OWASP Top 10 Rîskên Ewlekariyê | Têgihiştinî
Table of Contents
OWASP çi ye?
OWASP rêxistinek ne-qezenc e ku ji bo perwerdehiya ewlehiya sepana webê veqetandî ye.
Materyalên fêrbûna OWASP li ser malpera wan têne gihîştin. Amûrên wan ji bo baştirkirina ewlehiya serîlêdanên malperê bikêr in. Di vê yekê de belge, amûr, vîdyoy û forum hene.
OWASP Top 10 navnîşek e ku îro fikarên ewlehiyê yên sereke ji bo sepanên webê ronî dike. Ew pêşniyar dikin ku hemî pargîdan vê raporê di pêvajoyên xwe de bicîh bikin da ku xetereyên ewlehiyê kêm bikin. Li jêr navnîşek xetereyên ewlehiyê yên di rapora OWASP Top 10 2017 de hene.
Injection SQL
Derziya SQL çêdibe dema ku êrîşkar daneyên neguncaw ji serîlêdanek webê re dişîne da ku bernameya di sepanê de têk bibe..
Nimûneyek ji SQL Injection:
Êrîşkar dikaribû pirsek SQL bikeve nav formek têketinê ya ku pêdivî bi navê bikarhênerek tekstek vekirî heye. Ger forma têketinê ne ewle be, ew ê bibe sedema pêkanîna pirsek SQL. Ev tête navandin wek derzîlêdana SQL.
Ji bo parastina serîlêdanên malperê ji derzkirina kodê, pê ewle bine ku pêşdebirên we li ser daneyên ku ji hêla bikarhêner ve hatî şandin verastkirina têketinê bikar tînin.. Li vir verastkirin redkirina têketinên nederbasdar vedibêje. Rêvebirek databasê jî dikare kontrolan saz bike da ku mîqdara kêm bike agahî ku dikare bên eşkerekirin di êrîşa derziyê de.
Ji bo pêşîgirtina derzîlêdana SQL, OWASP pêşniyar dike ku daneyan ji ferman û pirsan veqetînin. Vebijêrkek bijartî ev e ku meriv ewlehiyek bikar bîne API ji bo pêşîlêgirtina karanîna wergêr, an jî koçkirina berbi Amûrên Nexşeya Têkilî ya Objekt (ORM).
Authentication Broken
Qelsiyên rastnivîsandinê dikarin bihêlin ku êrîşkar bigihîje hesabên bikarhêner û bi karanîna hesabek rêveberiyê pergalê têk bibe.. Sûcdarek sîber dikare skrîptekê bikar bîne da ku bi hezaran berhevokên şîfreyê li ser pergalek biceribîne da ku bibîne ka kîjan kar dike. Gava ku sûcdarê sîber tê de ye, ew dikarin nasnameya bikarhênerê sexte bikin, wan bigihînin agahdariya nepenî..
Di sepanên webê de ku destûrê didin têketinên otomatîkî de xisarek erêkirina şikestî heye. Rêbazek populer a rastkirina qelsiya erêkirinê karanîna pejirandina pir-faktor e. Di heman demê de, sînorek rêjeya têketinê dikare tê de be di sepana webê de ji bo pêşîgirtina li êrîşên hêza hovane.
Daneyên hesas
Ger serîlêdanên webê neparêzin êrişkerên hesas dikarin bigihîjin wan û ji bo berjewendiya xwe bikar bînin. Êrîşek li ser rê rêbazek populer e ji bo dizîna agahdariya hesas. Dema ku hemî daneyên hesas têne şîfre kirin, xetereya vegirtinê hindik e. Pêşdebirên malperê divê pê ewle bin ku tu daneyên hesas li ser gerokê neyên eşkere kirin an jî nehewce têne hilanîn.
Saziyên XML Derveyî (XEE)
Dibe ku sûcdarek sîber bikaribe naverok, ferman, an kodek XML-ya xerab di nav belgeyek XML de bar bike an jî tê de bike.. Ev dihêle ku ew pelan li ser pergala pelê servera serîlêdanê bibînin. Gava ku ew gihîştin, ew dikarin bi serverê re têkilî daynin da ku êrişên sextekariya daxwaza server-side (SSRF) pêk bînin.
Êrîşên saziya derve ya XML dikare were asteng kirin destûrê dide serîlêdanên malperê ku celebên daneya kêmtir tevlihev ên wekî JSON qebûl bikin. Neçalakkirina pêvajoyek saziya derveyî ya XML jî şansê êrişek XEE kêm dike.
Kontrola gihîştina şikestî
Kontrola gihîştinê protokolek pergalê ye ku bikarhênerên bêdestûr ji agahdariya hesas re sînordar dike. Ger pergalek kontrolkirina gihîştinê şikest, êrîşkar dikarin erêkirinê derbas bikin. Ev rê dide wan ku bigihîjin agahdariya hesas mîna ku ew xwediyê destûr be. Kontrola gihîştinê dikare bi pêkanîna nîşaneyên destûrnameyê li ser têketina bikarhêner were ewle kirin. Li ser her daxwazek ku bikarhênerek dema ku rasthatî ye dike, tokena destûrnameyê bi bikarhêner re tê verast kirin, nîşan dide ku bikarhêner destûr e ku wê daxwazê bike.
Sazkirina çewt a ewlehiyê
Veavakirina xeletiya ewlehiyê pirsgirêkek hevpar e ku ew e .Bisporê pispor di serîlêdanên webê de temaşe dikin. Ev di encama sernavên HTTP-ê yên şaş hatine mîhengkirin, kontrolên gihîştinê yên şikestî, û nîşandana xeletiyên ku agahdariya di sepanek webê de eşkere dikin pêk tê.. Hûn dikarin bi rakirina taybetmendiyên nebikaranîn Vesazkirinek Ewlekariyê rast bikin. Di heman demê de divê hûn pakêtên nermalava xwe jî paqij bikin an nûve bikin.
