OWASP शीर्ष 10 सुरक्षा जोखिम | अवलोकन
विषय - सूची
OWASP क्या है?
OWASP एक गैर-लाभकारी संगठन है जो वेब ऐप सुरक्षा शिक्षा के लिए समर्पित है।
OWASP शिक्षण सामग्री उनकी वेबसाइट पर उपलब्ध है। उनके उपकरण वेब अनुप्रयोगों की सुरक्षा में सुधार के लिए उपयोगी हैं। इसमें दस्तावेज़, उपकरण, वीडियो और फ़ोरम शामिल हैं।
OWASP टॉप 10 एक ऐसी सूची है जो आज वेब ऐप्स के लिए शीर्ष सुरक्षा चिंताओं पर प्रकाश डालती है। वे अनुशंसा करते हैं कि सुरक्षा जोखिमों को कम करने के लिए सभी कंपनियां इस रिपोर्ट को अपनी प्रक्रियाओं में शामिल करें. नीचे OWASP टॉप 10 2017 रिपोर्ट में शामिल सुरक्षा जोखिमों की सूची दी गई है।
SQL इंजेक्शन
SQL इंजेक्शन तब होता है जब कोई हमलावर एप्लिकेशन में प्रोग्राम को बाधित करने के लिए वेब ऐप पर अनुचित डेटा भेजता है.
SQL इंजेक्शन का एक उदाहरण:
हमलावर एक SQL क्वेरी को इनपुट फॉर्म में दर्ज कर सकता है जिसके लिए उपयोगकर्ता नाम सादे पाठ की आवश्यकता होती है। यदि इनपुट फॉर्म सुरक्षित नहीं है, तो इसका परिणाम SQL क्वेरी के निष्पादन में होगा। इस इसके संदर्भित SQL इंजेक्शन के रूप में।
वेब एप्लिकेशन को कोड इंजेक्शन से बचाने के लिए, सुनिश्चित करें कि आपके डेवलपर उपयोगकर्ता द्वारा सबमिट किए गए डेटा पर इनपुट सत्यापन का उपयोग करते हैं. यहां सत्यापन का तात्पर्य अमान्य इनपुट की अस्वीकृति से है। एक डेटाबेस मैनेजर की मात्रा को कम करने के लिए नियंत्रण भी सेट कर सकता है करें- कर सकते हैं कि खुलासा किया जाना एक इंजेक्शन हमले में.
SQL इंजेक्शन को रोकने के लिए, OWASP डेटा को कमांड और क्वेरी से अलग रखने की अनुशंसा करता है। बेहतर विकल्प एक सुरक्षित का उपयोग करना है API एक दुभाषिया के उपयोग को रोकने के लिए, या ऑब्जेक्ट रिलेशनल मैपिंग टूल्स (ओआरएम) में माइग्रेट करने के लिए.
टूटा हुआ प्रमाणीकरण
प्रमाणीकरण भेद्यताएँ एक हमलावर को उपयोगकर्ता खातों तक पहुँचने और एक व्यवस्थापक खाते का उपयोग करके सिस्टम से समझौता करने की अनुमति दे सकती हैं. एक साइबर अपराधी सिस्टम पर हजारों पासवर्ड संयोजनों को आजमाने के लिए एक स्क्रिप्ट का उपयोग कर सकता है, यह देखने के लिए कि कौन सा काम करता है. एक बार साइबर अपराधी अंदर आ जाने के बाद, वे गोपनीय जानकारी तक पहुंच प्रदान करते हुए, उपयोगकर्ता की नकली पहचान बना सकते हैं.
वेब एप्लिकेशन में टूटी हुई प्रमाणीकरण भेद्यता मौजूद है जो स्वचालित लॉगिन की अनुमति देती है। बहु-कारक प्रमाणीकरण का उपयोग प्रमाणीकरण भेद्यता को ठीक करने का एक लोकप्रिय तरीका है। इसके अलावा, एक लॉगिन दर सीमा हो सकती है शामिल हो क्रूर बल के हमलों को रोकने के लिए वेब ऐप में।
संवेदनशील डेटा एक्सपोजर
यदि वेब एप्लिकेशन संवेदनशील हमलावरों की रक्षा नहीं करते हैं तो वे अपने लाभ के लिए उनका उपयोग और उपयोग कर सकते हैं। संवेदनशील जानकारी चुराने के लिए ऑन-पाथ अटैक एक लोकप्रिय तरीका है। जब सभी संवेदनशील डेटा एन्क्रिप्ट किए जाते हैं तो जोखिम का जोखिम न्यूनतम हो सकता है। वेब डेवलपर्स को यह सुनिश्चित करना चाहिए कि ब्राउज़र पर कोई संवेदनशील डेटा उजागर न हो या अनावश्यक रूप से संग्रहीत न हो।
एक्सएमएल बाहरी संस्थाएं (एक्सईई)
एक साइबर अपराधी किसी XML दस्तावेज़ के भीतर दुर्भावनापूर्ण XML सामग्री, कमांड या कोड को अपलोड या शामिल करने में सक्षम हो सकता है. यह उन्हें एप्लिकेशन सर्वर फाइल सिस्टम पर फाइलों को देखने की अनुमति देता है। एक बार उनके पास पहुंच हो जाने के बाद, वे सर्वर-साइड अनुरोध जालसाजी (एसएसआरएफ) हमलों को करने के लिए सर्वर से बातचीत कर सकते हैं.
