Rioscaí Slándála OWASP | Forbhreathnú
Clár na nÁbhar
Cad é OWASP?
Is eagraíocht neamhbhrabúis é OWASP atá tiomanta d'oideachas slándála aipeanna gréasáin.
Tá teacht ar ábhair foghlama an OWASP ar a suíomh Gréasáin. Tá a n-uirlisí úsáideach chun slándáil feidhmchlár gréasáin a fheabhsú. Áirítear leis seo doiciméid, uirlisí, físeáin agus fóraim.
Is é an OWASP Top 10 liosta a leagann béim ar na príomh-ábhair imní slándála maidir le haipeanna gréasáin inniu. Molann siad go gcuirfeadh gach cuideachta an tuarascáil seo san áireamh ina gcuid próiseas chun rioscaí slándála a laghdú. Anseo thíos tá liosta de na rioscaí slándála atá san áireamh i dtuarascáil OWASP Top 10 2017.
SQL Instealladh
Tarlaíonn instealladh SQL nuair a sheolann ionsaitheoir sonraí míchuí chuig aip gréasáin chun cur isteach ar an gclár san fheidhmchlár.
Sampla de Instealladh SQL:
D'fhéadfadh an t-ionsaitheoir ceist SQL a chur isteach i bhfoirm ionchuir a éilíonn gnáththéacs ainm úsáideora. Mura bhfuil an fhoirm ionchuir daingnithe, cuirfear ceist SQL i gcrích dá bharr. seo atreoraítear chun instealladh SQL.
Chun feidhmchláir ghréasáin a chosaint ó instealladh cóid, cinntigh go n-úsáideann d’fhorbróirí bailíochtú ionchuir ar shonraí a chuirtear isteach ag úsáideoirí. Tagraíonn bailíochtú anseo do dhiúltú ionchuir neamhbhailí. Is féidir le bainisteoir bunachar sonraí rialuithe a shocrú freisin chun méid na eolas is féidir a nochtadh in ionsaí insteallta.
Chun instealladh SQL a chosc, molann OWASP sonraí a choinneáil ar leithligh ó orduithe agus fiosruithe. Is é an rogha is fearr ná slán a úsáid API chun úsáid ateangaire a chosc, nó chun aistriú chuig Uirlisí Léarscáilithe Coibhneasta Oibiachta (ORMs).
Fíordheimhniú Briste
Is féidir le leochaileachtaí fíordheimhnithe ligean d'ionsaitheoir rochtain a fháil ar chuntais úsáideora agus córas a chur i gcontúirt ag baint úsáide as cuntas riaracháin. Is féidir le cibearchoireacht script a úsáid chun na mílte teaglaim pasfhocail a thriail ar chóras chun a fheiceáil cé acu a oibríonn. Nuair a bheidh an cibearchoireacht istigh, féadfaidh siad céannacht an úsáideora a bhréagnú, rud a thugann rochtain dóibh ar fhaisnéis rúnda.
Tá leochaileacht fíordheimhnithe briste i bhfeidhmchláir ghréasáin a cheadaíonn logáil isteach uathoibrithe. Bealach coitianta chun leochaileacht fíordheimhnithe a cheartú is ea fíordheimhniú ilfhachtóiriúil a úsáid. Chomh maith leis sin, d'fhéadfadh teorainn ráta logáil isteach a chur san áireamh san aip gréasáin chun ionsaithe fórsa brute a chosc.
Nochtadh Sonraí Íogaire
Mura gcosnaíonn feidhmchláir ghréasáin is féidir le hionsaitheoirí íogaire rochtain a fháil orthu agus iad a úsáid chun tairbhe a bhaint astu. Is modh coitianta é ionsaí ar chosáin chun faisnéis íogair a ghoid. Is beag an riosca a bhaineann le nochtadh nuair a bhíonn na sonraí íogaire go léir criptithe. Ba cheart d’fhorbróirí gréasáin a chinntiú nach nochtar aon sonraí íogaire ar an mbrabhsálaí nó nach stóráiltear iad gan ghá.
