OWASP टॉप 10 सुरक्षा जोखीम | आढावा
अनुक्रमणिका
OWASP म्हणजे काय?
OWASP ही वेब अॅप सुरक्षा शिक्षणासाठी समर्पित ना-नफा संस्था आहे.
OWASP शिक्षण साहित्य त्यांच्या वेबसाइटवर उपलब्ध आहे. त्यांची साधने वेब ऍप्लिकेशन्सची सुरक्षा सुधारण्यासाठी उपयुक्त आहेत. यात दस्तऐवज, साधने, व्हिडिओ आणि मंच समाविष्ट आहेत.
OWASP Top 10 ही एक सूची आहे जी आजच्या वेब अॅप्ससाठी सर्वोच्च सुरक्षा समस्यांवर प्रकाश टाकते. सुरक्षा धोके कमी करण्यासाठी सर्व कंपन्यांनी हा अहवाल त्यांच्या प्रक्रियेत समाविष्ट करावा अशी त्यांची शिफारस आहे. खाली OWASP टॉप 10 2017 अहवालात समाविष्ट केलेल्या सुरक्षितता जोखमींची यादी आहे.
SQL इंजेक्शन
जेव्हा एखादा आक्रमणकर्ता अनुप्रयोगातील प्रोग्राममध्ये व्यत्यय आणण्यासाठी वेब अॅपवर अनुचित डेटा पाठवतो तेव्हा SQL इंजेक्शन होते.
एसक्यूएल इंजेक्शनचे उदाहरण:
आक्रमणकर्ता इनपुट फॉर्ममध्ये SQL क्वेरी प्रविष्ट करू शकतो ज्यासाठी वापरकर्तानाव प्लेन टेक्स्ट आवश्यक आहे. इनपुट फॉर्म सुरक्षित नसल्यास, त्याचा परिणाम SQL क्वेरीच्या अंमलबजावणीमध्ये होईल. या संदर्भित आहे SQL इंजेक्शन म्हणून.
कोड इंजेक्शनपासून वेब अनुप्रयोगांचे संरक्षण करण्यासाठी, तुमचे विकसक वापरकर्त्याने सबमिट केलेल्या डेटावर इनपुट प्रमाणीकरण वापरतात याची खात्री करा. येथे प्रमाणीकरण अवैध इनपुट नाकारणे संदर्भित करते. ची रक्कम कमी करण्यासाठी डेटाबेस व्यवस्थापक देखील नियंत्रणे सेट करू शकतो माहिती करू शकता उघड करणे इंजेक्शनच्या हल्ल्यात.
SQL इंजेक्शन टाळण्यासाठी, OWASP डेटा आदेश आणि क्वेरींपासून वेगळा ठेवण्याची शिफारस करते. सुरक्षित वापरणे हा श्रेयस्कर पर्याय आहे API दुभाष्याचा वापर रोखण्यासाठी किंवा ऑब्जेक्ट रिलेशनल मॅपिंग टूल्स (ओआरएम) वर स्थलांतर करण्यासाठी.
तुटलेली प्रमाणीकरण
प्रमाणीकरण भेद्यता आक्रमणकर्त्याला वापरकर्ता खात्यांमध्ये प्रवेश करण्यास आणि प्रशासक खाते वापरून प्रणालीशी तडजोड करण्यास अनुमती देऊ शकते. कोणते कार्य करते हे पाहण्यासाठी सिस्टीमवर हजारो पासवर्ड कॉम्बिनेशन वापरून सायबर गुन्हेगार स्क्रिप्ट वापरू शकतो. एकदा सायबर क्रिमिनल आले की, ते वापरकर्त्याची ओळख खोटी करू शकतात, त्यांना गोपनीय माहितीमध्ये प्रवेश देऊ शकतात.
स्वयंचलित लॉगिनला अनुमती देणार्या वेब ऍप्लिकेशन्समध्ये तुटलेली प्रमाणीकरण भेद्यता अस्तित्वात आहे. प्रमाणीकरण असुरक्षा दुरुस्त करण्याचा एक लोकप्रिय मार्ग म्हणजे मल्टीफॅक्टर ऑथेंटिकेशनचा वापर. तसेच, लॉगिन दर मर्यादा असू शकते समाविष्ट करणे ब्रूट फोर्स हल्ले रोखण्यासाठी वेब अॅपमध्ये.
संवेदनशील डेटा एक्सपोजर
जर वेब ऍप्लिकेशन्स संवेदनशील हल्लेखोरांचे संरक्षण करत नसतील तर ते प्रवेश करू शकतात आणि त्यांच्या फायद्यासाठी त्यांचा वापर करू शकतात. ऑन-पाथ हल्ला ही संवेदनशील माहिती चोरण्याची लोकप्रिय पद्धत आहे. जेव्हा सर्व संवेदनशील डेटा एन्क्रिप्ट केलेला असतो तेव्हा एक्सपोजरचा धोका कमी असतो. वेब डेव्हलपर्सनी हे सुनिश्चित केले पाहिजे की ब्राउझरवर कोणताही संवेदनशील डेटा उघड होणार नाही किंवा अनावश्यकपणे संग्रहित केला जाणार नाही.
