ʻO OWASP Top 10 mau pilikia palekana | Nānā nui
Table of Contents
He aha ka OWASP?
He hui waiwai ʻole ʻo OWASP i hoʻolaʻa ʻia i ka hoʻonaʻauao palekana polokalamu pūnaewele.
Loaʻa nā haʻawina aʻo OWASP ma kā lākou pūnaewele. Pono kā lākou mau mea hana no ka hoʻomaikaʻi ʻana i ka palekana o nā noi pūnaewele. Aia kēia i nā palapala, nā mea hana, nā wikiō, a me nā ʻaha kūkā.
ʻO ka OWASP Top 10 kahi papa inoa e hōʻike ana i nā hopohopo palekana kiʻekiʻe no nā polokalamu pūnaewele i kēia lā. Manaʻo lākou e hoʻokomo nā hui āpau i kēia hōʻike i kā lākou kaʻina hana e ʻoki i nā pilikia palekana. Aia ma lalo kahi papa inoa o nā pilikia palekana i hoʻokomo ʻia i ka hōʻike OWASP Top 10 2017.
Pākuhi SQL
Hana ʻia ʻo SQL i ka wā e hoʻouna ai ka mea hoʻouka i ka ʻikepili kūpono ʻole i kahi polokalamu pūnaewele e hoʻopau i ka papahana ma ka noi.
He laʻana o kahi SQL Injection:
Hiki i ka mea hoʻouka ke hoʻokomo i kahi nīnau SQL i loko o kahi palapala hoʻokomo e pono ai ka inoa inoa plaintext. Inā ʻaʻole paʻa ka palapala hoʻokomo, e hopena ia i ka hoʻokō ʻana i kahi nīnau SQL. ʻO kēia waiho ʻia e like me SQL injection.
No ka pale ʻana i nā noi pūnaewele mai ka hoʻokomo code, e hōʻoia i ka hoʻohana ʻana o kāu mau mea hoʻomohala i ka hōʻoia hoʻokomo i ka ʻikepili i waiho ʻia e ka mea hoʻohana. ʻO ka hōʻoia ma ʻaneʻi e pili ana i ka hōʻole ʻana i nā hoʻokomo kūpono ʻole. Hiki i ka luna waihona waihona ke hoʻonohonoho i nā mana e hōʻemi i ka nui o ike ʻo ia e hoikeia i ka hoʻouka ʻana.
No ka pale ʻana iā SQL injection, paipai ʻo OWASP i ka mālama ʻana i ka ʻikepili mai nā kauoha a me nā nīnau. ʻO ka koho kūpono e hoʻohana i kahi palekana API no ka pale ʻana i ka hoʻohana ʻana i ka unuhi ʻōlelo, a i ʻole ka neʻe ʻana i Object Relational Mapping Tools (ORMs).
Hōʻoia Haʻihaʻi
Hiki i nā nāwaliwali o ka hōʻoia ke ʻae i ka mea hoʻouka e komo i nā moʻokāki mea hoʻohana a hoʻololi i kahi ʻōnaehana me ka hoʻohana ʻana i kahi moʻokāki admin.. Hiki i ka cybercriminal ke hoʻohana i kahi palapala e hoʻāʻo ai i nā tausani o nā hui ʻōlelo huna ma kahi ʻōnaehana e ʻike ai i ka hana. Ke komo ka cybercriminal, hiki iā lākou ke hoʻopunipuni i ka ʻike o ka mea hoʻohana, e hāʻawi iā lākou i ka ʻike huna.
Aia ka ha'iha'i ha'iha'i ha'iha'i i loko o nā polokalamu pūnaewele e 'ae ai i ka ho'okomo 'akomi. ʻO kahi ala kaulana e hoʻoponopono ai i ka nāwaliwali o ka hōʻoia ʻana ʻo ka hoʻohana ʻana i ka hōʻoia multifactor. Eia kekahi, hiki i ka palena helu komo e hookomoia i ka polokalamu kele pūnaewele e pale aku i nā hoʻouka kaua.
Hōʻike i ka ʻikepili koʻikoʻi
Inā ʻaʻole pale nā polokalamu pūnaewele i nā mea hoʻouka koʻikoʻi hiki ke komo a hoʻohana iā lākou no kā lākou loaʻa. ʻO ka hoʻouka ʻana ma ke ala he ala kaulana ia no ka ʻaihue ʻana i ka ʻike koʻikoʻi. He liʻiliʻi ka pilikia o ka hoʻolaha ʻana ke hoʻopili ʻia nā ʻikepili koʻikoʻi āpau. Pono nā mea hoʻomohala pūnaewele e hōʻoia ʻaʻole ʻike ʻia nā ʻikepili koʻikoʻi ma ka polokalamu kele pūnaewele a mālama ʻole ʻia.
