10 rủi ro bảo mật ứng dụng hàng đầu năm 2022
|
Show
Danh sách OWASP TOP 10 năm 2021 đã được công bố. Danh sách này chỉ ra rằng broken access control là rủi ro bảo mật ứng dụng web nghiêm trọng nhất hiện nay.  1. Danh sách này được tổng hợp như thế nào?“Chúng tôi lấy dữ liệu từ các tổ chức đang kiểm tra các nhà cung cấp thương mại, các bên triển khai chương trình bug bounty và các tổ chức đóng góp dữ liệu thử nghiệm nội bộ. Một khi có dữ liệu, chúng tôi sẽ tiến hành phân tích cơ bản xem danh sách điểm yếu chung CWEs (Common Weakness Enumerations) dẫn đến rủi ro nào”, OWASP giải thích. “Danh sách TOP 10 được định hướng theo dữ liệu một cách khách quan. Chúng tôi đã chọn tám trong số mười danh mục từ dữ liệu được đóng góp và hai danh mục từ TOP 10 cuộc khảo sát cộng đồng ở mức độ cao”. 2. OWASP Top 10 2021: Điều gì đã thay đổi trong 4 năm qua?Theo OWASP, có ba danh mục mới trong phiên bản mới nhất của danh sách TOP 10 OWASP. Đó là insecure design (thiết kế không bảo mật), software and data integrity failures (lỗi toàn vẹn phần mềm và dữ liệu) và security logging and monitoring failures (lỗi ghi nhật ký bảo mật và giám sát). “Một danh mục mới cho năm 2021 tập trung vào các rủi ro liên quan đến các sai sót trong thiết kế và cấu trúc đã kêu gọi sử dụng nhiều hơn các chi tiết thiết kế an toàn và các kiến trúc tham chiếu”, OWASP nói thêm. Danh mục lỗi toàn vẹn phần mềm và dữ liệu bao gồm các lỗi liên quan đến cập nhật phần mềm (không đủ xác minh tính toàn vẹn), dữ liệu quan trọng và CI / CD pipelines (không an toàn). Theo dõi và ghi nhật ký bảo mật là hoạt động rất quan trọng để phát hiện, báo cáo và phản hồi các vi phạm hiện có. Một số danh mục khác đã được đổi tên (để tập trung vào nguyên nhân gốc rễ) và thay đổi. Một số đã được hợp nhất. Danh sách cuối cùng như sau:
OWASP giải thích chi tiết từng danh mục kèm theo các ví dụ về kịch bản tấn công, tài liệu tham khảo, danh sách các CWEs và các bí quyết ngăn chặn lỗ hổng. Dự án cũng tư vấn cho các tổ chức về cách sử dụng nó làm cơ sở để bắt đầu một chương trình bảo mật ứng dụng. “Một nửa danh mục trong danh sách mới đã xuất hiện trong danh sách từ năm 2003 dưới một vài hình thức. Vì vậy 18 năm phát triển, thử nghiệm và học hỏi công nghệ vẫn chưa đủ để khắc phục những sai sót này. Điều này có nghĩa là chúng ta cần thay đổi cách tiếp cận của mình đối với việc bảo mật ứng dụng”, Sean Wright, kỹ sư bảo mật ứng dụng tại Immersive Labs chia sẻ. “Tôi nhận thấy rằng phương pháp tiếp cận của chúng ta cho đến nay đang thiếu sự tham gia của “những người đứng sau màn hình”. Chúng ta cần trao quyền cho các nhà phát triển để đưa bảo mật vào thiết kế và code. Bên cạnh đó, cần trang bị cho các thành viên trong nhóm kiến thức mới về công nghệ nhằm tạo ra các ứng dụng an toàn hơn. Hành động này mang lại cho con người và công nghệ cơ hội tốt nhất để làm việc cùng nhau nếu chúng ta muốn giảm tác động cũng như sự lây lan của các lỗ hổng bảo mật đang lặp đi lặp lại. Sự kết hợp giữa công nghệ và con người sẽ giúp chúng ta nâng cao