10 рисков для безопасности вашего приложения
Любое приложение помимо своего основного функционала должно также обеспечивать безопасность для данных пользователей. В нашей статье 10 главных рисков, которые могут всё испортить.
1. Инъекции
Недостатки таких инъекций как SQL, OS, XXE и LDAP проявляются, когда ненадежные данные отправляются интерпретатору в качестве части команды или запроса. Злоумышленники передают вредоносные данные, которые обманывают интерпретатор и начинают выполнение несистемных команд или получают доступ к данным без надлежащей авторизации.
2. Неисправная аутентификация и управление сессией
Функции приложения, связанные с аутентификацией и управлением сеансами, часто реализуются неправильно, что позволяет злоумышленникам получать пароли, ключи или токены сеанса или использовать другие недостатки реализации, чтобы использовать идентификаторы других пользователей (временно или постоянно).
3. Межсайтовый скриптинг (XSS)
Ошибки XSS возникают, когда приложение содержит непроверенные данные на новой веб-странице или обновляет существующую веб-страницу с предоставленной пользователем информацией, используя API-интерфейс браузера, который может создавать JavaScript. XSS позволяет злоумышленникам выполнять сценарии в браузере жертвы, которые могут захватывать пользовательские сеансы, деактивировать веб-сайты или перенаправлять пользователя на вредоносные сайты.
4. Неисправный контроль доступа
Ограничения на то, что разрешено пользователям, прошедшим проверку подлинности, не выполняются должным образом. Атакующие могут использовать эти недостатки для доступа к неавторизованным функциям и / или данным. Например доступ к учетным записям других пользователей, просмотр конфиденциальных файлов, изменение данных других пользователей, изменение прав доступа и т. д.
5. Неверные настройки безопасности
Безопасность требует наличия защищенной конфигурации, которая будет определена и развернута для приложения, фреймворков, сервера приложений, веб-сервера, сервера базы данных, платформы и т. д. Настройки безопасности должны быть определены, реализованы и поддерживаемы. Кроме того, программное обеспечение должно обновляться.
6. Незащищенность данных
Многие веб-приложения и API не обеспечивают надлежащую защиту конфиденциальных данных, таких как информация о финансах, здравоохранение и PII. Атакующие могут красть или изменять такие слабо защищенные данные для махинаций с кредитными картами, кражи личных данных или других преступлений. Подобные данные требуют дополнительной защиты, такой как шифрование при хранении и передаче, а также специальные меры предосторожности при обмене с браузером.
7. Неэффективная защита от атак
Большинство приложений и API не обладают базовой способностью обнаруживать, предотвращать и реагировать на атаки. Защита от них выходит далеко за рамки базовой проверки ввода и включает в себя автоматическое обнаружение, протоколирование, реагирование и даже блокировку попыток использования. Владельцы приложений также должны иметь возможность быстро развертывать патчи для защиты от атак.
8. Межсайтовая подделка запроса(CSRF)
Во время атаки браузер залогининной жертвы отправляет поддельный HTTP -запрос, содержащий сессионные cookie-файлы и другую информацию, которая автоматически содержится в аутентификации уязвимого веб-приложения. Подобная атака позволяет злоумышленнику заставить браузер жертвы генерировать запросы, которые уязвимое приложение считает обычными запросами жертвы.
9. Использование компонентов с известными уязвимостями
Такие компоненты как библиотеки, фреймворки и другие программные модули, запускаются с теми же привилегиями, что и приложение. Если используется уязвимый компонент, то подобная атака может стать причиной серьезной потери данных или захвата серверов. Приложения и API, использующие компоненты с уязвимостями, могут нарушить защиту приложений и активировать различные атаки и удары.
10. Незащищенный API
Современные приложения часто включают в себя обилие клиентских приложений и API-интерфейсов, таких как JavaScript в браузере и мобильных приложениях, которые подключаются к некоторому API (SOAP / XML, REST / JSON, RPC, GWT и т. д.). Эти API часто незащищены и содержат множество уязвимостей.