среда, 16 апреля 2014 г.

Топ 10 рисков Web-приложений от OWASP 2013

На волне ажиотажа с атакой Heartbleed  стоит еще раз поднять тему безопасности Web-приложений.

Одним из самых популярных, интересных и доступных материалов на эту тему является ежегодных отчет проекта по безопасности Web-приложений OWASP - OWASP TOP-10 2013 
О нем и пойдет речь в обзоре.

Документ является классикой для специалистов по Web-безопасности, но рассказать о нем лишним никогда не будет :)





В документе использован интересный подход к классификации бед, связанных с Web-технологиями: рассматриваются не уязвимости, не атаки, а именно риски ИБ, которые определяются как совокупность:

1. Атакующего
2. Вектора атаки
3. Уязвимости (у которой есть характеристики распространенности и простоты обнаружения)
4. Мер защиты
5. Влияния реализованной атаки на технику
6. Влияния реализованной атаки на бизнес

И каждый риск описан в таком ключе.

Каждому риску посвящена всего 1 страничка, на которой кратко доступным языком даются его характеристики, то, как определить, подвержены ли вы этому риску, пример атаки, то, как от этого риска защититься и ссылки на другие материалы (среди других материалов стоит отметить отдельно знаменитый стандарт по оценке Web-безопасности того же самого проекта OWASP ASVS)

Итак, рейтинг ключевых рисков Web-приложений согласно OWASP:

1. Инъекции (SQL, LDAP, Xpath, NoSQL и т.д) - Injection
2. Угон сессий из-за уязвимостей в аутентификации и управлении сессиями - Hijacking (Broken Authentication and Session Management)
3. Межсайтовый скриптинг - XSS
4. Небезопасные прямые ссылки на внутренние объекты - Insecure Direct Object References
5. Ошибки конфигураций безопасности - Security Misconfiguration
6. Слабая криптография (и защита важной информации в целом) - Sensitive Data Exposure
7. Отсутсвие контроля доступа к функционалу
8. Подделка межсайтовых запросов - CSRF
9. Использование компонентов с известными уязвимостями - Using Components with Known Vulnerabilities
10. Непроверяемые переадресации между сайтами и внутри одного сайта - Unvalidated Redirects and Forwards

 Стоит также отметить, что проверить приложение на предмет рисков из OWASP Top 10 требуется согласно стандартам PCI DSS 3.0 и PA DSS 3.0
Автор: на
Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)