bảo mật cho ứng dụng và hy vọng có thể giải quyết một số vấn đề có ảnh hưởng lớn nhất trong hai thập kỷ qua. Sau khi chúng tôi thực hiện từng bước để đạt được điều này, tôi tin rằng chúng ta sẽ ít phải thấy những điều tương tự trong danh sách OWASP TOP 10 trong tương lai ”. OWASP là gì?OWASP là viết tắt của Open Web Application Security Project là một tổ chức phi lợi nhuận quốc tế chuyên về bảo mật ứng dụng web. Một trong những nguyên tắc cốt lõi của OWASP là tất cả các tài liệu của tổ chức đều miễn phí và dễ dàng truy cập trên trang web chính thức http://owasp.org, giúp mọi người đặc biệt là ngành an ninh mạng có thể cải thiện tính bảo mật của ứng dụng web. Các tài liệu OWSAP cung cấp bao gồm tài liệu, công cụ, video và diễn đàn. OWASP được biết đến nhiều nhất qua OWASP Top 10. OWASP Top 10 là gì?OWASP Top 10 là một báo cáo được cập nhật thường xuyên về các nguy cơ bảo mật đối với bảo mật ứng dụng web, tập trung vào 10 rủi ro/lỗ hổng quan trọng nhất. Báo cáo được tổng hợp bởi một nhóm các chuyên gia bảo mật từ khắp nơi trên thế giới. OWASP đề cập đến Top 10 như một “tài liệu nâng cao nhận thức” và họ khuyến nghị tất cả các công ty nên kết hợp báo cáo này vào các quy trình của họ để giảm thiểu rủi ro bảo mật. Dưới đây là các rủi ro bảo mật được báo cáo trong OWASP Top 10: InjectionInjection attack xảy ra khi dữ liệu không đáng tin cậy được gửi đến trình thông dịch mã (code interpreter) thông qua việc điền các form (biểu mẫu) hoặc một số dữ liệu khác gửi đến ứng dụng web. Ví dụ, kẻ tấn công có thể nhập SQL database code vào một biểu mẫu yêu cầu username ở dạng plaintext. Nếu việc điền các biểu mẫu đó không được bảo mật đúng cách, điều này sẽ dẫn đến việc SQL code đó được thực thi. Đây được gọi là một cuộc tấn công SQL injection. Các cuộc tấn công injection có thể được ngăn chặn bằng cách xác thực và / hoặc “khử trùng” dữ liệu do người dùng gửi. (Xác thực nghĩa là từ chối các dữ liệu đáng ngờ, trong khi “khử trùng” nghĩa là làm sạch các phần dữ liệu có vẻ đáng ngờ.) Ngoài ra, quản trị viên cơ sở dữ liệu có thể thiết lập các biện pháp kiểm soát để giảm thiểu lượng thông tin bị lộ ra qua một cuộc tấn công injection. Broken AuthenticationCác lỗ hổng trong hệ thống xác thực (login) có thể cho phép kẻ tấn công truy cập vào tài khoản người dùng và thậm chí có khả năng xâm nhập toàn bộ hệ thống bằng tài khoản quản trị viên. Ví dụ: kẻ tấn công có thể lấy một danh sách chứa hàng nghìn tổ hợp tên người dùng / mật khẩu đã biết có được trong một lần vi phạm dữ liệu và sử dụng tập lệnh để thử tất cả các tổ hợp đó trên hệ thống đăng nhập để xem có tổ hợp nào hoạt động không. Một số chiến lược để giảm thiểu lỗ hổng xác thực là sử dụng xác thực 2 yếu tố two-factor authentication (2FA) cũng như hạn chế hoặc trì hoãn các nỗ lực đăng nhập lặp lại bằng cách sử dụng giới hạn về số lần đăng nhập & thời gian giãn cách giữa các lần đăng nhập sai. Sensitive Data ExposureNếu các ứng dụng web không bảo vệ dữ liệu nhạy cảm như thông tin tài chính và mật khẩu, hacker có thể giành