Na 10 cunnartan tèarainteachd as fheàrr aig OWASP | Ro-shealladh
Clàr-innse
Dè a th’ ann an OWASP?
Tha OWASP na bhuidheann neo-phrothaideach a tha coisrigte do fhoghlam tèarainteachd app lìn.
Tha stuthan ionnsachaidh OWASP rim faighinn air an làrach-lìn aca. Tha na h-innealan aca feumail airson tèarainteachd thagraidhean lìn a leasachadh. Tha seo a’ toirt a-steach sgrìobhainnean, innealan, bhideothan, agus fòraman.
Tha an OWASP Top 10 na liosta a tha a’ nochdadh na prìomh dhraghan tèarainteachd airson aplacaidean lìn an-diugh. Tha iad a’ moladh gum bi a h-uile companaidh a’ toirt a-steach an aithisg seo anns na pròiseasan aca gus cunnartan tèarainteachd a ghearradh. Gu h-ìosal tha liosta de chunnartan tèarainteachd a tha air an toirt a-steach don aithisg OWASP Top 10 2017.
Inntrigeadh SQL
Bidh in-stealladh SQL a’ tachairt nuair a chuireas neach-ionnsaigh dàta neo-iomchaidh gu app lìn gus dragh a chuir air a’ phrògram san tagradh.
Eisimpleir de SQL Injection:
Dh’ fhaodadh an neach-ionnsaigh ceist SQL a chuir a-steach ann am foirm cuir a-steach a dh’ fheumas teacsa ainm neach-cleachdaidh. Mura h-eil am foirm cuir a-steach tèarainte, mar thoradh air sin thèid ceist SQL a chuir an gnìomh. Seo air ainmeachadh gu mar stealladh SQL.
Gus tagraidhean lìn a dhìon bho in-stealladh còd, dèan cinnteach gu bheil an luchd-leasachaidh agad a’ cleachdadh dearbhadh inntrigidh air dàta a chuir neach-cleachdaidh a-steach. Tha dearbhadh an seo a’ toirt iomradh air a bhith a’ diùltadh cuir a-steach neo-dhligheach. Faodaidh manaidsear stòr-dàta cuideachd smachdan a shuidheachadh gus an àireamh de fiosrachadh a dh 'fhaodas sin bhi air fhoillseachadh ann an ionnsaigh stealladh.
Gus casg a chuir air in-stealladh SQL, tha OWASP a’ moladh dàta a chumail air leth bho òrdughan agus ceistean. Is e an roghainn as fheàrr a bhith a 'cleachdadh tèarainte API gus casg a chuir air eadar-theangair a chleachdadh, no imrich gu Innealan Mapaidh Dàimh Rud (ORMs).
Dearbhadh briste
Faodaidh so-leòntachd dearbhaidh leigeil le neach-ionnsaigh faighinn gu cunntasan luchd-cleachdaidh agus siostam a mhilleadh le bhith a’ cleachdadh cunntas rianachd. Faodaidh cybercriminal sgriobt a chleachdadh gus na mìltean de choimeasgaidhean facal-faire fheuchainn air siostam gus faicinn dè tha ag obair. Aon uair ‘s gu bheil an cybercriminal a-staigh, faodaidh iad dearbh-aithne an neach-cleachdaidh a mhealladh, a’ toirt dhaibh cothrom air fiosrachadh dìomhair.
Tha so-leòntachd dearbhaidh briste ann an tagraidhean lìn a leigeas le logadh a-steach fèin-ghluasadach. Is e dòigh mòr-chòrdte airson so-leòntachd dearbhaidh a cheartachadh cleachdadh dearbhadh ioma-fhactaraidh. Cuideachd, dh’ fhaodadh crìoch ìre logadh a-steach thoirt a-steach san app lìn gus casg a chuir air ionnsaighean feachd brùideil.
Taisbeanadh dàta mothachail
Mura dìon tagraidhean lìn faodaidh luchd-ionnsaigh mothachail faighinn a-steach agus an cleachdadh airson am buannachd. Tha ionnsaigh air-slighe na dhòigh mòr-chòrdte airson fiosrachadh mothachail a ghoid. Chan eil an cunnart gun nochd ach glè bheag nuair a tha a h-uile dàta mothachail air a chrioptachadh. Bu chòir do luchd-leasachaidh lìn dèanamh cinnteach nach eil dàta mothachail sam bith air fhoillseachadh air a’ bhrobhsair no air a stòradh gun fheum.
