OWASP शीर्ष १० सुरक्षा जोखिमहरू | अवलोकन
विषयसूची
OWASP के हो?
OWASP वेब एप सुरक्षा शिक्षामा समर्पित गैर-लाभकारी संस्था हो।
OWASP सिक्ने सामग्रीहरू तिनीहरूको वेबसाइटमा पहुँचयोग्य छन्। तिनीहरूका उपकरणहरू वेब अनुप्रयोगहरूको सुरक्षा सुधार गर्न उपयोगी छन्। यसमा कागजातहरू, उपकरणहरू, भिडियोहरू, र फोरमहरू समावेश छन्।
OWASP शीर्ष 10 एक सूची हो जसले आज वेब एपहरूको लागि शीर्ष सुरक्षा चिन्ताहरू हाइलाइट गर्दछ। तिनीहरूले सुझाव दिन्छन् कि सबै कम्पनीहरूले सुरक्षा जोखिमहरू घटाउनको लागि यो रिपोर्टलाई तिनीहरूको प्रक्रियाहरूमा समावेश गर्नुहोस्। तल OWASP शीर्ष 10 2017 रिपोर्टमा समावेश गरिएको सुरक्षा जोखिमहरूको सूची छ।
SQL इंजेक्शन
SQL इन्जेक्सन तब हुन्छ जब एक आक्रमणकारीले अनुप्रयोगमा कार्यक्रम बाधा पुर्याउन वेब एपमा अनुपयुक्त डेटा पठाउँछ।.
SQL इंजेक्शन को एक उदाहरण:
आक्रमणकर्ताले इनपुट फारममा SQL क्वेरी प्रविष्ट गर्न सक्छ जसको लागि प्रयोगकर्ता नाम सादा पाठ चाहिन्छ। यदि इनपुट फारम सुरक्षित छैन भने, यसले SQL क्वेरीको कार्यान्वयनमा परिणाम दिन्छ। यो उल्लेख गरिएको छ SQL इंजेक्शन को रूप मा।
वेब अनुप्रयोगहरूलाई कोड इन्जेक्सनबाट जोगाउन, सुनिश्चित गर्नुहोस् कि तपाईंका विकासकर्ताहरूले प्रयोगकर्ता-पेश गरिएको डाटामा इनपुट प्रमाणीकरण प्रयोग गर्छन्।। यहाँ प्रमाणीकरणले अवैध इनपुटहरूको अस्वीकारलाई जनाउँछ। एक डाटाबेस प्रबन्धक पनि को मात्रा कम गर्न नियन्त्रण सेट गर्न सक्नुहुन्छ जानकारी त्यो गर्न सक्छ खुलासा होस् एक इंजेक्शन आक्रमण मा.
SQL इंजेक्शन रोक्नको लागि, OWASP ले डाटालाई आदेश र प्रश्नहरूबाट अलग राख्न सिफारिस गर्दछ। उत्तम विकल्प सुरक्षित प्रयोग गर्नु हो एपीआई एक दोभासेको प्रयोग रोक्न, वा वस्तु रिलेसनल म्यापिङ उपकरण (ORMs) मा माइग्रेट गर्न.
टुटेको प्रमाणीकरण
प्रमाणीकरण कमजोरीहरूले आक्रमणकर्तालाई प्रयोगकर्ता खाताहरू पहुँच गर्न र व्यवस्थापक खाता प्रयोग गरेर प्रणालीमा सम्झौता गर्न अनुमति दिन सक्छ।. एक साइबर अपराधीले कुन काम गर्छ भनेर हेर्नको लागि प्रणालीमा हजारौं पासवर्ड संयोजनहरू प्रयास गर्न स्क्रिप्ट प्रयोग गर्न सक्छ।. एक पटक साइबर अपराधी भित्र छ, तिनीहरूले प्रयोगकर्ताको पहिचान नक्कली गर्न सक्छन्, उनीहरूलाई गोप्य जानकारीमा पहुँच प्रदान गर्दै।.