quyền truy cập vào dữ liệu đó và sử dụng cho các mục đích bất chính. Một phương pháp phổ biến để lấy cắp thông tin nhạy cảm là sử dụng một cuộc tấn công on-path attack. Nguy cơ lộ dữ liệu có thể được giảm thiểu bằng cách mã hóa (encypt) tất cả dữ liệu nhạy cảm cũng như vô hiệu *cache của bất kỳ thông tin nhạy cảm nào. Ngoài ra, các nhà phát triển ứng dụng web nên cẩn thận để đảm bảo rằng họ không lưu trữ bất kỳ dữ liệu nhạy cảm nào một cách không cần thiết. *Cache lưu trữ tạm thời dữ liệu để sử dụng lại. Ví dụ: trình duyệt web thường sẽ lưu vào bộ nhớ cache các trang web để nếu người dùng truy cập lại các trang đó trong một khoảng thời gian cố định, trình duyệt không phải tìm nạp các trang web đó từ đầu. XML External Entities (XEE)Đây là một cuộc tấn công ứng dụng web bằng phân tích cú pháp đầu vào XML * (parses XML* input). Input này có thể tham chiếu đến một thực thể bên ngoài (external entity), đang cố gắng khai thác lỗ hổng trong trình phân tích cú pháp (parser). External entity có thể là một đơn vị lưu trữ, chẳng hạn như ổ cứng. XML parser có thể bị lừa để gửi dữ liệu đến một thực thể bên ngoài trái phép và chuyển trực tiếp dữ liệu nhạy cảm cho kẻ tấn công. Các cách tốt nhất để ngăn chặn các cuộc tấn công XEE là để các ứng dụng web chấp nhận một loại dữ liệu ít phức tạp hơn, chẳng hạn như JSON **, hoặc vô hiệu hóa việc sử dụng các thực thể bên ngoài trong một ứng dụng XML. *XML hay Extensible Markup Language là một markup language nhằm mục đích cho phép cả người & máy đều có thể đọc hiểu được. Do tính phức tạp và lỗ hổng bảo mật, XML hiện đang bị loại bỏ dần trong nhiều ứng dụng web. ** JavaScript Object Notation (JSON) là một loại ký hiệu đơn giản được sử dụng để truyền dữ liệu qua internet. Mặc dù ban đầu được tạo cho JavaScript, JSON là ngôn ngữ có thể được thông dịch bởi nhiều ngôn ngữ lập trình khác nhau. Broken Access ControlAccess Control hay kiểm soát truy cập đề cập đến một hệ thống kiểm soát quyền truy cập vào thông tin hoặc chức năng. Access Control chứa lỗ hổng cho phép kẻ tấn công bỏ qua ủy quyền (authorization) và thực hiện các tác vụ như thể là người dùng có đặc quyền, chẳng hạn như quản trị viên (admin). Ví dụ: một ứng dụng web có thể cho phép người dùng thay đổi tài khoản mà họ đã đăng nhập chỉ bằng cách thay đổi một phần của url mà không cần bất kỳ xác minh nào khác. Kiểm soát truy cập có thể được bảo mật bằng cách đảm bảo rằng ứng dụng web sử dụng authorization tokens* và đặt các kiểm soát chặt chẽ đối với các token này. *Nhiều dịch vụ cho phép sử dụng authorization tokens khi người dùng đăng nhập. Mọi yêu cầu đặc quyền mà người dùng đưa ra sẽ yêu cầu phải có authorization tokens. Đây là một cách an toàn để đảm bảo rằng đúng người dùng với đúng đặc quyền. Security MisconfigurationSecurity misconfiguration hay lỗi cấu hình sai bảo mật là lỗ hổng phổ biến nhất trong danh sách và thường là kết quả của việc sử dụng cấu hình mặc định hoặc thông báo hiển thị lỗi quá nhiều thông tin. Ví dụ: một ứng dụng có thể hiển thị lỗi mô tả quá