OWASP முதல் 10 பாதுகாப்பு அபாயங்கள் | கண்ணோட்டம்
பொருளடக்கம்
OWASP என்றால் என்ன?
OWASP என்பது வலை பயன்பாட்டு பாதுகாப்பு கல்விக்காக அர்ப்பணிக்கப்பட்ட ஒரு இலாப நோக்கற்ற அமைப்பாகும்.
OWASP கற்றல் பொருட்களை அவர்களின் இணையதளத்தில் அணுகலாம். வலை பயன்பாடுகளின் பாதுகாப்பை மேம்படுத்த அவற்றின் கருவிகள் பயனுள்ளதாக இருக்கும். இதில் ஆவணங்கள், கருவிகள், வீடியோக்கள் மற்றும் மன்றங்கள் ஆகியவை அடங்கும்.
OWASP Top 10 என்பது இன்று இணைய பயன்பாடுகளுக்கான சிறந்த பாதுகாப்புக் கவலைகளை எடுத்துக்காட்டும் பட்டியல் ஆகும். பாதுகாப்பு அபாயங்களைக் குறைக்க அனைத்து நிறுவனங்களும் இந்த அறிக்கையை தங்கள் செயல்முறைகளில் சேர்க்க வேண்டும் என்று அவர்கள் பரிந்துரைக்கின்றனர். OWASP டாப் 10 2017 அறிக்கையில் சேர்க்கப்பட்டுள்ள பாதுகாப்பு அபாயங்களின் பட்டியல் கீழே உள்ளது.
SQL ஊசி
பயன்பாட்டில் உள்ள நிரலுக்கு இடையூறு விளைவிப்பதற்காக இணைய பயன்பாட்டிற்கு ஒரு தாக்குபவர் பொருத்தமற்ற தரவை அனுப்பும்போது SQL ஊசி ஏற்படுகிறது..
ஒரு SQL ஊசிக்கான எடுத்துக்காட்டு:
தாக்குபவர் ஒரு SQL வினவலை உள்ளீட்டு வடிவத்தில் உள்ளிடலாம், அதற்கு பயனர்பெயர் எளிய உரை தேவைப்படுகிறது. உள்ளீட்டு படிவம் பாதுகாக்கப்படவில்லை என்றால், அது ஒரு SQL வினவலை செயல்படுத்தும். இது குறிப்பிடப்படுகிறது SQL ஊசி மருந்தாக.
குறியீடு உட்செலுத்தலில் இருந்து இணையப் பயன்பாடுகளைப் பாதுகாக்க, பயனர் சமர்ப்பித்த தரவுகளில் உங்கள் டெவலப்பர்கள் உள்ளீடு சரிபார்ப்பைப் பயன்படுத்துவதை உறுதிசெய்யவும். இங்கே சரிபார்ப்பு என்பது தவறான உள்ளீடுகளை நிராகரிப்பதைக் குறிக்கிறது. ஒரு தரவுத்தள மேலாளர் அளவைக் குறைக்க கட்டுப்பாடுகளை அமைக்கலாம் தகவல் அது முடியும் வெளிப்படுத்தப்படும் ஒரு ஊசி தாக்குதலில்.
SQL உட்செலுத்தலைத் தடுக்க, கட்டளைகள் மற்றும் வினவல்களிலிருந்து தரவை தனித்தனியாக வைத்திருக்க OWASP பரிந்துரைக்கிறது. பாதுகாப்பான ஒன்றைப் பயன்படுத்துவது விரும்பத்தக்க விருப்பம் ஏபிஐ மொழிபெயர்ப்பாளரைப் பயன்படுத்துவதைத் தடுக்க அல்லது ஆப்ஜெக்ட் ரிலேஷனல் மேப்பிங் டூல்களுக்கு (ORMs) இடம்பெயர்வதற்காக.
உடைந்த அங்கீகாரம்
அங்கீகரிப்பு பாதிப்புகள், தாக்குபவர் பயனர் கணக்குகளை அணுகவும், நிர்வாகி கணக்கைப் பயன்படுத்தி கணினியை சமரசம் செய்யவும் அனுமதிக்கும். ஒரு சைபர் கிரைமினல் ஒரு ஸ்கிரிப்டைப் பயன்படுத்தி, ஒரு கணினியில் ஆயிரக்கணக்கான கடவுச்சொல் சேர்க்கைகளை முயற்சி செய்து, எது வேலை செய்கிறது என்பதைப் பார்க்க முடியும். சைபர் கிரைமினல் உள்ளே நுழைந்தவுடன், அவர்கள் பயனரின் அடையாளத்தைப் போலியாகப் போலியாகப் பயன்படுத்தி, ரகசியத் தகவலைப் பெறலாம்..