स्वचालित लगइनहरूलाई अनुमति दिने वेब अनुप्रयोगहरूमा टुटेको प्रमाणिकरण जोखिम छ। प्रमाणीकरण भेद्यता सच्याउने एक लोकप्रिय तरिका मल्टिफ्याक्टर प्रमाणीकरण को प्रयोग हो। साथै, लगइन दर सीमा हुन सक्छ समावेश हुनेछ वेब एपमा क्रूर बल आक्रमणहरू रोक्न।
संवेदनशील डाटा एक्सपोजर
यदि वेब अनुप्रयोगहरूले संवेदनशील आक्रमणकारीहरूलाई सुरक्षित गर्दैनन् भने तिनीहरू पहुँच गर्न र तिनीहरूको लाभको लागि प्रयोग गर्न सक्छन्। अन-पाथ आक्रमण संवेदनशील जानकारी चोर्ने एक लोकप्रिय विधि हो। जब सबै संवेदनशील डेटा इन्क्रिप्ट गरिएको छ भने एक्सपोजरको जोखिम न्यून हुन सक्छ। वेब विकासकर्ताहरूले यो सुनिश्चित गर्नुपर्छ कि ब्राउजरमा कुनै पनि संवेदनशील डाटा खुला गरिएको छैन वा अनावश्यक रूपमा भण्डारण गरिएको छैन।
XML बाह्य संस्थाहरू (XEE)
साइबर अपराधीले XML कागजात भित्र दुर्भावनापूर्ण XML सामग्री, आदेश, वा कोड अपलोड गर्न वा समावेश गर्न सक्षम हुन सक्छ।। यसले तिनीहरूलाई अनुप्रयोग सर्भर फाइल प्रणालीमा फाइलहरू हेर्न अनुमति दिन्छ। एक पटक तिनीहरूसँग पहुँच भएपछि, तिनीहरूले सर्भर-साइड अनुरोध जाली (SSRF) आक्रमणहरू प्रदर्शन गर्न सर्भरसँग अन्तरक्रिया गर्न सक्छन्।.
XML बाह्य इकाई आक्रमण गर्न सक्छ द्वारा रोकथाम हुनेछ वेब अनुप्रयोगहरूलाई JSON जस्ता कम जटिल डेटा प्रकारहरू स्वीकार गर्न अनुमति दिँदै। XML बाह्य इकाई प्रशोधन असक्षम गर्नाले XEE आक्रमणको सम्भावना पनि कम हुन्छ।
भाँचिएको पहुँच नियन्त्रण
पहुँच नियन्त्रण एक प्रणाली प्रोटोकल हो जसले अनाधिकृत प्रयोगकर्ताहरूलाई संवेदनशील जानकारीमा प्रतिबन्ध लगाउँछ। यदि पहुँच नियन्त्रण प्रणाली बिग्रिएको छ भने, आक्रमणकारीहरूले प्रमाणीकरणलाई बाइपास गर्न सक्छन्। यसले तिनीहरूलाई संवेदनशील जानकारीमा पहुँच दिन्छ जस्तो कि तिनीहरूसँग प्राधिकरण छ। प्रयोगकर्ता लगइनमा प्राधिकरण टोकनहरू लागू गरेर पहुँच नियन्त्रण सुरक्षित गर्न सकिन्छ। प्रयोगकर्ताले प्रमाणीकरण गर्दा गरेको प्रत्येक अनुरोधमा, प्रयोगकर्तासँगको प्रमाणीकरण टोकन प्रमाणित हुन्छ, जसले प्रयोगकर्तालाई त्यो अनुरोध गर्न अधिकार दिएको संकेत गर्दछ।
सुरक्षा मिसकन्फिगरेसन
सुरक्षा गलत कन्फिगरेसन एक सामान्य समस्या हो cybersecurity विशेषज्ञहरूले वेब अनुप्रयोगहरूमा अवलोकन गर्छन्। यो गलत कन्फिगर गरिएको HTTP हेडरहरू, टुटेको पहुँच नियन्त्रणहरू, र त्रुटिहरूको प्रदर्शनको परिणामको रूपमा हुन्छ जसले वेब एपमा जानकारी खुलासा गर्दछ।। तपाईंले प्रयोग नगरिएका सुविधाहरू हटाएर सुरक्षा गलत कन्फिगरेसनलाई सच्याउन सक्नुहुन्छ। तपाईंले आफ्नो सफ्टवेयर प्याकेजहरू पनि प्याच वा अपग्रेड गर्नुपर्छ।