nhiều thông tin có thể tiết lộ các lỗ hổng trong ứng dụng. Điều này có thể được giảm thiểu bằng cách loại bỏ bất kỳ tính năng không sử dụng nào trong code và đảm bảo rằng các thông báo lỗi sẽ mang tính tổng quát chung chung hơn. Cross-Site ScriptingCross-Site Scripting xảy ra khi các ứng dụng web cho phép người dùng thêm code tùy chỉnh vào đường dẫn url hoặc vào một trang web mà những người dùng khác sẽ nhìn thấy. Lỗ hổng này có thể bị khai thác để chạy mã JavaScript độc hại (malicious JavaScript code) trên trình duyệt của nạn nhân. Ví dụ: kẻ tấn công có thể gửi email cho nạn nhân có vẻ là từ một ngân hàng đáng tin cậy, với một liên kết đến trang web của ngân hàng đó. Tuy nhiên, liên kết này có thể có một số mã JavaScript độc hại được gắn thẻ vào cuối url. Nếu trang web của ngân hàng không được bảo vệ thích hợp chống lại Cross-Site Scripting, thì mã độc hại đó sẽ được chạy trong trình duyệt web của nạn nhân khi họ nhấp vào liên kết. Các chiến lược giảm thiểu tấn công Cross-Site Scripting bao gồm thoát các yêu cầu HTTP không đáng tin cậy cũng như xác thực và / hoặc loại bỏ các nội dung do người dùng thêm vào. Sử dụng các web development frameworks hiện đại như ReactJS và Ruby on Rails cũng cung cấp một số tính năng bảo vệ khỏi các cuộc tấn công Cross-Site Scripting. Insecure DeserializationTấn công này bao gồm Serialization & Deserialization.
Serialization giống như đóng gói đồ đạc vào các hộp trước khi chuyển đi, và deserialization giống như mở hộp và lắp ráp đồ đạc sau khi chuyển đi. Một cuộc tấn công deserialization giống như việc xáo trộn nội dung của các hộp trước khi chúng được giải nén trong quá trình di chuyển. Sử dụng các thành phần có lỗ hổng đã biếtNhiều nhà phát triển (developer) web hiện nay sử dụng các thành phần như thư viện (libraries) và framework trong các ứng dụng web của họ. Những thành phần này là những phần mềm giúp các nhà phát triển tránh công việc thừa và cung cấp chức năng cần thiết; ví dụ phổ biến bao gồm các framework front-end như React và các thư viện nhỏ hơn được sử dụng để thêm các biểu tượng chia sẻ hoặc a/b testing. Một số kẻ tấn công tìm kiếm các lỗ hổng trong các thành phần này mà sau đó chúng có thể sử dụng để điều phối các cuộc tấn công. Một số thành phần phổ biến hơn được sử dụng trên hàng trăm nghìn trang web; kẻ tấn công tìm thấy lỗ hổng bảo mật trong những thành phần này có thể khiến hàng trăm nghìn trang web bị khai thác. Các nhà phát triển các thành phần này thường cung cấp các bản vá bảo mật và cập nhật để bổ sung các lỗ hổng đã biết, nhưng các nhà phát triển ứng dụng web không phải lúc nào cũng có các phiên bản được vá hoặc cập nhật mới nhất. Để giảm thiểu rủi ro khi chạy các thành phần có lỗ hổng đã biết, các nhà phát triển nên xóa các thành phần không sử dụng khỏi dự án, cũng như đảm bảo rằng đang nhận các thành phần từ một nguồn đáng tin cậy và đảm bảo chúng được cập nhật. Kiểm tra log & giám sát không hiệu quảNhiều ứng dụng web không thực hiện đủ các bước để phát hiện vi phạm dữ liệu. Thời gian phát hiện