Hva er OWASP Top 10 Sårbarheter listen?
som Første gang ble utgitt i 2004 av Open Web Application Security Project, den nå berømte OWASP Top 10 Sårbarheter liste (inkludert i bunnen av artikkelen) er trolig den nærmest som den utvikling samfunnet har noensinne kommet til et sett med bud om hvordan å holde sine produkter sikker.,
Denne listen representerer de mest relevante trusler mot programvare sikkerhet i dag i henhold til OWASP, til pannen-smelling av mange som lurer på hvordan SQL-injeksjoner er fortsatt slik bekymring etter alle disse årene. De dømmer sårbarhet typer som er basert på fire kriterier poeng:
- enkel exploitability
- prevalences
- detectability
- business impact
det er Interessant nok, OWASP sier at de ikke egentlig faktor i deres ligningen sannsynligheten for at angripere prøver å utnytte en viss sårbarhet.,
Når det begynte, forfattere besluttet at den beste måten å dekke de fleste bakken var å sette lignende sårbarheter at de antas å være den mest vedrørende inn i grupperinger. De forsto at de mangler riktig statistikk kan det alltid være et spørsmål om hvilke sårbarheter var nødvendigvis toppen grunn til bekymring, særlig ettersom dette kan være et subjektivt spørsmål som hver organisasjon trussel modell.
Men etter mye debatt, de tilbød sin liste over hva de mente å ta den bredeste sett av organisasjoner, om enn ikke i noen særlig ordre.,
Med tid, OWASP Top 10 Sårbarheter listen ble adoptert som standard for beste praksis og krav av mange organisasjoner, sette en standard i en følelse for utvikling. En godt kjent ute av listen er betalingsformidling standarder for PCI-DSS.
Dessverre, som OWASP Top 10 Sårbarheter listen har nådd et større publikum, sine virkelige intensjoner som en guide har blitt feiltolket, vondt utviklere i stedet for å hjelpe. Så hvordan skal vi forstå hensikten med denne listen, og faktisk oppfordrer utviklere til å kode mer sikkert?,
Forstå Oppdateringer Til 2017 Liste
I år siden, de har uthvilt og omorganisert oppføringer, å legge til noen nye typer sårbarhet som de blir relevante, mens andre ble droppet fra listen. Nye versjoner har blitt utstedt i 2010, 2013 og 2017. Den nye listen ble satt sammen etter en lang og krevende studie som så på mer enn 50 000 programmer og analysert noen 2,3 millioner sårbarheter.,
Regelmessig tilhengere av listen, vil ha lagt merke til at sammen med noen endringer i for — til tross for at injeksjon angrep forblir på toppen — det er noen nykommere til 2017 oppdatert versjon av OWASP Top 10 Sårbarheter familie.
å Slå ut motstanderne til å tommers sin vei til feltet ved å sparke av unvalidated viderekoblinger og fremover er spørsmålet om ubeskyttet Api-er., Sin inkludering på listen på antall A10 spot er sannsynligvis et resultat av det faktum at utviklere er rett og slett langt mer avhengig av Api-er enn de er vant til, i samspill med langt flere komponenter og eksterne produkter enn før. Kommer inn på A7 sted er ikke nok angrep beskyttelse, som banker utviklere for ikke å være omfattende nok i å legge beskyttelse for å oppdage, logge og selvfølgelig svare forsøk på å skade sine produkter.,
Den andre store endringen her i 2017 versjonen er den kombinasjon av A4 er usikre direkte objekt-referanser og A7 mangler funksjonsnivå access control, å skape en enhetlig ødelagte access control sårbarhet og fremheve nødvendigheten av riktig å etablere kontroller for hvem som kan og ikke kan få tilgang til kontoer og data.,
Likhetstegn Den OWASP Top 10 Sårbarheter Liste
En kraft for det gode, denne listen har dessverre slått til et verktøy for å presse utviklere som ikke klarer å følge dens læresetninger, som brukes som en klubb for å skjelle dem for ikke å være perfekt når det kommer til sikkerhet. Denne tilnærmingen er kontraproduktivt og savner OWASP ‘ s oppgave av å oppmuntre og utruste utviklere å kode mer sikkert. Videre, det klarer å gjenkjenne de har oppnådd av resultater av utviklere som presser ut massive mengder av ny programvare på en aldri før sett pris.,
I et nylig intervju, OWASP ‘ s formann Martin Knobloch uttrykt sin skuffelse på listen brukes som en slags sjekkliste for en endelig kjøre gjennom før en utgivelse, og tjener som en validering mekanisme enn en guide.
