Mitä OWASP Top 10-Haavoittuvuuksien listaa?
Open Web Application Security Projectin vuonna 2004 julkaisema nyt kuuluisa OWASP Top 10-Haavoittuvuuslista (sisältyy artikkelin alalaitaan) lienee lähimpänä sitä, että kehitysyhteisö on koskaan saanut joukon käskyjä siitä, miten heidän tuotteensa pidetään turvallisina.,
Tämä lista edustaa OWASP: n mukaan kaikkein oleellisimpia ohjelmistoturvallisuuden uhkia tänään otsaan lyöville monille, jotka ihmettelevät, miten SQL-pistokset ovat edelleen tällainen huolenaihe kaikkien näiden vuosien jälkeen. He tuomitsevat haavoittuvuus tyypit perustuu neljä kriteeriä pistettä:
- helppous kuvatun haavoittuvuuden
- määriä
- havaittavuudesta
- liiketoiminnan vaikutus
Mielenkiintoista kyllä, OWASP todetaan, että he eivät oikeastaan tekijä heidän yhtälön todennäköisyys, että hyökkääjät yrittävät käyttää hyväkseen tiettyä haavoittuvuutta.,
Kun se alkoi, kirjoittajat päätti, että paras tapa kattaa useimmat maa oli laittaa samanlainen haavoittuvuuksia, joiden he uskoivat olevan huolestuttavinta ryhmiin. He ymmärsivät, että kunnollisten tilastojen puutteessa voi aina olla kysymys siitä, mitkä haavoittuvuudet ovat välttämättä päällimmäisenä huolena, varsinkin kun kyseessä voi olla subjektiivinen kysymys kunkin organisaation uhkamallin mukaan.
Kuitenkin, kun paljon keskustelua, he tarjosivat niiden luettelo siitä, mitä he uskoivat käsitellä laaja joukko organisaatioita, vaikkakaan ei mitään erityisen järjestyksessä.,
ajan myötä OWASP Top 10-Haavoittuvuuslista hyväksyttiin lukuisten organisaatioiden parhaiden käytäntöjen ja vaatimusten standardiksi, joka asettaa kehityksen kannalta merkittävän standardin. Yksi tunnettu listan omaksuja on PCI-DSS: n maksunkäsittelystandardit.
Valitettavasti, kuten OWASP Top 10-Haavoittuvuudet lista on saavuttanut laajemman yleisön, sen todelliset aikeet opas on tulkittu väärin, vahingoittaa kehittäjät sen sijaan auttaa. Joten miten meidän pitäisi ymmärtää tämän luettelon tarkoitus ja todella kannustaa kehittäjiä koodaamaan turvallisemmin?,
vuoden 2017 Listan päivitysten ymmärtäminen
seuraavina vuosina he ovat päivittäneet ja järjestäneet merkinnät uusiksi ja lisänneet uusia haavoittuvuustyyppejä niiden tullessa ajankohtaisiksi, vaikka muut pudotettiin listalta. Uusia versioita on julkaistu vuosina 2010, 2013 ja 2017. Uusi lista koottiin pitkän ja vaivalloisen tutkimuksen jälkeen, jossa tarkasteltiin yli 50 000 sovellusta ja analysoitiin noin 2,3 miljoonaa haavoittuvuutta.,
Listan vakituiset seuraajat ovat huomanneet, että järjestyksessä tapahtuneiden muutosten ohella — huolimatta siitä, että pistoshyökkäykset jäävät päälle — OWASP Top 10-Haavoittuvuusperheen vuoden 2017 päivitettyyn versioon on joitakin tulokkaita.