XML बाह्य संस्था (XEE)
सायबर गुन्हेगार XML दस्तऐवजात दुर्भावनापूर्ण XML सामग्री, आदेश किंवा कोड अपलोड किंवा समाविष्ट करण्यास सक्षम असू शकतो. हे त्यांना ऍप्लिकेशन सर्व्हर फाइल सिस्टमवर फाइल्स पाहण्याची परवानगी देते. एकदा त्यांना प्रवेश मिळाला की, ते सर्व्हर-साइड रिक्वेस्ट फोर्जरी (SSRF) हल्ले करण्यासाठी सर्व्हरशी संवाद साधू शकतात..
XML बाह्य घटक हल्ले करू शकतात द्वारे प्रतिबंधित केले जाईल वेब ऍप्लिकेशन्सना JSON सारखे कमी क्लिष्ट डेटा प्रकार स्वीकारण्याची अनुमती देणे. XML बाह्य घटक प्रक्रिया अक्षम केल्याने XEE हल्ल्याची शक्यता कमी होते.
तुटलेले प्रवेश नियंत्रण
ऍक्सेस कंट्रोल हा एक सिस्टम प्रोटोकॉल आहे जो अनधिकृत वापरकर्त्यांना संवेदनशील माहितीवर प्रतिबंधित करतो. प्रवेश नियंत्रण प्रणाली तुटलेली असल्यास, आक्रमणकर्ते प्रमाणीकरण बायपास करू शकतात. हे त्यांना संवेदनशील माहितीमध्ये प्रवेश देते जसे की त्यांच्याकडे अधिकृतता आहे. वापरकर्ता लॉगिनवर अधिकृतता टोकन लागू करून प्रवेश नियंत्रण सुरक्षित केले जाऊ शकते. प्रमाणीकरण करताना वापरकर्त्याने केलेल्या प्रत्येक विनंतीवर, वापरकर्त्यासह अधिकृतता टोकन सत्यापित केले जाते, जे संकेत देते की वापरकर्ता ती विनंती करण्यास अधिकृत आहे.
सुरक्षा चुकीची कॉन्फिगरेशन
सुरक्षा चुकीची कॉन्फिगरेशन ही एक सामान्य समस्या आहे सायबर सुरक्षा तज्ञ वेब अनुप्रयोगांमध्ये निरीक्षण करतात. हे चुकीचे कॉन्फिगर केलेले HTTP शीर्षलेख, तुटलेली प्रवेश नियंत्रणे आणि वेब अॅपमधील माहिती उघड करणाऱ्या त्रुटींच्या प्रदर्शनामुळे उद्भवते.. तुम्ही न वापरलेली वैशिष्ट्ये काढून सुरक्षा चुकीची कॉन्फिगरेशन दुरुस्त करू शकता. तुम्ही तुमची सॉफ्टवेअर पॅकेजेस देखील पॅच किंवा अपग्रेड करा.
क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस)
XSS असुरक्षा उद्भवते जेव्हा आक्रमणकर्ता वापरकर्त्याच्या ब्राउझरमध्ये दुर्भावनापूर्ण कोड कार्यान्वित करण्यासाठी विश्वासार्ह वेबसाइटच्या DOM API मध्ये फेरफार करतो. या दुर्भावनायुक्त कोडची अंमलबजावणी अनेकदा तेव्हा होते जेव्हा वापरकर्ता एखाद्या विश्वसनीय वेबसाइटवरून दिसत असलेल्या लिंकवर क्लिक करतो. वेबसाइट XSS असुरक्षिततेपासून संरक्षित नसल्यास, ती करू शकते तडजोड करणे. दुर्भावनायुक्त कोड की अंमलात आणला जातो आक्रमणकर्त्याला वापरकर्त्यांचे लॉगिन सत्र, क्रेडिट कार्ड तपशील आणि इतर संवेदनशील डेटामध्ये प्रवेश देते.
क्रॉस-साइट स्क्रिप्टिंग (XSS) रोखण्यासाठी, तुमचा HTML चांगल्या प्रकारे सॅनिटाइझ केलेला असल्याची खात्री करा. हे करू शकता द्वारे साध्य करणे पसंतीच्या भाषेवर अवलंबून विश्वसनीय फ्रेमवर्क निवडणे. तुम्ही .Net, Ruby on Rails आणि React JS सारख्या भाषा वापरू शकता कारण ते तुमचा HTML कोड पार्स आणि साफ करण्यात मदत करतील. प्रमाणीकृत किंवा गैर-प्रमाणीकृत वापरकर्त्यांकडील सर्व डेटा अविश्वासू म्हणून हाताळल्याने XSS हल्ल्यांचा धोका कमी होऊ शकतो.