trung bình cho một vi phạm là khoảng 200 ngày sau khi đã xảy ra. Điều này cho phép những kẻ tấn công có nhiều thời gian để gây ra thiệt hại trước khi có bất kỳ phản ứng nào. OWASP khuyến nghị rằng các nhà phát triển web nên thực hiện ghi log và giám sát (monitor) cũng như lên các kế hoạch ứng phó sự cố để đảm bảo rằng họ nhận thức được các cuộc tấn công vào các ứng dụng. Xem thêm về Top 10 OWASP Tìm hiểu thêm: Pentest theo tiêu chuẩn OWASP VinSEP VinSEP (Công ty TNHH Mục Tiêu Số, MST: 0316094847)- chúng tôi là chuyên gia trong giải pháp/dịch vụ CNTT & phần mềm bản quyền. VinSEP giúp doanh nghiệp chuyển đổi thành nơi làm việc hiện đại (Modern Workplace) & phát triển trong thời đại công nghiệp 4.0. VinSEP chỉ có một website Official chính thức là VinSEP.com. What is the OWASP Top 10?OWASP has developed a number of resources that describe the most common vulnerabilities that exist in various systems, including web applications, APIs, mobile devices, and more. The most famous of these is the OWASP Top Ten, which describes the ten most common and impactful vulnerabilities that appear in production web applications. This list is updated every few years based on a combination of security testing data and surveys of professionals within the industry. The most recent version of the OWASP Top 10 list was released in 2021. This resource provides information on the most common vulnerabilities, examples of each type, best practices for preventing them, and descriptions of how the vulnerability can be exploited. Additionally, each vulnerability includes references to related Common Weakness Enumeration (CWE) specifications, which describe a particular instance of a vulnerability. For example, the use of hard-coded passwords (CWE-259) falls under the Identification and Authentication Failures vulnerability within the OWASP Top Ten List. Phiên bản mới nhất của Top Ten OWASP chứa một số thay đổi từ phiên bản trước.Danh sách 2021 bao gồm các lỗ hổng sau:
Trong số này, bốn lỗ hổng (4, 8 và 10) là thương hiệu mới, bốn lỗ hổng không thay đổi ngoài xếp hạng và phần còn lại hợp nhất hoặc đổi tên các danh mục từ phiên bản trước của danh sách. #1.Kiểm soát truy cập bị hỏngCác hệ thống kiểm soát truy cập nhằm đảm bảo rằng chỉ người dùng hợp pháp mới có quyền truy cập vào dữ liệu hoặc chức năng.Các lỗ hổng trong danh mục điều khiển truy cập bị hỏng bao gồm bất kỳ vấn đề nào cho phép kẻ tấn công vượt qua các điều khiển truy cập hoặc không thực hiện nguyên tắc đặc quyền ít nhất.Ví dụ: ứng dụng web có thể cho phép người dùng truy cập vào tài khoản người dùng khác bằng cách sửa đổi URL được cung cấp. #2.Thất bại mật mãCác thuật toán mật mã là vô giá để bảo vệ quyền riêng tư và bảo mật dữ liệu;Tuy nhiên, các thuật toán này có thể rất nhạy cảm với các lỗi thực hiện hoặc cấu hình.Các lỗi mật mã bao gồm việc không sử dụng mã hóa, cấu hình sai các thuật toán mật mã và quản lý khóa không an toàn.Ví dụ: một tổ chức có thể sử dụng thuật toán băm không an toàn để lưu trữ mật khẩu, không sử dụng mật khẩu muối hoặc sử dụng cùng một loại muối cho tất cả các mật khẩu người dùng được lưu trữ. #3.Mũi tiêmCác lỗ hổng tiêm được thực hiện bằng cách không thể vệ sinh đầu vào của người dùng trước khi xử lý nó.