Pelaajan ulos kilpailun tuuman tiensä kentän potkiminen pois vahvistamattomat ohjaa ja eteenpäin on kysymys suojaamaton APIs., Sen luetteloon numero A10 paikalla on todennäköisesti seurausta siitä, että kehittäjät ovat yksinkertaisesti paljon enemmän riippuvainen APIs kuin ne käytetään, vuorovaikutuksessa paljon enemmän osia ja ulkoisia tuotteita kuin ennen. A7-kohtaan saapuminen on riittämätön hyökkäyssuojaus, joka kolkuttaa kehittäjiä siitä, että he eivät ole tarpeeksi kattavia lisäämään suojauksia havaitsemiseen, puunkorjuuseen ja tottakai reagoimaan yrityksiin vahingoittaa tuotteitaan.,
toinen suuri muutos tässä vuoden 2017 versiossa on A4: n epävarmojen suorien objektiviittausten ja A7: n puuttuvan toimintotason kulunvalvonnan yhdistäminen, yhtenäisen rikkoutuneen kulunvalvonnan haavoittuvuuden luominen ja sen korostaminen, että on tarpeen luoda asianmukaisesti kontrollit sille, kuka voi ja ei voi käyttää tilejä ja tietoja.,
tulkitsi väärin OWASP Top 10-Haavoittuvuusluettelon
a force for good, tämä lista on valitettavasti muuttunut työkaluksi häpäiseville kehittäjille, jotka eivät noudata sen opetuksia, joita käytetään kerhona moittimaan niitä siitä, etteivät ne ole täydellisiä turvallisuuden suhteen. Tämä lähestymistapa on haitallinen ja jättää väliin OWASPIN tehtävän rohkaista ja varustaa kehittäjiä koodaamaan turvallisemmin. Lisäksi se ei tunnista saavutukset kymmeniä kehittäjiä, jotka ajavat ulos valtavia määriä uusia ohjelmistoja koskaan ennen nähnyt tahtiin.,
tuoreessa haastattelussa, OWASP: n puheenjohtaja Martin Knobloch ilmaisi pettymyksensä lista on eräänlainen tarkistuslista lopullinen ajaa läpi ennen julkaisua, jotka palvelevat useamman kuin validointi mekanismi kuin opas.
henkilönä, joka uskoo vahvasti siirtymävasemmistolaiseen lähestymistapaan turvallisuuteen, olen yllättäen täysin samaa mieltä Knoblochin turhautumisesta siihen, kuinka moni on ottanut OWASP Top 10-listan FUD: n välikappaleeksi, eikä ohjaavista periaatteista, joita sen oli tarkoitus olla.,
Haastava Teollisuus Lähestymistapoja Turvallisuus
Organisaation turvallisuuden strategioita, jotka riippuvat odottaa vika ihmisen elementtejä siinä, miten he turvallinen ohjelmisto hyväksi kiiltävä työkalut ovat tuomittu epäonnistumaan.
viime vuosina viestittely aivan liian monelta myyjältä, erityisesti verkon puolella, on ollut sitä, että ”kehä on kuollut” ja että yritysten on etsittävä tietoturvaa perusteellisesti löytääkseen jo verkostonsa sisällä olevat pahikset., Aivan liian monet otsikot konferensseissa on yrittänyt vakuuttaa CISOs, että joukkueet eliitti hakkerit jahtaavat niitä valikoitua 0 päivän hyödyntää, joka jättää heitä puolustuskyvyttömiä, elleivät he ostavat tuotteen, joka jotenkin tekee niistä läpäisemätön näitä muuten pysäyttää hyökkäyksiä.
tämä turvallisuustilannekatsaus on tarpeettoman fatalistinen, markkinointihypeä tihkuva ja jättää väliin joitakin peruskäsitteitä siitä, miten tietoturva-ammattilaisten tulisi ajatella riskejä.,
kokonaisvaltainen lähestymistapa turvallisuuteen ei saisi saarnata ihmiskehittäjien poistamisesta prosessista, vain myyjän tietoturvatyökalujen tuomiseksi korjattavaksi, kun he ovat lopettaneet työnsä. Tämä edellyttää, että kehittäjät ei voi luottaa, on loukkaavaa, ja ei ole mitään tehdä vahvempi joukkue, kun se tulee turvallisuus ja riskien hallinta.
mikä OWASP Top 10-Haavoittuvuuslista on ja ei
muutaman kerran vuodessa on pakollinen blogikirjoitus, jossa kysytään, miten on mahdollista, että vuonna 2017 puhutaan vielä script kiddie-tason hyökkäyksistä., Olen varmaan itsekin kirjoittanut niitä muutamia, joista pyydän anteeksi.