Buidhnean taobh a-muigh XML (XEE)
Is dòcha gum bi e comasach dha cybercriminal susbaint, òrdughan, no còd XML droch-rùnach a luchdachadh suas no a thoirt a-steach ann an sgrìobhainn XML. Leigidh seo leotha faidhlichean fhaicinn air siostam faidhle frithealaiche an aplacaid. Aon uair ‘s gu bheil cothrom aca, faodaidh iad eadar-obrachadh leis an t-seirbheisiche gus ionnsaighean meallta iarrtas taobh an fhrithealaiche (SSRF) a dhèanamh.
Faodaidh ionnsaighean eintiteas taobh a-muigh XML bhith air a chasg le a’ leigeil le tagraidhean lìn gabhail ri seòrsachan dàta nach eil cho iom-fhillte leithid JSON. Le bhith a’ cuir às do ghiullachd eintiteas taobh a-muigh XML cuideachd lughdaichidh sin na cothroman air ionnsaigh XEE.
Smachd ruigsinneachd briste
Is e protocol siostam a th’ ann an smachd ruigsinneachd a tha a’ cuingealachadh luchd-cleachdaidh gun chead gu fiosrachadh mothachail. Ma thèid siostam smachd ruigsinneachd a bhriseadh, faodaidh luchd-ionnsaigh dearbhadh a sheachnadh. Bheir seo cothrom dhaibh air fiosrachadh mothachail mar gum biodh cead aca. Faodar Smachd Ruigsinneachd a dhèanamh tèarainte le bhith a’ cur an gnìomh comharran cead air logadh a-steach luchd-cleachdaidh. Air a h-uile iarrtas a nì neach-cleachdaidh fhad ‘s a tha e air a dhearbhadh, tha an comharra cead leis an neach-cleachdaidh air a dhearbhadh, a’ comharrachadh gu bheil ùghdarras aig an neach-cleachdaidh an t-iarrtas sin a dhèanamh.
Mì-dhealbhadh tèarainteachd
Tha mì-dhealbhadh tèarainteachd na chùis chumanta a tha cybersecurity bidh eòlaichean a’ coimhead ann an tagraidhean lìn. Tha seo a’ tachairt mar thoradh air cinn-cinn HTTP mì-dhealbhaichte, smachdan ruigsinneachd briste, agus taisbeanadh mhearachdan a nochdas fiosrachadh ann an app lìn. Faodaidh tu mì-rèiteachadh tèarainteachd a cheartachadh le bhith a’ toirt air falbh feartan nach deach an cleachdadh. Bu chòir dhut cuideachd na pacaidean bathar-bog agad a ghleusadh no ùrachadh.
Sgrìobhadh tar-làraich (XSS)
Bidh so-leòntachd XSS a’ tachairt nuair a làimhsicheas neach-ionnsaigh an API DOM de làrach-lìn earbsach gus còd droch-rùnach a chuir an gnìomh ann am brobhsair neach-cleachdaidh. Bidh cur an gnìomh a’ chòd droch-rùnach seo gu tric a’ tachairt nuair a bhriogas neach-cleachdaidh air ceangal a tha coltach gu bheil e bho làrach-lìn earbsach. Mura h-eil an làrach-lìn air a dhìon bho so-leòntachd XSS, faodaidh e bhi air a chuir an sàs. An còd droch-rùnach a air a chur gu bàs a’ toirt cothrom do neach-ionnsaigh air seisean logaidh a-steach an luchd-cleachdaidh, mion-fhiosrachadh cairt creideas, agus dàta mothachail eile.
Gus casg a chuir air sgrìobhadh thar-làraich (XSS), dèan cinnteach gu bheil an HTML agad air a dheagh ghlanadh. Faodaidh seo a choileanadh le taghadh frèaman earbsach a rèir a’ chànain a thaghas iad. Faodaidh tu cànanan mar .Net, Ruby on Rails, agus React JS a chleachdadh oir chuidicheadh iad le bhith a’ parsadh agus a’ glanadh do chòd HTML. Le bhith a’ làimhseachadh a h-uile dàta bho luchd-cleachdaidh dearbhte no neo-dhearbhte mar neo-earbsach faodaidh sin an cunnart bho ionnsaighean XSS a lughdachadh.