Điều này có thể đặc biệt có vấn đề trong các ngôn ngữ như SQL trong đó dữ liệu và lệnh được xen kẽ để dữ liệu do người dùng cung cấp không đúng định dạng có thể được hiểu là một phần của lệnh.Ví dụ: SQL thường sử dụng dấu ngoặc kép đơn () hoặc double () để phân định dữ liệu người dùng trong truy vấn, do đó, đầu vào của người dùng có chứa các ký tự này có thể có khả năng thay đổi lệnh được xử lý. #4.Thiết kế không an toànCác lỗ hổng có thể được đưa vào phần mềm trong quá trình phát triển theo một vài cách khác nhau.Mặc dù nhiều lỗ hổng trong danh sách Top Ten của OWASP đối phó với các lỗi thực hiện, nhưng lỗ hổng này mô tả các thất bại trong thiết kế làm suy yếu sự bảo mật của hệ thống.Ví dụ: nếu thiết kế cho một ứng dụng lưu trữ và xử lý dữ liệu nhạy cảm không bao gồm một hệ thống xác thực, thì việc triển khai phần mềm hoàn hảo như được thiết kế vẫn sẽ không an toàn và không bảo vệ đúng dữ liệu nhạy cảm này. #5.Cấu hình sai bảo mậtNgoài thiết kế và triển khai, bảo mật của một ứng dụng cũng được xác định bằng cách cấu hình.Một nhà sản xuất phần mềm sẽ có cấu hình mặc định cho các ứng dụng của họ và người dùng cũng có thể kích hoạt hoặc vô hiệu hóa các cài đặt khác nhau, có thể cải thiện hoặc làm giảm tính bảo mật của hệ thống.Ví dụ về các cấu hình sai bảo mật có thể bao gồm cho phép các ứng dụng hoặc cổng không cần thiết, để lại tài khoản mặc định và mật khẩu hoạt động và không thay đổi hoặc định cấu hình thông báo lỗi để hiển thị quá nhiều thông tin cho người dùng. #6 Các thành phần dễ bị tổn thương và lỗi thờiCác lỗ hổng chuỗi cung ứng đã xuất hiện như một mối quan tâm lớn trong những năm gần đây, đặc biệt là khi các tác nhân đe dọa đã cố gắng chèn mã độc hại hoặc dễ bị tổn thương vào các thư viện thường được sử dụng và các phụ thuộc của bên thứ ba.Nếu một tổ chức thiếu khả năng hiển thị vào mã bên ngoài được sử dụng trong các ứng dụng của nó - bao gồm cả các phụ thuộc lồng nhau - và không quét nó cho các phụ thuộc, thì nó có thể dễ bị khai thác.Ngoài ra, việc không áp dụng kịp thời các bản cập nhật bảo mật cho các phụ thuộc này có thể khiến các lỗ hổng có thể khai thác mở ra để tấn công.Ví dụ, một ứng dụng có thể nhập thư viện của bên thứ ba có các phụ thuộc riêng có thể chứa các lỗ hổng có thể khai thác đã biết. #7.Xác định và xác thực thất bạiNhiều ứng dụng và hệ thống yêu cầu một số hình thức nhận dạng và xác thực, chẳng hạn như người dùng chứng minh danh tính của họ với ứng dụng hoặc máy chủ cung cấp chứng chỉ kỹ thuật số xác minh danh tính của nó cho người dùng khi thiết lập kết nối được mã hóa TLS.Lỗi xác định và xác thực xảy ra khi một ứng dụng dựa trên các quy trình xác thực yếu hoặc không xác nhận đúng thông tin xác thực.Ví dụ, một ứng dụng thiếu xác thực đa yếu tố (MFA) có thể dễ bị tấn công nhồi nhét thông tin xác thực, trong đó