एक्सएमएल बाहरी इकाई हमले कर सकते हैं द्वारा रोका जा सकता है वेब एप्लिकेशन को JSON जैसे कम जटिल डेटा प्रकार स्वीकार करने की अनुमति देना. XML बाहरी इकाई प्रसंस्करण को अक्षम करने से भी XEE हमले की संभावना कम हो जाती है।
टूटा हुआ अभिगम नियंत्रण
एक्सेस कंट्रोल एक सिस्टम प्रोटोकॉल है जो अनधिकृत उपयोगकर्ताओं को संवेदनशील जानकारी तक सीमित करता है। यदि अभिगम नियंत्रण प्रणाली टूट जाती है, तो हमलावर प्रमाणीकरण को बायपास कर सकते हैं। यह उन्हें संवेदनशील जानकारी तक पहुंच प्रदान करता है जैसे कि उनके पास प्राधिकरण है। उपयोगकर्ता लॉगिन पर प्राधिकरण टोकन लागू करके अभिगम नियंत्रण को सुरक्षित किया जा सकता है। प्रमाणीकरण के दौरान उपयोगकर्ता द्वारा किए गए प्रत्येक अनुरोध पर, उपयोगकर्ता के साथ प्राधिकरण टोकन सत्यापित किया जाता है, यह संकेत देते हुए कि उपयोगकर्ता उस अनुरोध को करने के लिए अधिकृत है।
सुरक्षा गलत कॉन्फ़िगरेशन
सुरक्षा गलत कॉन्फ़िगरेशन एक सामान्य समस्या है जो साइबर सुरक्षा विशेषज्ञ वेब अनुप्रयोगों में निरीक्षण करते हैं। यह गलत तरीके से कॉन्फ़िगर किए गए HTTP हेडर, टूटे हुए एक्सेस कंट्रोल और वेब ऐप में जानकारी को उजागर करने वाली त्रुटियों के प्रदर्शन के परिणामस्वरूप होता है।. अप्रयुक्त सुविधाओं को हटाकर आप सुरक्षा गलत कॉन्फ़िगरेशन को ठीक कर सकते हैं। आपको अपने सॉफ़्टवेयर पैकेजों को पैच या अपग्रेड भी करना चाहिए।
क्रॉस-साइट स्क्रिप्टिंग (XSS)
XSS भेद्यता तब होती है जब कोई हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण कोड निष्पादित करने के लिए किसी विश्वसनीय वेबसाइट के DOM API में हेरफेर करता है. इस दुर्भावनापूर्ण कोड का निष्पादन अक्सर तब होता है जब कोई उपयोगकर्ता किसी ऐसे लिंक पर क्लिक करता है जो किसी विश्वसनीय वेबसाइट से प्रतीत होता है. यदि वेबसाइट XSS भेद्यता से सुरक्षित नहीं है, तो यह हो सकती है समझौता किया जाए. दुर्भावनापूर्ण कोड जो निष्पादित किया जाता है एक हमलावर को उपयोगकर्ताओं के लॉगिन सत्र, क्रेडिट कार्ड विवरण और अन्य संवेदनशील डेटा तक पहुंच प्रदान करता है.
क्रॉस-साइट स्क्रिप्टिंग (XSS) को रोकने के लिए, सुनिश्चित करें कि आपका HTML अच्छी तरह से स्वच्छ है। यह हो सकता है द्वारा हासिल किया जाए पसंद की भाषा के आधार पर भरोसेमंद ढांचे का चयन करना. आप .Net, Ruby on Rails, और React JS जैसी भाषाओं का उपयोग कर सकते हैं क्योंकि वे आपके HTML कोड को पार्स और साफ़ करने में मदद करेंगी। प्रमाणित या गैर-प्रमाणीकृत उपयोगकर्ताओं के सभी डेटा को अविश्वसनीय मानने से XSS हमलों का जोखिम कम हो सकता है.