தானியங்கு உள்நுழைவுகளை அனுமதிக்கும் வலை பயன்பாடுகளில் உடைந்த அங்கீகார பாதிப்பு உள்ளது. அங்கீகரிப்பு பாதிப்பை சரிசெய்வதற்கான ஒரு பிரபலமான வழி மல்டிஃபாக்டர் அங்கீகாரத்தைப் பயன்படுத்துவதாகும். மேலும், உள்நுழைவு வீத வரம்பு இருக்கலாம் சேர்க்கப்படும் மிருகத்தனமான தாக்குதல்களைத் தடுக்க வலை பயன்பாட்டில்.
உணர்திறன் தரவு வெளிப்பாடு
இணையப் பயன்பாடுகள் பாதுகாக்கவில்லை என்றால், உணர்வுப்பூர்வமான தாக்குபவர்கள் அவற்றை அணுகி தங்கள் லாபத்திற்காகப் பயன்படுத்தலாம். ஆன்-பாத் தாக்குதல் என்பது முக்கியமான தகவல்களைத் திருடுவதற்கான ஒரு பிரபலமான முறையாகும். அனைத்து முக்கியத் தரவுகளும் குறியாக்கம் செய்யப்படும்போது, வெளிப்படும் அபாயம் குறைவாக இருக்கும். எந்த முக்கியத் தரவுகளும் உலாவியில் வெளிப்படாமல் அல்லது தேவையில்லாமல் சேமிக்கப்படுவதை இணைய உருவாக்குநர்கள் உறுதிசெய்ய வேண்டும்.
எக்ஸ்எம்எல் வெளிப்புற நிறுவனங்கள் (XEE)
ஒரு சைபர் கிரிமினல் ஒரு XML ஆவணத்தில் தீங்கிழைக்கும் XML உள்ளடக்கம், கட்டளைகள் அல்லது குறியீட்டை பதிவேற்றலாம் அல்லது சேர்க்கலாம். இது அப்ளிகேஷன் சர்வர் கோப்பு முறைமையில் உள்ள கோப்புகளைப் பார்க்க அனுமதிக்கிறது. அவர்களுக்கு அணுகல் கிடைத்ததும், சர்வர்-சைட் கோரிக்கை மோசடி (SSRF) தாக்குதல்களைச் செய்ய அவர்கள் சேவையகத்துடன் தொடர்பு கொள்ளலாம்..
எக்ஸ்எம்எல் வெளிப்புற அமைப்பு தாக்குதல்களால் முடியும் மூலம் தடுக்கப்படும் JSON போன்ற குறைவான சிக்கலான தரவு வகைகளை ஏற்க இணைய பயன்பாடுகளை அனுமதிக்கிறது. எக்ஸ்எம்எல் வெளிப்புற நிறுவன செயலாக்கத்தை முடக்குவது XEE தாக்குதலின் வாய்ப்புகளையும் குறைக்கிறது.
உடைந்த அணுகல் கட்டுப்பாடு
அணுகல் கட்டுப்பாடு என்பது ஒரு கணினி நெறிமுறையாகும், இது அங்கீகரிக்கப்படாத பயனர்களை முக்கியமான தகவல்களுக்குக் கட்டுப்படுத்துகிறது. அணுகல் கட்டுப்பாட்டு அமைப்பு உடைந்தால், தாக்குபவர்கள் அங்கீகாரத்தைத் தவிர்க்கலாம். இது அவர்களுக்கு அங்கீகாரம் உள்ளதைப் போல முக்கியமான தகவல்களை அணுகுவதை வழங்குகிறது. பயனர் உள்நுழைவில் அங்கீகார டோக்கன்களை செயல்படுத்துவதன் மூலம் அணுகல் கட்டுப்பாட்டைப் பாதுகாக்க முடியும். அங்கீகரிக்கப்பட்ட போது ஒரு பயனர் செய்யும் ஒவ்வொரு கோரிக்கையிலும், பயனரின் அங்கீகார டோக்கன் சரிபார்க்கப்பட்டது, அந்த கோரிக்கையைச் செய்ய பயனருக்கு அங்கீகாரம் உள்ளது என்பதைக் குறிக்கிறது.