Deserialization mì-chinnteach
Is e deserialization an cruth-atharrachadh air dàta sreathach bho fhrithealaiche gu nì. Tha dì-chlàradh dàta na thachartas cumanta ann an leasachadh bathar-bog. Tha e mì-shàbhailte nuair a tha dàta air a dhì-shreathachadh bho thùs neo-earbsach. Faodaidh seo s dòcha nochd an tagradh agad gu ionnsaighean. Bidh dì-chlàradh mì-chinnteach a’ tachairt nuair a dh’ adhbhraicheas dàta dì-shreathaichte bho stòr neo-earbsach gu ionnsaighean DDOS, ionnsaighean cur an gnìomh còd iomallach, no seach-rathadan dearbhaidh.
Gus dì-chlàradh mì-chinnteach a sheachnadh, is e an riaghailt nach bi earbsa ann an dàta luchd-cleachdaidh gu bràth. Bu chòir dàta a chuir a-steach do gach neach-cleachdaidh a làimhseachadh as s dòcha droch-rùnach. Seachain dì-chlàradh dàta bho stòran neo-earbsach. Dèan cinnteach gu bheil an gnìomh deserialization gu a chleachdadh san tagradh lìn agad sàbhailte.
A’ cleachdadh phàirtean le so-leòntachd aithnichte
Tha Leabharlannan agus Frèaman air a dhèanamh fada nas luaithe gus tagraidhean lìn a leasachadh gun a bhith feumach air a’ chuibhle ath-thòiseachadh. Tha seo a’ lughdachadh call obrach ann am measadh còd. Bidh iad a’ fuasgladh na slighe do luchd-leasachaidh fòcas a chuir air taobhan nas cudromaiche de thagraidhean. Ma lorgas luchd-ionnsaigh buannachdan anns na frèaman sin, bhiodh a h-uile còd còd a’ cleachdadh an fhrèam bhi air a chuir an sàs.
Bidh luchd-leasachaidh phàirtean gu tric a’ tabhann badan tèarainteachd agus ùrachaidhean airson leabharlannan co-phàirteach. Gus so-leòntachd co-phàirteach a sheachnadh, bu chòir dhut ionnsachadh na tagraidhean agad a chumail suas ris na pìosan tèarainteachd agus ùrachadh as ùire. Bu chòir co-phàirtean nach deach a chleachdadh a thoirt air falbh bhon tagradh gus vectors ionnsaigh a ghearradh.
Gu leòr de chlàradh is dearcnachadh
Tha logadh agus sgrùdadh cudromach gus gnìomhan san tagradh lìn agad a nochdadh. Tha logadh ga dhèanamh furasta mearachdan a lorg, sgrùdair logaichean luchd-cleachdaidh, agus gnìomhan.
Chan eil logadh agus sgrùdadh gu leòr ann nuair nach tèid tachartasan a tha deatamach airson tèarainteachd a chlàradh ceart. Bidh luchd-ionnsaigh a’ gabhail brath air seo gus ionnsaighean a dhèanamh air an tagradh agad mus bi freagairt follaiseach sam bith ann.
Faodaidh logadh do chompanaidh a chuideachadh gus airgead is ùine a shàbhaladh oir is urrainn don luchd-leasachaidh agad furasta lorg bugs. Leigidh seo leotha barrachd fòcas a chuir air fuasgladh fhaighinn air na mialan na bhith gan lorg. Gu dearbh, faodaidh logadh do làraichean agus frithealaichean a chumail ag obair a h-uile turas gun a bhith a’ faighinn ùine downt sam bith.
Co-dhùnadh
Chan eil còd math dìreach mu dheidhinn comas-gnìomh, tha e mu dheidhinn do luchd-cleachdaidh agus an tagradh agad a chumail sàbhailte. Tha an OWASP Top 10 na liosta de na cunnartan tèarainteachd tagraidh as deatamaiche na ghoireas math an-asgaidh dha luchd-leasachaidh gus aplacaidean lìn is gluasadach tèarainte a sgrìobhadh. Faodaidh trèanadh luchd-leasachaidh air an sgioba agad gus cunnartan a mheasadh agus a chlàradh ùine agus airgead do sgioba a shàbhaladh san fhad-ùine. Ma tha thu ag iarraidh ionnsaich tuilleadh mu mar as urrainn dhut do sgioba a thrèanadh air an OWASP Top 10 cliog an seo.