som noen Som tror sterkt på shift-venstre tilnærming til sikkerhet, jeg er ikke overraskende i en overveldende enighet med Knobloch ‘ s frustrasjon over hvor mange som har tatt OWASP Top 10 listen som et instrument for FUD, og ikke sett med veiledende prinsipper som det var ment å være.,
Utfordrende Bransje Tilnærminger Til Sikkerhet
Organisatorisk sikkerhet strategier som avhenger forventer unnlatelse fra den menneskelige elementer i hvordan de secure software i favør av skinnende verktøy er dømt til å mislykkes.
I de siste årene meldinger fra altfor mange leverandører, spesielt i nettverket side, har vært at «omkretsen er død», og at bedrifter må søke sikkerhet i dybden for å finne de slemme gutta som allerede er inne i sitt nettverk., Altfor mange overskrifter på konferanser har prøvd å overbevise CISOs som team av elite hackere er gunning for dem med rarified 0-day exploits som vil la dem forsvarsløse med mindre de kjøper deres produkt, noe som vil gjøre dem uinntagelig til disse ellers ustoppelig angrep.
Dette outlook på en tilstand av sikkerhet er unødvendig fatalistisk, dryppende med markedsføring hype, og bommer på noen av de grunnleggende konsepter for hvordan sikkerhet fagfolk bør tenke på risiko.,
En omfattende tilnærming til sikkerhet bør ikke forkynne å fjerne menneskelig utviklere fra prosessen, bare for å få en salgspant verktøy for å løse etter at de har fullført sitt arbeid. Dette forutsetter at utviklerne ikke kan stoles på, er fornærmende, og gjør ingenting for å gjøre ditt team sterkere når det kommer til sikkerhet og risikostyring.
Hva OWASP Top 10 Sårbarheter Listen Er Og Ikke
Et par ganger i året er det obligatorisk blogg innlegg å spørre hvordan det er mulig at det i 2017 vi snakker fremdeles om script kiddie nivå angrep., Jeg har sikkert skrevet et par av de selv, noe jeg beklager.
OWASP Top 10 er ikke satt opp til å løse ethvert angrep i boken, men for å hjelpe lagene unngå de vanligste feilene som er langt mer sannsynlig å få sine programmer brutt. En bestemt angriper kan finne mange muligheter til å bryte sine mål. Imidlertid, smart risikostyring kostholdsråd ikke fokusere på mindretall av tilfellene, men i stedet søker å løse utfordringer størst mulig publikum.,
til Å trekke fra begrepene fysisk sikkerhet-feltet for gjennomsnittlig risk manager bør være langt mer bekymret for hennes klient komme inn i en ulykke på veien enn ninjas trent av SEAL Team 6 som kommer inn gjennom vinduene, ledet av AI (og blockchain).
Reell sikkerhet er om trening mennesker på hvordan du kan arbeide på en sikker måte og gi dem teknologi, kunnskap og prosesser for å gjøre det lettere for dem å være sikker., Mens det er alltid viktig å kjøre QA og siste sikkerhetskontrollen før en utgivelse, sikkerhet behov for å starte på de tidligste stadier av hvordan laget fungerer, kjører over hele prosessen med å utvikle produktet. Feil vil skje, men det er langt mer kostnadseffektiv, og rett og slett smartere å prøve og unngå så mange problemer som mulig i første omgang.