kẻ tấn công tự động thử tên người dùng và kết hợp mật khẩu từ danh sách các thông tin xác thực yếu, mặc định, mặc định hoặc thỏa hiệp. #số 8.Phần mềm và dữ liệu toàn vẹn thất bạiPhần mềm và tính toàn vẹn dữ liệu Lỗi tính dễ bị tổn thương trong danh sách Top 10 của OWASP giải quyết các điểm yếu trong bảo mật của một tổ chức, các quy trình cập nhật phần mềm của tổ chức DevOps tương tự như các quá trình tạo ra sự hack của Solarwinds.Lớp dễ bị tổn thương này bao gồm dựa vào mã của bên thứ ba từ các nguồn hoặc kho lưu trữ không đáng tin cậy, không đảm bảo quyền truy cập vào đường ống CI/CD và không xác thực chính xác tính toàn vẹn của các bản cập nhật được áp dụng tự động.Ví dụ: nếu kẻ tấn công có thể thay thế một mô -đun hoặc phụ thuộc đáng tin cậy bằng phiên bản sửa đổi hoặc độc hại, thì các ứng dụng được xây dựng với sự phụ thuộc đó có thể chạy mã độc hại hoặc dễ bị khai thác. #9.Lỗi ghi nhật ký và giám sát bảo mậtLỗi ghi nhật ký và giám sát bảo mật là lần đầu tiên trong số các lỗ hổng có nguồn gốc từ các phản hồi khảo sát và đã chuyển lên từ vị trí thứ mười trong lần lặp trước của danh sách.Nhiều sự cố bảo mật được kích hoạt hoặc làm trầm trọng thêm bởi thực tế là một ứng dụng không đăng nhập các sự kiện bảo mật quan trọng hoặc các tệp nhật ký này không được giám sát và xử lý đúng cách.Ví dụ: một ứng dụng có thể không tạo các tệp nhật ký, có thể tạo nhật ký bảo mật thiếu thông tin quan trọng hoặc các tệp nhật ký này chỉ có thể có sẵn cục bộ trên máy tính, khiến chúng chỉ hữu ích cho việc điều tra sau khi phát hiện sự cố.Tất cả những thất bại này làm suy giảm khả năng của tổ chức để phát hiện nhanh một sự cố bảo mật tiềm năng và ứng phó trong thời gian thực. #10.Giả mạo yêu cầu phía máy chủViệc giả mạo yêu cầu phía máy chủ (SSRF) là không bình thường trong số các lỗ hổng được liệt kê trong danh sách Top Ten của OWASP vì nó mô tả một lỗ hổng hoặc tấn công rất cụ thể thay vì một danh mục chung.Lỗ hổng SSRF là tương đối hiếm;Tuy nhiên, chúng có tác động đáng kể nếu chúng được xác định và khai thác bởi kẻ tấn công.Hack Capital One là một ví dụ về một sự cố bảo mật có tác động cao gần đây, tận dụng lỗ hổng SSRF. Các lỗ hổng SSRF có thể tồn tại khi một ứng dụng web không xác nhận đúng URL do người dùng cung cấp khi tìm nạp tài nguyên từ xa nằm ở URL đó.Nếu đây là trường hợp, thì kẻ tấn công khai thác lỗ hổng có thể sử dụng ứng dụng web dễ bị tổn thương để gửi yêu cầu do kẻ tấn công tạo ra cho URL được chỉ định.Điều này cho phép kẻ tấn công bỏ qua các điều khiển truy cập, chẳng hạn như tường lửa, sẽ chặn các kết nối trực tiếp từ kẻ tấn công đến URL đích nhưng được cấu hình để cung cấp quyền truy cập vào ứng dụng web dễ bị tổn thương. Ứng dụng toàn diện với CloudGuard Ứng dụngMột ứng dụng web của tổ chức là một số phần dễ thấy và có thể khai thác nhất trên bề mặt tấn công kỹ thuật số của nó.Tuy nhiên, các ứng dụng này cũng thường chứa các lỗ hổng có thể khai thác, thường là do thiếu nhận thức về các lỗ hổng và thực tiễn bảo mật này để tránh chúng.Danh sách Top