Aonáin Sheachtracha XML (XEE)
Seans go mbeidh cibearchoireacht in ann inneachar, orduithe nó cód mailíseach XML a uaslódáil nó a áireamh laistigh de dhoiciméad XML. Ligeann sé seo dóibh comhaid a fheiceáil ar chóras comhaid an fhreastalaí feidhmchláir. Nuair a bhíonn rochtain acu, féadfaidh siad idirghníomhú leis an bhfreastalaí chun ionsaithe a dhéanamh ar bhrionnú iarratais ar thaobh an fhreastalaí (SSRF)..
Is féidir le hionsaithe eintiteas seachtrach XML a chosc le ag ligean d’fheidhmchláir ghréasáin glacadh le cineálacha sonraí nach bhfuil chomh casta ar nós JSON. Laghdaítear seans ionsaí XEE freisin má dhíchumasaítear próiseáil aonáin sheachtraigh XML.
Rialú Rochtana Briste
Is prótacal córais é rialú rochtana a chuireann srian ar úsáideoirí neamhúdaraithe ar fhaisnéis íogair. Má bhristear córas rialaithe rochtana, is féidir le hionsaitheoirí fíordheimhniú a sheachbhóthar. Tugann sé seo rochtain dóibh ar fhaisnéis íogair amhail is go bhfuil údarú acu. Is féidir Rialú Rochtana a chinntiú trí chomharthaí údaraithe a chur i bhfeidhm ar logáil isteach úsáideora. Ar gach iarratas a dhéanann úsáideoir agus é fíordheimhnithe, fíoraítear an comhartha údaraithe leis an úsáideoir, rud a thugann le fios go bhfuil an t-úsáideoir údaraithe chun an iarraidh sin a dhéanamh.
Mí-chumraíocht Slándála
Is saincheist choitianta é míchumrú slándála cybersecurity breathnaíonn speisialtóirí i bhfeidhmchláir ghréasáin. Tarlaíonn sé seo mar thoradh ar cheanntásca HTTP míchumraithe, rialuithe rochtana briste, agus taispeáint earráidí a nochtar faisnéis in aip gréasáin. Is féidir leat Míchumrú Slándála a cheartú trí ghnéithe nár úsáideadh a bhaint. Ba cheart duit do phacáistí bogearraí a phaisteáil nó a uasghrádú freisin.
Scripteáil Tras-Láithreáin (XSS)
Tarlaíonn leochaileacht XSS nuair a ionramhálann ionsaitheoir an API DOM de shuíomh Gréasáin iontaofa chun cód mailíseach a rith i mbrabhsálaí úsáideora. Tarlaíonn forghníomhú an chóid mhailísigh seo go minic nuair a chliceálann úsáideoir ar nasc ar dealraitheach gur ó shuíomh Gréasáin iontaofa é. Mura bhfuil an láithreán gréasáin cosanta ó leochaileacht XSS, is féidir é a chur i gcontúirt. An cód mailíseach go a fhorghníomhú tugann sé rochtain d'ionsaitheoir ar sheisiún logáil isteach na n-úsáideoirí, ar shonraí cártaí creidmheasa, agus ar shonraí íogaire eile.
Chun Scriptáil Trassuíomh a chosc (XSS), cinntigh go bhfuil do HTML sláintithe go maith. Is féidir leis seo a bhaint amach le creataí iontaofa a roghnú ag brath ar an rogha teanga. Is féidir leat teangacha mar .Net, Ruby on Rails, agus React JS a úsáid mar go gcabhródh siad le do chód HTML a pharsáil agus a ghlanadh. Má dhéileáiltear leis na sonraí go léir ó úsáideoirí fíordheimhnithe nó neamhfhíordheimhnithe mar shonraí neamhiontaofa, is féidir an baol ionsaithe XSS a laghdú.