For mange utviklere, kjøring mål sentre rundt å få produktet til å fungere, og fokusere mindre på hvorvidt det er trygt. Dette er ikke deres feil.,
Gjennom sin utdanning, de har lært at hvis de produserer et produkt med en minimal mengde av bugs, så de fikk en A. Sikkerhet ville bli håndtert av en annen avdeling anyways. I stedet, ledere trenger å benytte anledningen til å vise dem en bedre måte å jobbe som inkluderer vurderer hvordan de koden, og komponenter som de arbeider med, påvirker sikkerheten for sine produkter.,
FÅ 451 FORSKNING ER REPORTON SIKRING av ÅPEN KILDEKODE PROGRAMVARE Laste ned Gratis
Praktiske tiltak for Å gi Bedre Sikkerhet
En vanligste fallgruven som kom ut av dagene i foss utviklingen var å vente helt til tampen av utvikling syklus for å utføre sikkerhetskontroller, hvor utviklerne ville motta et vaskeri liste over sikkerhetsproblemer å fikse, forsinke utgivelsen og økt friksjon mellom dem og sikkerhetsavdelingen.,
I håp om å smøre tannhjulene og å holde tritt med hastigheten på DevOps, organisasjoner leter etter nye måter å sikre sine kode fra start og opprettholde harmoni mellom sine avdelinger.
En stadig mer populær metode for å bringe sikkerheten til de tidligere stadiene av produktutviklingen er i cross-pollinerende lag med en blanding av utviklere og sikkerhet folk, slik at hver side for å gi innspill og lære av hverandre., Dette kan være en utmerket mulighet for sikkerhetseksperter for å ta opp mange av de problemer som OWASP Top 10 forsøk på å ta opp i en mindre konfronterende miljø, på et nivå som faktisk kunne ha en innvirkning.
Når det kommer til verktøy som kan bidra til å fremme bedre sikkerhet for gjennomføring, må vi tenke ikke bare om hvordan teknologi kan fange vår feil eller brudd etter det faktum, men hjelpe oss med å jobbe smartere og mer sikkert fra de tidligste stadier., Dette perspektivet er en del og pakke av shift-venstre-mentalitet, som leter etter muligheter til å løse problemer før de blir dyrt problemer.
Integrere Teknologi for Å Forsterke Utvikler Evner
Et klart eksempel på hvordan teknologier for å flytte venstre kan hjelpe utviklerne med å utnytte OWASP Top 10 kommer med nummer 9 oppføring som advarer mot å bruke komponenter med kjente sårbarheter. En av de vanligste problemene som oppstår i denne plassen er i økende synlighet over hva som er i åpen kildekode-komponenter som de har lagt til deres produkt.,
Utviklere nesten alltid slå til åpen kildekode-komponenter for å hjelpe dem med å bygge deres produkt raskere og mer effektivt, og legger kraftige funksjoner uten at du trenger å skrive inn den nye koden selv.
I de fleste tilfeller, er de neppe til å sjekke om komponenten har kjente sikkerhetsproblemer før du legger det til deres produkt. Selv om de gjør utføre en overfladisk sjekk for å se om det har noen spesielle problemer, de er usannsynlig å være oppmerksom på eventuelle problemer i komponenten avhengigheter.,
Men hvis de er ved bruk av en Programvare Sammensetning Analyse verktøyet, kan de faktisk få nyttig informasjon om en åpen kildekode component har noen kjente sårbarheter som er knyttet til det hele software development lifecycle (SDLC), sparer dem tid som ellers kunne brukt på å rive og erstatte den komponenten etter en sjekk fra security team senere ned linjen før utgivelse etter at det ble begått til sin kode.,
Bli En Sikkerhet Enabler I Organisasjonen
Basert på min lesing av OWASP Top 10 og Knobloch kommentarer, listen bør tas som et verktøy for å styrke lagene til å omfatte sikkerhet i deres tankeprosess av hvordan de etiske, konfigurere, og sender ut sine produkter.
Security-lag som ikke engasjere seg med sine utviklere, noe som gjør en innsats for å forstå hvordan de kan gi dem styrke til å ha sikkerhet være et iboende element i deres arbeidsflyt, vil raskt finne seg satt på sidelinjen.,
Hvis du ønsker å bo relevant, bli et redskap, og bruke OWASP Top 10 listen som en måte å starte samtaler, for ikke å true. I slutten, du kan finne at du fange mer (O)VEPS med honning enn med eddik.