Ten của OWASP là một nỗ lực của Quỹ OWASP để giải quyết vấn đề này và giảm rủi ro bảo mật ứng dụng web bằng cách thu hút sự chú ý đến các lỗ hổng này và cung cấp các nguồn lực giúp các nhà phát triển xác định, tránh và khắc phục chúng. Quét, khắc phục và bảo vệ chống lại các lỗ hổng được mô tả trong danh sách Top Ten của OWASP là nơi khởi đầu tốt cho các ứng dụng web của các ứng dụng.Các lỗ hổng này là một số lỗ hổng phổ biến và có tác động cao nhất trong các ứng dụng web và khả năng hiển thị của chúng khiến chúng khiến chúng là mục tiêu chung của các tác nhân đe dọa mạng. Khi các ứng dụng ngày càng chuyển sang đám mây, bảo vệ khối lượng công việc của đám mây là rất quan trọng để đảm bảo chúng so với Top Ten OWASP và các rủi ro bảo mật ứng dụng hàng đầu khác.Để biết thêm thông tin về các mối đe dọa bảo mật đối với các ứng dụng dựa trên đám mây của bạn, hãy xem ebook này. Check Point CloudGuard AppSec cung cấp sự bảo vệ toàn diện đối với Top Ten OWASP và các lỗ hổng ứng dụng web phổ biến khác.Tìm hiểu thêm về cách CloudGuard AppSec có thể bảo vệ các ứng dụng đám mây của bạn bằng whitepaper này.Sau đó, xem khả năng của nó cho chính mình bằng cách đăng ký một bản demo miễn phí. 10 rủi ro bảo mật ứng dụng hàng đầu là gì?Chúng tôi chia nhỏ từng mục, mức rủi ro của nó, cách kiểm tra cho chúng và cách giải quyết từng mục ... Mũi tiêm..... Xác thực bị hỏng..... Tiếp xúc dữ liệu nhạy cảm..... Các thực thể bên ngoài XML..... Kiểm soát truy cập bị hỏng..... Cấu hình sai bảo mật..... Kịch bản chéo trang..... Hút thuốc không an toàn .. Rủi ro bảo mật ứng dụng là gì?Rủi ro bảo mật ứng dụng thực sự được cảm nhận và không được đo lường.Do đó, các tổ chức không thể thực hiện các điều khiển bảo mật cần thiết.Doanh nghiệp không biết về tính nhạy cảm của các ứng dụng đối với tấn công.Đây là lý do chính cho các cuộc tấn công liên tục vào các ứng dụng mặc dù triển khai các biện pháp bảo mật mạnh mẽ.perceived and not measured. Hence, organizations are not able to implement the required security controls. The business is unaware of its applications' susceptibility to attack. This is the main reason for continued attacks on applications despite deploying robust security measures.
Điều nào sau đây không có trong 10 rủi ro bảo mật ứng dụng web của OWASP?Điều nào sau đây không có trong 10 rủi ro bảo mật ứng dụng web hàng đầu của OWASP ?.. Tiếp xúc dữ liệu nhạy cảm .. Các thực thể bên ngoài XML .. Noncompliance.. Hút thuốc không an toàn .. Rủi ro trong các ứng dụng là gì?Rủi ro ứng dụng là xác suất của một đoạn mã bị lỗi kích hoạt một sự kiện tác động tiêu cực đến cơ sở hạ tầng, hệ thống, dữ liệu hoặc hoạt động kinh doanh.Các chương trình có rủi ro ứng dụng cao gây ra nhiều vấn đề cho một tổ chức bao gồm: thất bại cơ sở hạ tầng.the probability of a faulty piece of code triggering an event that negatively impacts infrastructure, systems, data, or business operations. Programs with a high application risk cause many problems for an organization including: Infrastructure Failures. |