Nā Hui Kūwaho XML (XEE)
Hiki i ka mea hewa ke hoʻouka a hoʻokomo paha i nā ʻike XML ʻino, nā kauoha, a i ʻole code i loko o kahi palapala XML. Hāʻawi kēia iā lākou e nānā i nā faila ma ka ʻōnaehana file server. Ke loaʻa iā lākou ke komo, hiki iā lākou ke launa pū me ke kikowaena e hana i ka hoʻouka ʻana i ka server-side request forgery (SSRF)..
Hiki i nā mea hoʻouka kaua XML waho e pale ʻia e ʻae i nā noi pūnaewele e ʻae i nā ʻano ʻikepili liʻiliʻi e like me JSON. ʻO ka hoʻopau ʻana i ka hoʻoili ʻana i waho XML e hōʻemi ana i ka manawa o kahi hoʻouka kaua XEE.
ʻAhaʻi ʻAi Mana
ʻO ka mana komo kahi protocol ʻōnaehana e kaupalena ana i nā mea hoʻohana ʻole i ka ʻike koʻikoʻi. Inā haʻihaʻi kahi ʻōnaehana hoʻokele, hiki i nā mea hoʻouka ke kāpae i ka hōʻoia. Hāʻawi kēia iā lākou i ke komo i ka ʻike koʻikoʻi me he mea lā ua loaʻa iā lākou ka ʻae. Hiki ke hoʻopaʻa ʻia ʻo Access Control ma o ka hoʻokō ʻana i nā hōʻailona mana ma ka hoʻopaʻa inoa mea hoʻohana. Ma kēlā me kēia noi a ka mea hoʻohana i ka wā i hōʻoia ʻia, hōʻoia ʻia ka hōʻailona ʻae me ka mea hoʻohana, e hōʻailona ana ua ʻae ʻia ka mea hoʻohana e hana i kēlā noi.
Hoʻonohonoho hewa palekana
ʻO ka misconfiguration palekana he pilikia maʻamau ia cybersecurity ʻike nā poʻe loea i nā noi pūnaewele. Loaʻa kēia ma muli o nā poʻomanaʻo HTTP i kuhi hewa ʻia, nā mana ʻae ʻia, a me ka hōʻike ʻana i nā hewa e hōʻike ana i ka ʻike ma kahi polokalamu pūnaewele.. Hiki iā ʻoe ke hoʻoponopono i kahi Security Misconfiguration ma ka wehe ʻana i nā hiʻohiʻona i hoʻohana ʻole ʻia. Pono ʻoe e hoʻopili a hoʻomaikaʻi paha i kāu mau pūʻolo polokalamu.
Palapala Kahakaha Kūʻai (XSS)
Loaʻa ka nāwaliwali o XSS i ka wā e hoʻopunipuni ai ka mea hoʻouka i ka API DOM o kahi pūnaewele hilinaʻi e hoʻokō i nā code ʻino i ka polokalamu kele pūnaewele.. ʻO ka hoʻokō ʻana i kēia code hōʻino i ka wā e kaomi ai ka mea hoʻohana i kahi loulou i ʻike ʻia mai kahi pūnaewele hilinaʻi.. Inā ʻaʻole pale ʻia ka pūnaewele mai ka nāwaliwali o XSS, hiki iā ia e hoʻopaʻapaʻa. ʻO ke code malicious kēlā ua hookoia hāʻawi i ka mea hoʻouka i ke komo ʻana i ke kau inoa inoa o nā mea hoʻohana, nā kikoʻī kāleka hōʻaiʻē, a me nā ʻikepili koʻikoʻi ʻē aʻe.
No ka pale ʻana i ka Cross-site Scripting (XSS), e hoʻomaʻemaʻe pono i kāu HTML. Hiki kēia e hoʻokō ʻia e ke koho ʻana i nā framework hilinaʻi ma muli o ka ʻōlelo i koho ʻia. Hiki iā ʻoe ke hoʻohana i nā ʻōlelo e like me .Net, Ruby on Rails, a me React JS i mea e kōkua ai lākou e hoʻomaʻemaʻe i kāu code HTML. ʻO ka mālama ʻana i nā ʻikepili a pau mai nā mea hoʻohana i hōʻoia ʻia a i ʻole nā mea hoʻohana i hilinaʻi ʻole ʻia e hiki ke hōʻemi i ka hopena o nā hōʻeha XSS.