Den Offisielle OWASP Top 10 Sårbarheter Liste
A1. Injeksjon Injeksjon av feil, for eksempel SQL, NoSQL, OS, og LDAP-injeksjon, oppstår når upålitelige data som er sendt til en tolk som en del av en kommando eller spørring. Angriperen er fiendtlig data kan lure tolk i gjennomføringen utilsiktet kommandoer eller få tilgang til data uten autorisasjon.
A2., Brutt Godkjenning – Program funksjoner knyttet til godkjenning og økt ledelsen er ofte implementert riktig, slik at angripere å invadere passord, nøkler, eller økt tokens, eller å utnytte andre implementering feil å anta at andre brukere’ identiteter midlertidig eller permanent.
A3. Sensitive Data Eksponering – Mange web-applikasjoner og Api-er ikke riktig å beskytte sensitive data, for eksempel finans, helse, og PII. Angripere kan stjele eller endre slike svakt beskyttede data til å gjennomføre kredittkort svindel, identitetstyveri, eller andre forbrytelser., Sensitive data kan bli ødelagt uten ekstra beskyttelse, for eksempel kryptering i ro eller er i transitt, og krever spesielle forholdsregler når utvekslet med nettleseren.
A4. Eksterne XML-Enheter (XXE) – Mange eldre eller dårlig konfigurerte XML-prosessorer vurdere ekstern enhet referanser innen XML-dokumenter. Eksterne enheter som kan brukes til å avsløre intern filer ved hjelp av fil-URI handler, det interne file aksjer, intern port-skanning, ekstern kjøring av kode og tjenestenekt (denial of service-angrep.
A5.,Ødelagte Tilgang til Kontrollene – Restriksjoner på hva godkjente brukere får lov til å gjøre er ofte ikke tilstrekkelig håndhevet. Angripere kan utnytte disse feilene for å få tilgang uautorisert funksjonalitet og/eller data, tilgang til andre brukeres kontoer, utsikt (over hav sensitive filer, endre andre brukeres data, endre tilgangsrettigheter, etc.
A6. Sikkerhet feil konfigurasjon – Sikkerhet feil konfigurasjon er oftest sett problemet., Dette er ofte et resultat av usikre standard konfigurasjoner, ufullstendig eller ad hoc-konfigurasjoner, open cloud storage, feilkonfigurert HTTP-hoder, og detaljerte feilmeldinger som inneholder sensitiv informasjon. Ikke bare må alle operativsystemer, rammer, biblioteker og programmer være godt konfigurert, men de må være oppdatert/oppgradert i tide.
A7.,Cross-Site Scripting (XXS) – XSS-feil oppstår når et program som inneholder ukjente data i en ny web-side uten tilstrekkelig validering eller rømmer, eller oppdatere en eksisterende webside med bruker-levert data ved hjelp av en nettleser API som kan lage HTML eller JavaScript. XSS gjør at angriperne er i stand til å kjøre skript i offerets nettleser som kan brukerøkter, utviske nettsteder, eller omdirigere brukeren til skadelige nettsteder.
A8. Usikre Deserialisering – Usikre deserialisering fører ofte til utførelse av ekstern kode., Selv om deserialisering feil ikke føre til ekstern kjøring av kode, kan de brukes til å utføre angrep, inkludert angrep, injeksjon angrep, og opptrapping av privilegier angrep.
A9. Bruk av Komponenter med Kjente Sårbarheter – Komponenter, slik som biblioteker, rammeverk, og annen programvare moduler, kan du kjøre med de samme privilegier som programmet. Hvis en ømtålig komponent er utnyttet, et slikt angrep kan legge til rette for alvorlig tap av data eller server overtakelse., Programmer og Api-er ved hjelp av komponenter med kjente sårbarheter kan undergrave programmet forsvar og aktivere ulike angrep og konsekvenser.
A10. Utilstrekkelig Logging & Overvåkning – Utilstrekkelig logging og overvåking, kombinert med manglende eller ineffektiv integrasjon med incident response, gjør at angriperne er i stand til å ytterligere angrep systemer, opprettholde utholdenhet, drei til flere systemer, og sabotasje, ekstrakt, eller ødelegge data., De fleste brudd studier viser tid for å oppdage brudd er over 200 dager, vanligvis oppdaget av eksterne parter, snarere enn interne prosesser eller overvåking.