असुरक्षित डीसीरियलायझेशन
डीसीरियलायझेशन म्हणजे सर्व्हरवरून ऑब्जेक्टमध्ये अनुक्रमित डेटाचे रूपांतर. सॉफ्टवेअर डेव्हलपमेंटमध्ये डेटाचे डीसीरियलायझेशन ही एक सामान्य घटना आहे. डेटा असताना ते असुरक्षित आहे डीसीरियलाइज्ड आहे अविश्वसनीय स्त्रोताकडून. हे करू शकता संभाव्य हल्ले करण्यासाठी तुमचा अनुप्रयोग उघड करा. असुरक्षित डीसीरियलायझेशन उद्भवते जेव्हा अविश्वासू स्त्रोताकडून डीसीरियलाइज्ड डेटा DDOS हल्ले, रिमोट कोड एक्झिक्यूशन हल्ले किंवा प्रमाणीकरण बायपासकडे जातो.
असुरक्षित डीसीरियलायझेशन टाळण्यासाठी, वापरकर्त्याच्या डेटावर कधीही विश्वास ठेवू नये असा नियम आहे. प्रत्येक वापरकर्त्याने डेटा इनपुट केला पाहिजे उपचार करा as संभाव्य दुर्भावनापूर्ण अविश्वसनीय स्त्रोतांकडून डेटाचे डीसीरियलायझेशन टाळा. डीसीरियलायझेशन कार्य करते याची खात्री करा वापरले जाऊ आपल्या वेब अनुप्रयोगात सुरक्षित आहे.
ज्ञात भेद्यतेसह घटक वापरणे
लायब्ररी आणि फ्रेमवर्कने चाक पुन्हा शोधण्याची गरज न पडता वेब अनुप्रयोग विकसित करणे अधिक जलद केले आहे. हे कोड मूल्यमापनातील अनावश्यकता कमी करते. ते विकसकांना अनुप्रयोगांच्या अधिक महत्त्वाच्या पैलूंवर लक्ष केंद्रित करण्याचा मार्ग मोकळा करतात. हल्लेखोरांना या फ्रेमवर्कमध्ये शोषण आढळल्यास, फ्रेमवर्क वापरणारा प्रत्येक कोडबेस तडजोड करणे.
घटक विकासक अनेकदा घटक लायब्ररींसाठी सुरक्षा पॅच आणि अद्यतने देतात. घटक भेद्यता टाळण्यासाठी, आपण नवीनतम सुरक्षा पॅच आणि अपग्रेडसह आपले अनुप्रयोग अद्ययावत ठेवण्यास शिकले पाहिजे. न वापरलेले घटक असावेत काढले जाऊ अटॅक वेक्टर कापण्यासाठी ऍप्लिकेशनमधून.
अपुरा लॉगिंग आणि मॉनिटरिंग
तुमच्या वेब ऍप्लिकेशनमध्ये क्रियाकलाप दर्शविण्यासाठी लॉगिंग आणि मॉनिटरिंग महत्वाचे आहे. लॉगिंगमुळे त्रुटी शोधणे सोपे होते, मॉनिटर वापरकर्ता लॉगिन आणि क्रियाकलाप.
जेव्हा सुरक्षा-गंभीर इव्हेंट लॉग केलेले नसतात तेव्हा अपुरे लॉगिंग आणि मॉनिटरिंग होते योग्यरित्या. कोणताही लक्षणीय प्रतिसाद येण्यापूर्वी हल्लेखोर तुमच्या अर्जावर हल्ले करण्यासाठी याचा फायदा घेतात.
लॉगिंग तुमच्या कंपनीला पैसे आणि वेळ वाचविण्यात मदत करू शकते कारण तुमचे डेव्हलपर करू शकतात सहजपणे बग शोधा. हे त्यांना दोष शोधण्यापेक्षा त्यांचे निराकरण करण्यावर अधिक लक्ष केंद्रित करण्यास अनुमती देते. प्रत्यक्षात, लॉगिंगमुळे तुमची साइट आणि सर्व्हर चालू ठेवण्यास आणि त्यांना कोणत्याही डाउनटाइमचा अनुभव न घेता प्रत्येक वेळी चालू ठेवण्यास मदत होते..
निष्कर्ष
चांगला कोड नाही फक्त कार्यक्षमतेबद्दल, ते तुमचे वापरकर्ते आणि अनुप्रयोग सुरक्षित ठेवण्याबद्दल आहे. OWASP टॉप 10 ही सर्वात गंभीर ऍप्लिकेशन सुरक्षा जोखमींची यादी आहे हे विकसकांसाठी सुरक्षित वेब आणि मोबाइल अॅप्स लिहिण्यासाठी एक उत्तम विनामूल्य संसाधन आहे. जोखमींचे मूल्यांकन आणि लॉग इन करण्यासाठी तुमच्या टीममधील विकासकांना प्रशिक्षण दिल्याने तुमच्या टीमचा वेळ आणि पैसा दीर्घकाळ वाचू शकतो. आपण इच्छित असल्यास OWASP Top 10 वर तुमच्या संघाला प्रशिक्षण कसे द्यावे याबद्दल अधिक जाणून घ्या येथे क्लिक करा.