OWASP Top 10: tä ei ole perustettu ratkaisemaan jokaista kirjan hyökkäystä, vaan auttamaan joukkueita välttämään yleisiä virheitä, jotka ovat paljon todennäköisempiä saamaan hakemuksensa läpi. Määrätietoinen hyökkääjä voi löytää monia keinoja murtautua kohteeseensa. Älykkään riskienhallinnan neuvoissa ei kuitenkaan keskitytä tapausten vähemmistöön, vaan pyritään käsittelemään laajimman yleisön kohtaamia kysymyksiä.,
vetää käsitteet fyysisen turvallisuuden alalla, keskimääräinen riski manager pitäisi olla paljon enemmän huolissaan hänen asiakas joutumassa onnettomuus tiellä kuin ninjoja koulutettu SEAL Team 6 tulee ikkunoista, ohjaavat AI (ja blockchain).
Reaaliturvallisuudessa on kyse siitä, että ihmisiä koulutetaan työskentelemään turvallisesti ja heille annetaan teknologiaa, tietoa ja prosesseja, joiden avulla heidän on helpompi pysyä turvassa., Vaikka on aina tärkeää suorittaa laadunvarmistus ja lopulliset turvatarkastukset ennen julkaisua, turvallisuuden on aloitettava mahdollisimman varhaisessa vaiheessa siitä, miten tiimisi toimii, käynnissä koko tuotteen kehittämisprosessin ajan. Virheitä sattuu, mutta on paljon kustannustehokkaampaa ja suorastaan fiksumpaa yrittää välttää mahdollisimman monta asiaa.
monille kehittäjille ajotavoite keskittyy tuotteen saamiseen toimimaan keskittyen vähemmän siihen, onko se turvallinen vai ei. Tämä ei ole heidän vikansa.,
koko koulutuksensa ajan he oppivat, että jos he tuottavat tuotteen, jossa on vähäinen määrä vikoja, niin he saivat A: n.turvallisuus hoidettaisiin toisella osastolla joka tapauksessa. Sen sijaan johtajien on käytettävä tilaisuus näyttää heille parempi tapa työskennellä, joka sisältää harkitsee, miten ne koodi, ja komponentit, että he työskentelevät, vaikuttaa turvallisuutta tuotteensa.,
GET 451 RESEARCH ’ s REPORTON on SECURING OPEN SOURCE SOFTWARE Download Free
Practical Steps To Enable Better Security Practices
a common pitfall that came out of the days of waterfall development was to wait until the tail end of the development cycle to perform security checkets, where the developments wouls would receed a pesula list kitka between them and the security team.,
toivoo, rasvaus vaihteisto-ja tahdissa nopeus DevOps, organisaatiot etsivät uusia tapoja varmistaa niiden koodi alkaa ja ylläpitää harmoniaa niiden yksiköiden välillä.
Yksi yhä suositumpi tapa tuoda turvallisuus osaksi varhaisessa vaiheessa tuotteen kehitys on ristipölytteisiä joukkueet seoksella kehittäjät ja turvallisuus ihmiset, jolloin kumpikin puoli antaa palautetta ja oppia toisiltaan., Tämä voi olla erinomainen tilaisuus tietoturva-asiantuntijat esiin monia kysymyksiä, että OWASP Top 10 yritykset osoite vähemmän aggressiivista ympäristöä, vaiheessa, että voisi itse vaikuttaa.
kun kyse on työkaluista, jotka voivat edistää parempaa tietoturvan toteutusta, meidän on pohdittava paitsi sitä, miten teknologia voi tarttua virheisiimme tai rikkomuksiimme sen jälkeen, myös autettava meitä työskentelemään fiksummin ja turvallisemmin varhaisimmista vaiheista lähtien., Tämä näkökulma on olennainen osa vuoropohjaista mentaliteettia, jossa etsitään mahdollisuuksia käsitellä asioita ennen kuin niistä tulee kalliita ongelmia.