Díscriosú Neamhchinnteach
Is éard is díscriosú ann ná claochlú sonraí sraitheacha ó fhreastalaí go réad. Tarlú coitianta i bhforbairt bogearraí is ea díshraithiú sonraí. Tá sé neamhshábháilte nuair sonraí díscriosta ó fhoinse neamhiontaofa. Is féidir é seo b'fhéidir nocht d'iarratas d'ionsaithe. Tarlaíonn díscriosú neamhdhaingean nuair a bhíonn ionsaithe DDOS, ionsaithe forghníomhaithe cód cianda, nó seachbhealaí fíordheimhnithe mar thoradh ar shonraí díshraithe ó fhoinse neamhiontaofa.
Chun díscriú neamhchinnteach a sheachaint, is é an riail ná riamh muinín a chur ar shonraí úsáideoirí. Ba cheart do gach sonraí ionchuir úsáideora go gcaithfear leat as b'fhéidir mailíseach. Seachain díshraithiú sonraí ó fhoinsí neamhiontaofa. A chinntiú go bhfuil an fheidhm díserialú go a úsáid i d'fheidhmchlár gréasáin atá sábháilte.
Comhpháirteanna a Bhaineann Le Leochaileachtaí Aitheanta a Úsáid
Tá sé i bhfad níos tapúla ag Leabharlanna agus Creataí feidhmchláir ghréasáin a fhorbairt gan gá an roth a athchruthú. Laghdaíonn sé seo iomarcaíocht i meastóireacht cód. Réitíonn siad an bealach d'fhorbróirí díriú ar ghnéithe níos tábhachtaí d'fheidhmchláir. Má aimsíonn ionsaitheoirí gaiscí sna creataí seo, bheadh gach bunchód ag baint úsáide as an gcreat a chur i gcontúirt.
Is minic a thairgeann forbróirí comhpháirteanna paistí slándála agus nuashonruithe do leabharlanna comhpháirteanna. Chun leochaileachtaí comhpháirteanna a sheachaint, ba cheart duit foghlaim conas d’fheidhmchláir a choinneáil cothrom le dáta leis na paistí slándála agus na huasghráduithe is déanaí. Ba chóir go comhpháirteanna neamhúsáidte a bhaint ón iarratas chun veicteoirí ionsaí a ghearradh.
Logánú agus Monatóireacht Neamhleor
Tá logáil agus monatóireacht tábhachtach chun gníomhaíochtaí a thaispeáint i d'fheidhmchlár gréasáin. Is furasta earráidí a aimsiú le logáil, monatóireacht a dhéanamh ar logáil isteach úsáideoirí, agus gníomhaíochtaí.
Tarlaíonn logáil agus monatóireacht neamhleor nuair nach ndéantar logáil isteach ar imeachtaí atá ríthábhachtach don tslándáil i gceart. Baineann ionsaitheoirí leas as seo chun ionsaithe a dhéanamh ar d’iarratas sula mbíonn aon fhreagra suntasach ann.
Is féidir le logáil cabhrú le do chuideachta airgead agus am a shábháil mar is féidir le d’fhorbróirí go héasca bugs a aimsiú. Ligeann sé seo dóibh díriú níos mó ar na fabhtanna a réiteach ná iad a chuardach. Go bunúsach, is féidir le logáil cabhrú le do shuíomhanna agus freastalaithe a choinneáil ar bun agus a reáchtáil gach uair gan aon aga neamhfhónaimh a bheith acu.
Conclúid
Níl cód maith ach maidir le feidhmiúlacht, baineann sé le d'úsáideoirí agus d'fheidhmchláir a choinneáil sábháilte. Is é an OWASP Top 10 liosta de na rioscaí slándála feidhmchláir is tábhachtaí ná acmhainn iontach saor in aisce d’fhorbróirí chun aipeanna slána gréasáin agus soghluaiste a scríobh. Is féidir le hoiliúint a chur ar fhorbróirí ar d’fhoireann chun rioscaí a mheasúnú agus a logáil am agus airgead a shábháil ar do fhoireann san fhadtréimhse. Más maith leat níos mó a fhoghlaim faoi conas a oiliúint do fhoireann ar an OWASP Barr 10 cliceáil anseo.