பாதுகாப்பு தவறான கட்டமைப்பு
பாதுகாப்பு தவறான கட்டமைப்பு என்பது ஒரு பொதுவான பிரச்சினை சைபர் வல்லுநர்கள் வலை பயன்பாடுகளில் கவனிக்கின்றனர். இது தவறாக உள்ளமைக்கப்பட்ட HTTP தலைப்புகள், உடைந்த அணுகல் கட்டுப்பாடுகள் மற்றும் இணைய பயன்பாட்டில் உள்ள தகவலை வெளிப்படுத்தும் பிழைகள் ஆகியவற்றின் விளைவாக ஏற்படுகிறது. பயன்படுத்தப்படாத அம்சங்களை அகற்றுவதன் மூலம் பாதுகாப்பு தவறான உள்ளமைவை நீங்கள் சரிசெய்யலாம். நீங்கள் உங்கள் மென்பொருள் தொகுப்புகளை இணைக்க வேண்டும் அல்லது மேம்படுத்த வேண்டும்.
குறுக்கு தள ஸ்கிரிப்டிங் (எக்ஸ்எஸ்எஸ்)
பயனரின் உலாவியில் தீங்கிழைக்கும் குறியீட்டை இயக்க, நம்பகமான இணையதளத்தின் DOM APIயை தாக்குபவர் கையாளும் போது XSS பாதிப்பு ஏற்படுகிறது.. இந்த தீங்கிழைக்கும் குறியீட்டை செயல்படுத்துவது, நம்பகமான இணையதளத்தில் உள்ளதாகத் தோன்றும் இணைப்பைப் பயனர் கிளிக் செய்யும் போது அடிக்கடி நிகழ்கிறது.. XSS பாதிப்பிலிருந்து இணையதளம் பாதுகாக்கப்படவில்லை என்றால், அது முடியும் சமரசம் செய்து கொள்ள வேண்டும். தீங்கிழைக்கும் குறியீடு என்று செயல்படுத்தப்படுகிறது பயனர்களின் உள்நுழைவு அமர்வு, கிரெடிட் கார்டு விவரங்கள் மற்றும் பிற முக்கியத் தரவுகளுக்கான தாக்குதலுக்கு அணுகலை வழங்குகிறது.
கிராஸ்-சைட் ஸ்கிரிப்டிங்கை (XSS) தடுக்க, உங்கள் HTML நன்கு சுத்திகரிக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்தவும். இது முடியும் மூலம் அடையலாம் தேர்ந்தெடுக்கும் மொழியைப் பொறுத்து நம்பகமான கட்டமைப்பைத் தேர்ந்தெடுப்பது. நீங்கள் .Net, Ruby on Rails மற்றும் React JS போன்ற மொழிகளைப் பயன்படுத்தலாம், ஏனெனில் அவை உங்கள் HTML குறியீட்டை அலசவும் சுத்தம் செய்யவும் உதவும். அங்கீகரிக்கப்பட்ட அல்லது அங்கீகரிக்கப்படாத பயனர்களின் எல்லா தரவையும் நம்பத்தகாததாகக் கருதுவது XSS தாக்குதல்களின் அபாயத்தைக் குறைக்கும்.
பாதுகாப்பற்ற சீரியலைசேஷன்
சீரியலைசேஷன் என்பது ஒரு சர்வரில் இருந்து வரிசைப்படுத்தப்பட்ட தரவை ஒரு பொருளாக மாற்றுவதாகும். மென்பொருள் உருவாக்கத்தில் தரவுகளை சீரமைப்பது ஒரு பொதுவான நிகழ்வாகும். தரவு இருக்கும்போது இது பாதுகாப்பற்றது டீரியலைஸ் ஆகிறது நம்பத்தகாத மூலத்திலிருந்து. இது முடியும் சாத்தியமுள்ள தாக்குதல்களுக்கு உங்கள் விண்ணப்பத்தை வெளிப்படுத்துங்கள். நம்பத்தகாத மூலத்திலிருந்து டீரியலைஸ் செய்யப்பட்ட தரவு DDOS தாக்குதல்கள், ரிமோட் குறியீடு செயல்படுத்தல் தாக்குதல்கள் அல்லது அங்கீகரிப்பு புறக்கணிப்புகளுக்கு வழிவகுக்கும் போது பாதுகாப்பற்ற டீரியலைசேஷன் ஏற்படுகிறது..
பாதுகாப்பற்ற டீரியலைசேஷன் தவிர்க்க, பயனர் தரவை ஒருபோதும் நம்பக்கூடாது என்பது கட்டைவிரல் விதி. ஒவ்வொரு பயனர் உள்ளீடு தரவு வேண்டும் சிகிச்சை அளிக்கப்படும் as சாத்தியமுள்ள தீங்கிழைக்கும். நம்பத்தகாத மூலங்களிலிருந்து தரவை சீரழிப்பதைத் தவிர்க்கவும். டீரியலைசேஷன் செயல்பாட்டை உறுதிசெய்யவும் பயன்படுத்தப்பட வேண்டும் உங்கள் இணைய பயன்பாட்டில் பாதுகாப்பாக உள்ளது.