Deserialization ʻaʻole palekana
ʻO ka Deserialization ka hoʻololi ʻana o ka ʻikepili serialized mai kahi kikowaena i kahi mea. He mea maʻamau ka deserialization o ka ʻikepili i ka hoʻomohala polokalamu. ʻAʻole palekana i ka wā ʻikepili deserialized mai kahi kumu hilinaʻi ʻole. Hiki kēia hiki paha e hōʻike i kāu noi i nā hoʻouka kaua. Hana ʻia ka deserialization paʻa ʻole ke alakaʻi ʻia ka ʻikepili deserialized mai kahi kumu hilinaʻi ʻole i ka hoʻouka ʻana iā DDOS, nā hoʻouka hoʻokō code mamao, a i ʻole ka hōʻoia hōʻoia..
No ka pale ʻana i ka deserialization, ʻo ke kānāwai o ka manamana lima ʻaʻole e hilinaʻi i ka ʻikepili mea hoʻohana. Pono kēlā me kēia mea hoʻohana e hoʻokomo i ka ʻikepili e mālama ʻia as hiki paha ino. Hōʻalo i ka deserialization o ka ʻikepili mai nā kumu hilinaʻi ʻole. E hōʻoia i ka hana deserialization i lilo ia ma kāu polokalamu kele pūnaewele palekana.
Ke hoʻohana nei i nā ʻāpana me nā mea nawaliwali i ʻike ʻia
Ua ʻoi aku ka wikiwiki o nā Libraries a me Frameworks i ka hoʻomohala ʻana i nā noi pūnaewele me ka ʻole o ka pono e hana hou i ka huila. Hoʻemi kēia i ka redundancy ma ka loiloi code. Hāʻawi lākou i ke ala no nā mea hoʻomohala e nānā i nā mea koʻikoʻi o nā noi. Inā ʻike ka poʻe hoʻouka kaua i nā hana i loko o kēia mau frameworks, ʻo kēlā me kēia codebase e hoʻohana ana i ka framework e hoʻopaʻapaʻa.
Hāʻawi pinepine nā mea hoʻomohala mea i nā pale palekana a me nā mea hou no nā hale waihona puke. No ka pale ʻana i nā mea nāwaliwali, pono ʻoe e aʻo e hoʻomau i kāu mau noi i ka lā me nā pale palekana hou a me nā hoʻonui.. Pono nā ʻāpana i hoʻohana ʻole ʻia hemo mai ka palapala noi e ʻoki i nā vectors hoʻouka.
ʻAʻole lawa ka hoʻopaʻa ʻana a me ka nānā ʻana
He mea nui ka hoʻopaʻa inoa ʻana a me ka nānā ʻana e hōʻike i nā hana i kāu polokalamu pūnaewele. He mea maʻalahi ka hoʻopaʻa ʻana i nā hewa, kanaka hoʻoponopono mea hoʻohana logins, a me nā hana.
ʻAʻole lawa ka hoʻopaʻa inoa ʻana a me ka nānā ʻana i ka wā i hoʻopaʻa ʻole ʻia nā hanana koʻikoʻi palekana pololei. Hoʻohana ka poʻe hoʻouka i kēia no ka hoʻouka ʻana i kāu noi ma mua o ka loaʻa ʻana o kekahi pane ʻike.
Hiki i ka logging ke kōkua i kāu hui e mālama i ke kālā a me ka manawa no ka mea hiki i kāu mea hoʻomohala hiki wawe ka ʻimi i nā ʻōpala. ʻAe kēia iā lākou e noʻonoʻo nui i ka hoʻoponopono ʻana i nā pōpoki ma mua o ka ʻimi ʻana iā lākou. ʻO ka hopena, hiki i ka hoʻopaʻa inoa ʻana ke kōkua i ka mālama ʻana i kāu mau pūnaewele a me nā kikowaena i kēlā me kēia manawa me ka ʻole o lākou e ʻike i kekahi manawa haʻahaʻa.
Panina
ʻAʻole maikaʻi ke code pono e pili ana i ka hana, e pili ana i ka mālama pono ʻana i kāu mea hoʻohana a me kāu noi. ʻO ka OWASP Top 10 kahi papa inoa o nā pilikia palekana noiʻi koʻikoʻi he kumu manuahi maikaʻi loa no nā mea hoʻomohala e kākau i nā pūnaewele paʻa a me nā polokalamu kelepona.. Hiki i nā mea hoʻomohala hoʻomaʻamaʻa ma kāu hui e loiloi a hoʻopaʻa i nā pilikia hiki ke mālama i kāu manawa a me ke kālā i ka wā lōʻihi. Inā makemake ʻoe e aʻo hou e pili ana i ke aʻo ʻana i kāu hui ma ka OWASP Top 10 kaomi ma aneʻi.