Integrointi Teknologioiden Laajentaa Kehittäjä Ominaisuuksia
selkeä esimerkki siitä, miten teknologioita siirtymässä vasemmalle voi auttaa kehittäjiä käyttää OWASP Top 10 tulee numero 9 merkintä, joka varoittaa komponentteja käyttäen tunnettuja haavoittuvuuksia. Yksi yleisimmistä ongelmista, jotka syntyvät tässä tilassa on saada näkyvyyttä siitä, mitä on avoimen lähdekoodin komponentteja, että he ovat lisänneet tuotteensa.,
Kehittäjät lähes aina kääntyä avoimen lähdekoodin komponentteja auttaa heitä rakentamaan heidän tuotteensa nopeammin ja tehokkaammin, lisäämällä tehokkaita ominaisuuksia ilman tarvetta kirjoittaa uuden koodin itse.
useimmissa tapauksissa he eivät todennäköisesti tarkista, onko komponentilla tunnettuja haavoittuvuuksia ennen sen lisäämistä tuotteeseensa. Vaikka he tekevät pintapuolisen tarkastuksen nähdäkseen, onko sillä erityisiä kysymyksiä, he eivät todennäköisesti ole tietoisia mitään kysymyksiä komponentin riippuvuuksista.,
kuitenkin, jos he käyttävät Ohjelmistokoostumuksen analysointityökalua, he voivat saada hyödyllistä tietoa siitä, onko avoimen lähdekoodin komponentilla tunnettuja haavoittuvuuksia, jotka liittyvät siihen koko ohjelmistokehityksen elinkaaren (SDLC) aikana, säästäen heille aikaa, joka muuten kuluisi komponentin repimiseen ja korvaamiseen sen jälkeen, kun tietoturvatiimi on tarkistanut asian myöhemmin ennen julkaisua sen jälkeen, kun se on sitoutunut koodiinsa.,
ole organisaatiosi turvallisuuden mahdollistaja
perustuen OWASP Top 10: n ja Knoblochin kommenttien lukemiseen, luetteloa olisi pidettävä välineenä, jolla tiimit voivat sisällyttää turvallisuuden ajatusprosessiinsa siitä, miten he koodaavat, määrittelevät ja lähettävät tuotteensa.
Turvallisuus joukkueet, jotka eivät osallistu niiden kehittäjät, tehdä vaivaa ymmärtää, miten he voivat valtuuttaa ne ovat turvallisuus on olennainen osa työnkulkua, nopeasti löytää itsensä sivuraiteelle.,
Jos haluat pysyä asiaa, tullut mahdollistajana, ja käyttää OWASP Top 10-lista tapa aloittaa keskusteluja, ei uhata. Lopulta saatat huomata, että pyydystät enemmän (O)ampiaisia hunajalla kuin viinietikalla.
Virallinen OWASP Top 10-Haavoittuvuudet List
A1. Injektointivirheitä, kuten SQL -, NoSQL -, OS-ja LDAP-injektioita, esiintyy, kun epäluotettavia tietoja lähetetään tulkille osana käskyä tai kyselyä. Hyökkääjän vihamieliset tiedot voivat huijata tulkin suorittamaan tahattomia komentoja tai käyttämään tietoja ilman asianmukaista lupaa.
A2., Broken Authentication – Sovellus toimintoja, jotka liittyvät todentamis-ja istuntojen hallinta toteutetaan usein väärin, jolloin hyökkääjät voivat vaarantaa salasanoja, avaimia tai istunnon kuponkia, tai hyödyntää muita täytäntöönpanon puutteita olettaa muiden käyttäjien identiteettejä tilapäisesti tai pysyvästi.
A3. Arkaluonteisten tietojen altistuminen – monet web-sovellukset ja API eivät suojaa asianmukaisesti arkaluonteisia tietoja, kuten financial, healthcare, ja PII. Hyökkääjät voivat varastaa tai muokata tällaisia heikosti suojattuja tietoja tehdäkseen luottokorttipetoksia, identiteettivarkauksia tai muita rikoksia., Arkaluonteiset tiedot voivat vaarantua ilman lisäsuojaa, kuten salaus levossa tai kauttakulussa, ja ne edellyttävät erityisiä varotoimia, kun niitä vaihdetaan selaimen kanssa.