அறியப்பட்ட பாதிப்புகளுடன் கூறுகளைப் பயன்படுத்துதல்
நூலகங்கள் மற்றும் கட்டமைப்புகள் சக்கரத்தை மீண்டும் கண்டுபிடிக்கத் தேவையில்லாமல் வலை பயன்பாடுகளை உருவாக்குவதை மிக வேகமாகச் செய்துள்ளன.. இது குறியீடு மதிப்பீட்டில் பணிநீக்கத்தைக் குறைக்கிறது. டெவலப்பர்கள் பயன்பாடுகளின் மிக முக்கியமான அம்சங்களில் கவனம் செலுத்துவதற்கு அவை வழி வகுக்கின்றன. தாக்குபவர்கள் இந்த கட்டமைப்பில் சுரண்டல்களைக் கண்டறிந்தால், கட்டமைப்பைப் பயன்படுத்தும் ஒவ்வொரு கோட்பேஸும் சமரசம் செய்து கொள்ள வேண்டும்.
கூறுகளை உருவாக்குபவர்கள் பெரும்பாலும் கூறு நூலகங்களுக்கான பாதுகாப்பு இணைப்புகளையும் புதுப்பிப்புகளையும் வழங்குகிறார்கள். கூறுகளின் பாதிப்புகளைத் தவிர்க்க, சமீபத்திய பாதுகாப்பு இணைப்புகள் மற்றும் மேம்படுத்தல்களுடன் உங்கள் பயன்பாடுகளைப் புதுப்பித்த நிலையில் வைத்திருக்க கற்றுக்கொள்ள வேண்டும். பயன்படுத்தப்படாத கூறுகள் இருக்க வேண்டும் அகற்றப்படும் பயன்பாட்டிலிருந்து தாக்குதல் திசையன்களை வெட்டுவது.
போதுமான பதிவு மற்றும் கண்காணிப்பு இல்லை
உங்கள் வலைப் பயன்பாட்டில் செயல்பாடுகளைக் காட்ட உள்நுழைவு மற்றும் கண்காணிப்பு முக்கியம். பதிவு செய்வது பிழைகளைக் கண்டறிவதை எளிதாக்குகிறது, மானிட்டர் பயனர் உள்நுழைவுகள் மற்றும் செயல்பாடுகள்.
பாதுகாப்பு-முக்கியமான நிகழ்வுகள் பதிவு செய்யப்படாதபோது போதுமான பதிவு மற்றும் கண்காணிப்பு ஏற்படுகிறது ஒழுங்காக. தாக்குபவர்கள் இதைப் பயன்படுத்தி, உங்கள் விண்ணப்பத்தின் மீது தாக்குதல்களை மேற்கொள்ளலாம்.
பதிவுசெய்தல் உங்கள் நிறுவனத்திற்கு பணத்தையும் நேரத்தையும் சேமிக்க உதவும், ஏனெனில் உங்கள் டெவலப்பர்களால் முடியும் எளிதாக பிழைகள் கண்டுபிடிக்க. இது பிழைகளைத் தேடுவதை விட அவற்றைத் தீர்ப்பதில் அதிக கவனம் செலுத்த அனுமதிக்கிறது. உண்மையில், பதிவுசெய்தல் உங்கள் தளங்களையும் சேவையகங்களையும் செயலிழக்கச் செய்யாமல் ஒவ்வொரு முறையும் இயங்க வைக்க உதவும்..
தீர்மானம்
நல்ல குறியீடு இல்லை வெறும் செயல்பாட்டைப் பற்றி, இது உங்கள் பயனர்களையும் பயன்பாட்டையும் பாதுகாப்பாக வைத்திருப்பது பற்றியது. OWASP டாப் 10 என்பது மிகவும் முக்கியமான பயன்பாட்டு பாதுகாப்பு அபாயங்களின் பட்டியல் ஆகும், இது டெவலப்பர்களுக்கு பாதுகாப்பான வலை மற்றும் மொபைல் பயன்பாடுகளை எழுதுவதற்கான சிறந்த இலவச ஆதாரமாகும்.. அபாயங்களை மதிப்பிடுவதற்கும் பதிவு செய்வதற்கும் உங்கள் குழுவில் உள்ள டெவலப்பர்களுக்கு பயிற்சியளிப்பது நீண்ட காலத்திற்கு உங்கள் குழு நேரத்தையும் பணத்தையும் மிச்சப்படுத்தும். நீங்கள் விரும்பினால் OWASP Top 10 இல் உங்கள் குழுவை எவ்வாறு பயிற்றுவிப்பது என்பது பற்றி மேலும் அறிய இங்கே கிளிக் செய்யவும்.