क्रस-साइट लिपि (XSS)
XSS कमजोरी तब हुन्छ जब आक्रमणकारीले प्रयोगकर्ताको ब्राउजरमा मालिसियस कोड कार्यान्वयन गर्न विश्वसनीय वेबसाइटको DOM API लाई हेरफेर गर्छ।. यो दुर्भावनापूर्ण कोडको कार्यान्वयन प्रायः तब हुन्छ जब प्रयोगकर्ताले लिङ्कमा क्लिक गर्दछ जुन विश्वसनीय वेबसाइटबाट देखिन्छ।। यदि वेबसाइट XSS जोखिमबाट सुरक्षित छैन भने, यो गर्न सक्छ सम्झौता हुन. दुर्भावनापूर्ण कोड कि कार्यान्वयन गरिन्छ प्रयोगकर्ताको लगइन सत्र, क्रेडिट कार्ड विवरणहरू, र अन्य संवेदनशील डेटामा आक्रमणकर्ता पहुँच दिन्छ.
क्रस-साइट स्क्रिप्टिङ (XSS) लाई रोक्नको लागि, तपाईंको HTML राम्रोसँग सेनिटाइज गरिएको छ भनी सुनिश्चित गर्नुहोस्। यो सक्छ द्वारा हासिल हुनेछ छनोटको भाषाको आधारमा विश्वसनीय फ्रेमवर्कहरू छनौट गर्दै। तपाईंले .Net, Ruby on Rails, र React JS जस्ता भाषाहरू प्रयोग गर्न सक्नुहुन्छ किनभने तिनीहरूले तपाईंको HTML कोड पार्स र सफा गर्न मद्दत गर्नेछन्। प्रमाणीकृत वा गैर-प्रमाणित प्रयोगकर्ताहरूबाट सबै डेटालाई अविश्वसनीय रूपमा व्यवहार गर्दा XSS आक्रमणहरूको जोखिम कम गर्न सक्छ।.
असुरक्षित डिसेरियलाइजेशन
Deserialization भनेको सर्भरबाट वस्तुमा क्रमबद्ध डाटाको रूपान्तरण हो। सफ्टवेयर विकास मा डाटा को deserialization एक सामान्य घटना हो। डाटा हुँदा यो असुरक्षित छ deserialized छ अविश्वसनीय स्रोतबाट। यो सक्छ सम्भावना आक्रमण गर्न आफ्नो आवेदन खुलासा। असुरक्षित डिसेरियलाइजेसन तब हुन्छ जब एक अविश्वसनीय स्रोतबाट डिसेरियलाइज गरिएको डेटा DDOS आक्रमणहरू, रिमोट कोड कार्यान्वयन आक्रमणहरू, वा प्रमाणीकरण बाइपासहरूमा जान्छ।.
असुरक्षित डिसेरियलाइजेसनबाट बच्नको लागि, थम्बको नियम भनेको प्रयोगकर्ता डेटामा कहिल्यै विश्वास नगर्नु हो। प्रत्येक प्रयोगकर्ता इनपुट डाटा हुनुपर्छ उपचार गरिनु पर्छ as सम्भावना दुर्भावनापूर्ण। अविश्वसनीय स्रोतहरूबाट डाटाको डिसेरियलाइजेसनबाट बच्नुहोस्। deserialization कार्य गर्न सुनिश्चित गर्नुहोस् प्रयोग गर्नुहोस् तपाईंको वेब अनुप्रयोग सुरक्षित छ।
ज्ञात कमजोरीहरूसँग कम्पोनेन्टहरू प्रयोग गर्दै
पुस्तकालय र फ्रेमवर्कले पाङ्ग्रालाई पुन: आविष्कार नगरी वेब अनुप्रयोगहरू विकास गर्न धेरै छिटो बनाएको छ।। यसले कोड मूल्याङ्कनमा अनावश्यकता कम गर्छ। तिनीहरूले विकासकर्ताहरूलाई अनुप्रयोगहरूको थप महत्त्वपूर्ण पक्षहरूमा ध्यान केन्द्रित गर्न मार्ग प्रशस्त गर्छन्। यदि आक्रमणकारीहरूले यी फ्रेमवर्कहरूमा शोषण पत्ता लगाउँछन् भने, प्रत्येक कोडबेसले फ्रेमवर्क प्रयोग गर्नेछ सम्झौता हुन.