असुरक्षित देशीकरण
Deserialization एक सर्वर से एक ऑब्जेक्ट में क्रमबद्ध डेटा का परिवर्तन है। सॉफ़्टवेयर विकास में डेटा का डीसेरलाइज़ेशन एक सामान्य घटना है। डेटा होने पर यह असुरक्षित है डिसेरिअलाइज़ किया गया है एक अविश्वसनीय स्रोत से। ये हो सकता है संभावित हमलों के लिए अपने आवेदन को बेनकाब करें। असुरक्षित डिसेरिएलाइज़ेशन तब होता है जब एक अविश्वसनीय स्रोत से डीरियलाइज़्ड डेटा डीडीओएस हमलों, रिमोट कोड निष्पादन हमलों या प्रमाणीकरण बायपास की ओर जाता है.
असुरक्षित अक्रमांकन से बचने के लिए, सामान्य नियम यह है कि कभी भी उपयोगकर्ता डेटा पर विश्वास न करें। प्रत्येक उपयोगकर्ता इनपुट डेटा चाहिए इलाज किया जाएगा as संभावित दुर्भावनापूर्ण। अविश्वसनीय स्रोतों से डेटा के अक्रमांकन से बचें। सुनिश्चित करें कि डिसेरिएलाइज़ेशन कार्य करता है इस्तेमाल किया गया आपके वेब एप्लिकेशन में सुरक्षित है।
ज्ञात कमजोरियों वाले घटकों का उपयोग करना
पुस्तकालयों और रूपरेखाओं ने पहिए को फिर से लगाने की आवश्यकता के बिना वेब अनुप्रयोगों को विकसित करना बहुत तेज़ बना दिया है. यह कोड मूल्यांकन में अतिरेक को कम करता है। वे डेवलपर्स के लिए अनुप्रयोगों के अधिक महत्वपूर्ण पहलुओं पर ध्यान केंद्रित करने का मार्ग प्रशस्त करते हैं। यदि हमलावर इन रूपरेखाओं में कारनामे खोजते हैं, तो ढांचे का उपयोग करने वाला प्रत्येक कोडबेस होगा समझौता किया जाए.
घटक डेवलपर्स अक्सर घटक पुस्तकालयों के लिए सुरक्षा पैच और अपडेट प्रदान करते हैं। घटक कमजोरियों से बचने के लिए, आपको अपने एप्लिकेशन को नवीनतम सुरक्षा पैच और अपग्रेड के साथ अद्यतित रखना सीखना चाहिए. अप्रयुक्त घटकों चाहिए हटाया जाना हमले के वैक्टर को काटने के लिए आवेदन से।
अपर्याप्त लॉगिंग और निगरानी
लॉगिंग और मॉनिटरिंग आपके वेब एप्लिकेशन में गतिविधियां दिखाने के लिए महत्वपूर्ण हैं। लॉगिंग से त्रुटियों का पता लगाना आसान हो जाता है, मॉनिटर उपयोगकर्ता लॉगिन, और गतिविधियाँ।
सुरक्षा-महत्वपूर्ण घटनाओं को लॉग नहीं करने पर अपर्याप्त लॉगिंग और निगरानी होती है अच्छी तरह. कोई ध्यान देने योग्य प्रतिक्रिया होने से पहले हमलावर आपके आवेदन पर हमला करने के लिए इसका फायदा उठाते हैं.
लॉगिंग आपकी कंपनी को पैसे और समय बचाने में मदद कर सकती है क्योंकि आपके डेवलपर ऐसा कर सकते हैं आसानी कीड़े खोजें. यह उन्हें खोजने के बजाय बग को हल करने पर अधिक ध्यान केंद्रित करने की अनुमति देता है। वास्तव में, लॉगिंग आपकी साइटों और सर्वरों को बिना किसी डाउनटाइम का अनुभव किए हर बार चालू रखने में मदद कर सकता है.
निष्कर्ष
अच्छा कोड नहीं है केवल कार्यक्षमता के बारे में, यह आपके उपयोगकर्ताओं और एप्लिकेशन को सुरक्षित रखने के बारे में है. OWASP टॉप 10 सबसे महत्वपूर्ण एप्लिकेशन सुरक्षा जोखिमों की एक सूची है, जो डेवलपर्स के लिए सुरक्षित वेब और मोबाइल ऐप लिखने के लिए एक महान मुफ्त संसाधन है।. जोखिमों का आकलन करने और लॉग इन करने के लिए आपकी टीम में डेवलपर्स को प्रशिक्षित करने से लंबे समय में आपकी टीम का समय और पैसा बच सकता है। यदि आप चाहें तो अपनी टीम को प्रशिक्षित करने के तरीके के बारे में OWASP शीर्ष 10 पर अधिक जानें, यहां क्लिक करें।