A4. XML External Entities (XXE) – monet vanhemmat tai huonosti konfiguroidut XML-suorittimet arvioivat ulkoisia entiteettiviittauksia XML-asiakirjoissa. Ulkoiset yksiköt voidaan paljastaa sisäisen tiedostoja käyttämällä tiedosto-URI handler, sisäinen tiedosto osakkeita, sisäinen portti skannaus, koodin suorittamisen verkon välityksellä, ja palvelunestohyökkäykset.
A5.,Rikkoutuneet kulunvalvonta – rajoituksia sille, mitä todennetut käyttäjät saavat tehdä, ei useinkaan panna asianmukaisesti täytäntöön. Hyökkääjät voivat hyödyntää näitä puutteita käyttääkseen luvattomia toimintoja ja / tai tietoja, päästäkseen muiden käyttäjien tileille, nähdäkseen arkaluontoisia tiedostoja, muuttaakseen muiden käyttäjien tietoja, muuttaakseen käyttöoikeuksia jne.
A6. Turvallisuus väärinkäsitys-turvallisuus väärinkäsitys on yleisimmin nähty kysymys., Tämä johtuu yleisesti epävarmoista oletuskokoonpanoista, epätäydellisistä tai tilapäisistä kokoonpanoista, avoimesta pilvitallennuksesta, virheellisistä HTTP-otsikoista ja arkaluontoisia tietoja sisältävistä verbosointivirheviesteistä. Kaikkien käyttöjärjestelmien, puitteiden, kirjastojen ja sovellusten on oltava turvallisesti konfiguroituja, mutta ne on paikattava/päivitettävä oikea-aikaisesti.
A7.,Cross Site Scripting (XXS)-XSS puutteita esiintyy aina, kun sovellus sisältää epäluotettavia tietoja uudella sivulla ilman asianmukaista validointia tai pakenemista, tai päivittää olemassa olevan web-sivun käyttäjän toimittamia tietoja käyttäen selaimen API, joka voi luoda HTML tai JavaScript. XSS: n avulla hyökkääjät voivat suorittaa uhrin selaimessa komentosarjoja, jotka voivat kaapata käyttäjän istuntoja, purkaa verkkosivuja tai ohjata käyttäjän haitallisille sivustoille.
A8. Epävarma Deserialisaatio-epävarma deserialisaatio johtaa usein etäkoodin suoritukseen., Vaikka deserialisaatiovirheet eivät johda etäkoodin toteutukseen, niitä voidaan käyttää hyökkäysten suorittamiseen, kuten uusintahyökkäyksiin, pistoshyökkäyksiin ja etuoikeuksien eskalointihyökkäyksiin.
A9. Käyttämällä komponentteja, joilla on tunnettuja haavoittuvuuksia-komponentteja, kuten kirjastoja, kehyksiä ja muita ohjelmistomoduuleja, toimivat samoilla oikeuksilla kuin sovellus. Jos haavoittuvaa komponenttia käytetään hyväksi, tällainen hyökkäys voi helpottaa vakavaa tietojen menetystä tai palvelimen haltuunottoa., Sovellukset ja sovellukset, joissa käytetään komponentteja, joilla on tunnettuja haavoittuvuuksia, voivat heikentää sovellusten puolustuskykyä ja mahdollistaa erilaisia hyökkäyksiä ja vaikutuksia.
A10. Riittämätön Hakkuut & Seuranta – Riittämätön kirjaaminen ja seuranta yhdistettynä puuttuu tai on tehoton integrointi incident response, avulla hyökkääjät edelleen hyökätä järjestelmiä, ylläpitää pysyvyys, pivot enemmän järjestelmiä, ja väärentää, poistaa tai tuhota tietoja., Useimmat rikkovat tutkimukset osoittavat, aikaa havaita rikkomus on yli 200 päivää, tyypillisesti havaita ulkoiset osapuolet sijaan sisäisten prosessien tai seurantaa.