कम्पोनेन्ट विकासकर्ताहरूले प्राय: कम्पोनेन्ट लाइब्रेरीहरूको लागि सुरक्षा प्याचहरू र अद्यावधिकहरू प्रस्ताव गर्छन्। कम्पोनेन्ट कमजोरीहरूबाट बच्नको लागि, तपाईंले नवीनतम सुरक्षा प्याचहरू र स्तरवृद्धिहरूको साथ आफ्ना अनुप्रयोगहरूलाई अद्यावधिक राख्न सिक्नुपर्छ।। प्रयोग नगरिएका अवयवहरू हुनुपर्छ हटाइनेछ आक्रमण भेक्टरहरू काट्नको लागि अनुप्रयोगबाट।
अपर्याप्त लगिङ र निगरानी
लगिङ र निगरानी तपाईंको वेब अनुप्रयोगमा गतिविधिहरू देखाउन महत्त्वपूर्ण छ। लगिङले त्रुटिहरू पत्ता लगाउन सजिलो बनाउँछ, मनिटर प्रयोगकर्ता लगइनहरू, र गतिविधिहरू।
अपर्याप्त लगिङ र निगरानी हुन्छ जब सुरक्षा-महत्वपूर्ण घटनाहरू लगइन हुँदैन ठीक छ. कुनै पनि उल्लेखनीय प्रतिक्रिया आउनु अघि आक्रमणकारीहरूले तपाईंको अनुप्रयोगमा आक्रमणहरू गर्नको लागि यसलाई पूंजीकृत गर्छन्.
लगिङले तपाईंको कम्पनीलाई पैसा र समय बचत गर्न मद्दत गर्न सक्छ किनभने तपाईंका विकासकर्ताहरूले गर्न सक्छन् सजिलै बगहरू फेला पार्नुहोस्। यसले तिनीहरूलाई खोजी भन्दा बगहरू समाधान गर्नमा बढी ध्यान केन्द्रित गर्न अनुमति दिन्छ। प्रभावमा, लगिङले तपाइँको साइटहरू र सर्भरहरूलाई कुनै पनि डाउनटाइम अनुभव नगरी प्रत्येक पटक चलाउन मद्दत गर्न सक्छ।.
निष्कर्ष
राम्रो कोड छैन बस कार्यक्षमता बारे, यो तपाइँको प्रयोगकर्ता र अनुप्रयोग सुरक्षित राख्न को बारे मा छ. OWASP शीर्ष 10 सबैभन्दा महत्त्वपूर्ण अनुप्रयोग सुरक्षा जोखिमहरूको सूची हो जुन विकासकर्ताहरूका लागि सुरक्षित वेब र मोबाइल एपहरू लेख्नको लागि उत्कृष्ट नि:शुल्क स्रोत हो।। जोखिमहरू मूल्याङ्कन गर्न र लग इन गर्न तपाईंको टोलीमा विकासकर्ताहरूलाई तालिम दिँदा तपाईंको टोलीको समय र पैसा लामो समयसम्म बचत गर्न सक्छ। यदि तपाईं चाहनुहुन्छ भने OWASP शीर्ष १० मा आफ्नो टोलीलाई कसरी तालिम दिने भन्ने बारे थप जान्नुहोस् यहाँ क्लिक गर्नुहोस्।