Nivîsandina Xaçperest (XSS)
Zelalbûna XSS diqewime dema ku êrîşkar DOM API-ya malperek pêbawer manîpule dike da ku koda xerab di geroka bikarhênerek de bicîh bike.. Dema ku bikarhênerek li ser lînka ku ji malperek pêbawer xuya dike bitikîne, pêkanîna vê koda xerab pir caran pêk tê.. Ger malper ji xerabûna XSS neyê parastin, ew dikare tawîz bibin. Koda xerab ku tê îdam kirin dide êrîşkar ku bigihîje danişîna têketina bikarhêner, hûrguliyên qerta krediyê, û daneyên din ên hesas.
Ji bo pêşîlêgirtina Nivîsandina Xaça-malperê (XSS), piştrast bikin ku HTML-a we baş hatî paqij kirin. Ev dikare bi dest xistin Hilbijartina çarçoveyên pêbawer li gorî zimanê bijartî. Hûn dikarin zimanên mîna .Net, Ruby on Rails, û React JS bikar bînin ji ber ku ew ê bibin alîkar ku hûn koda HTML-a xwe parsek û paqij bikin. Danîna hemî daneyên ji bikarhênerên pejirandî an ne-rastkirî wekî nebawer dikare xetera êrîşên XSS kêm bike..
Deserialization bêewle
Deserialîzasyon veguherîna daneya serialîzekirî ji serverek bo objeyek e. Deserialîzasyona daneyan di pêşkeftina nermalavê de bûyerek hevpar e. Dema ku daneyan ne ewle ye tê deserialîzekirin ji çavkaniyek nebawer. Ev dikare derfet serlêdana xwe ji êrîşan re eşkere bikin. Deserialîzasyona ne ewledar çêdibe dema ku daneyên deserialîzekirî yên ji çavkaniyek nebawer dibe sedema êrişên DDOS, êrişên darvekirina kodê ji dûr ve, an derbaskirina rastdariyê..
Ji bo ku xwe ji deserialîzasyona ne ewledar dûr bixin, qaîdeya bingehîn ev e ku hûn çu carî ji daneyên bikarhêner bawer nekin. Divê daneyên têketina her bikarhêner bên dermankirin as derfet malicious. Xwe ji deserialîzasyona daneyan ji çavkaniyên nebawer dûr bixin. Piştrast bike ku fonksiyona deserialization to were bikar anîn di serîlêdana weba we de ewle ye.
Bikaranîna Pêkhateyên Bi Qelsiyên Naskirî
Pirtûkxane û Çarçoveyan bêyî ku hewce bike ku çerx ji nû ve îcad bike, pêşkeftina sepanên malperê pir zûtir kiriye.. Ev di nirxandina kodê de zêdebûnê kêm dike. Ew rê li ber pêşdebiran vedikin ku balê bikişînin ser hêmanên girîngtir ên serlêdanan. Ger êrîşkar di van çarçoweyan de îstîsmaran kifş bikin, her bingehek kodê ku çarçoveyê bikar tîne dê tawîz bibin.
Pêşdebirên pêkhateyan bi gelemperî ji bo pirtûkxaneyên pêkhateyan pêlên ewlehiyê û nûvekirin pêşkêş dikin. Ji bo ku hûn ji qelsiyên pêkhateyê dûr nekevin, divê hûn fêr bibin ku serîlêdanên xwe bi paç û nûvekirinên ewlehiyê yên herî dawî re nûve bikin.. Divê pêkhateyên neyên bikaranîn bêne rakirin ji serîlêdanê ji bo vektorên êrîşê birrîn.
Têketin Û Şopandin Kêmasî
Têketin û çavdêrîkirin girîng e ku hûn çalakiyan di serîlêdana weya webê de nîşan bidin. Têketin şopandina xeletiyan hêsan dike, lê gûhdarkirin têketinên bikarhêner, û çalakiyên.
Dema ku bûyerên krîtîk ên ewlehiyê neyên tomarkirin têketin û şopandin têra xwe çêdibe rast. Êrîşker li ser vê yekê sermaye dikin da ku êrişan li ser serlêdana we bikin berî ku bersivek berbiçav hebe.
Têketin dikare ji pargîdaniya we re bibe alîkar ku drav û dem xilas bike ji ber ku pêşdebirên we dikarin bi hêsanî xeletiyan bibînin. Ev dihêle ku ew ji lêgerîna wan bêtir li ser çareserkirina xeletiyan bisekinin. Di rastiyê de, têketin dikare bibe alîkar ku malper û pêşkêşkerên we her car bi rê ve bibin û bêyî ku ew bi demek domdar re derbas bibin..
Xelasî
Koda baş nîne adîl di derbarê fonksiyonê de, ew li ser ewlekirina bikarhêner û serlêdana we ye. OWASP Top 10 navnîşek xetereyên ewlehiyê yên serîlêdanê yên herî krîtîk e ku ji bo pêşdebiran çavkaniyek belaşek mezin e ku sepanên tevn û mobîl ên ewle binivîsin.. Pêşdebirên perwerdehiya li ser tîmê we ji bo nirxandin û qeydkirina xetereyan dikare di demek dirêj de dem û dravê tîmê we xilas bike. Ger tu bixwazî bêtir fêr bibin ka meriv çawa tîmê xwe li ser OWASP Top 10 perwerde dike li vir bikirtînin.
