د OWASP 10 غوره امنیتي خطرونه | کتنه
فهرست
OWASP څه شی دی؟
OWASP یوه غیر انتفاعي موسسه ده چې د ویب ایپ امنیت زده کړې ته وقف شوې ده.
د OWASP زده کړې توکي د دوی په ویب پاڼه کې د لاسرسي وړ دي. د دوی وسیلې د ویب غوښتنلیکونو امنیت ښه کولو لپاره ګټورې دي. پدې کې اسناد، وسایل، ویډیوګانې، او فورمونه شامل دي.
د OWASP غوره 10 یو لیست دی چې نن ورځ د ویب ایپسونو لپاره لوړ امنیتي اندیښنې روښانه کوي. دوی وړاندیز کوي چې ټول شرکتونه دا راپور په خپلو پروسو کې شامل کړي ترڅو امنیتي خطرونه کم کړي. لاندې د امنیتي خطرونو لیست دی چې د OWASP 10 غوره 2017 راپور کې شامل دي.
ایس ایس ایل انجیکشن
د ایس کیو ایل انجیکشن هغه وخت رامینځته کیږي کله چې برید کونکی ویب ایپ ته نامناسب معلومات لیږي ترڅو په غوښتنلیک کې برنامه ګډوډ کړي.
د SQL انجکشن یوه بیلګه:
برید کوونکی کولی شي د SQL پوښتنې په ان پټ فارم کې دننه کړي چې د کارن نوم ساده متن ته اړتیا لري. که چیرې د ننوتلو فورمه خوندي نه وي، نو دا به د SQL پوښتنې اجرا کولو پایله ولري. دا راجع کیږي د SQL انجیکشن په توګه.
د کوډ انجیکشن څخه د ویب غوښتنلیکونو ساتلو لپاره ، ډاډ ترلاسه کړئ چې ستاسو پراختیا کونکي د کارونکي لخوا سپارل شوي ډیټا کې د ان پټ تایید کاروي. دلته اعتبار د ناسمو معلوماتو ردولو ته اشاره کوي. د ډیټابیس مدیر کولی شي د مقدار کمولو لپاره کنټرولونه هم تنظیم کړي معلومات دا کولی شي افشا شي د انجیکشن په برید کې.
د SQL انجیکشن مخنیوي لپاره ، OWASP د معلوماتو او پوښتنو څخه جلا ساتلو وړاندیز کوي. غوره انتخاب د خوندي کارول دي API د ژباړونکي د کارونې مخنیوي لپاره، یا د اعتراض د ارتباطي نقشې کولو وسیلو (ORMs) ته مهاجرت کول.
مات شوی تصدیق
د تصدیق زیانونه کولی شي برید کونکي ته اجازه ورکړي چې د کارونکي حسابونو ته لاسرسی ومومي او د اداري حساب په کارولو سره سیسټم سره جوړجاړی وکړي. یو سایبر مجرم کولی شي سکریپټ وکاروي ترڅو په سیسټم کې د زرګونو پاسورډ ترکیبونه هڅه وکړي ترڅو وګوري چې کوم کار کوي. یوځل چې سایبر جرمونه دننه شي ، دوی کولی شي د کارونکي هویت جعلي کړي ، دوی ته محرم معلوماتو ته لاسرسی ورکوي.
په ویب غوښتنلیکونو کې د مات شوي تصدیق زیان شتون شتون لري چې د اتوماتیک ننوتلو اجازه ورکوي. د تصدیق زیانمننې سمولو لپاره یوه مشهوره لاره د څو فکتور تصدیق کارول دي. همچنان ، د ننوتلو نرخ محدودیت کیدی شي شامل شي د وحشي ځواک بریدونو مخنیوي لپاره په ویب ایپ کې.
د حساسو معلوماتو افشا کول
که ویب غوښتنلیکونه حساس برید کونکي خوندي نه کړي کولی شي لاسرسی ومومي او د دوی ګټې لپاره یې وکاروي. په لاره کې برید د حساس معلوماتو غلا کولو لپاره یو مشهور میتود دی. د افشا کیدو خطر لږترلږه کیدی شي کله چې ټول حساس معلومات کوډ شوي وي. د ویب پراختیا کونکي باید ډاډ ترلاسه کړي چې هیڅ حساس معلومات په براوزر کې نه افشا کیږي یا غیر ضروري زیرمه شوي.
ایکس ایم ایل بهرنۍ ادارې (XEE)
یو سایبر مجرم ممکن د XML سند کې د ناوړه XML مینځپانګې ، امرونو ، یا کوډ اپلوډ کولو یا شاملولو وړتیا ولري. دا دوی ته اجازه ورکوي چې د غوښتنلیک سرور فایل سیسټم کې فایلونه وګوري. یوځل چې دوی لاسرسی ولري ، دوی کولی شي د سرور سره اړیکه ونیسي ترڅو د سرور اړخ غوښتنې جعل (SSRF) بریدونه ترسره کړي..
د XML بهرنۍ ادارې بریدونه کولی شي لخوا مخنیوی وشي د ویب غوښتنلیکونو ته اجازه ورکوي چې لږ پیچلي ډیټا ډولونه ومني لکه JSON. د XML بهرنۍ ادارې پروسس کول هم د XEE برید چانس کموي.
مات شوي لاسرسي کنټرول
د لاسرسي کنټرول د سیسټم پروتوکول دی چې غیر مجاز کارونکي حساس معلوماتو ته محدودوي. که چیرې د لاسرسي کنټرول سیسټم مات شوی وي ، برید کونکي کولی شي تصدیق پریږدي. دا دوی ته حساس معلوماتو ته لاسرسی ورکوي لکه څنګه چې دوی واک لري. د لاسرسي کنټرول د کارونکي په ننوتلو کې د اجازې ټیکونو پلي کولو سره خوندي کیدی شي. په هره غوښتنه کې چې یو کارن د تصدیق کولو پرمهال کوي ، د کارونکي سره د اختیار نښه تایید کیږي ، دا په ګوته کوي چې کارونکي د دې غوښتنې کولو واک لري.
د امنیت ناسم تشکیلات
د امنیت ناسم ترتیب یوه عامه ستونزه ده cybersecurity متخصصین په ویب غوښتنلیکونو کې ګوري. دا د غلط ترتیب شوي HTTP سرلیکونو، مات شوي لاسرسي کنټرولونو، او د غلطیو ښودلو په پایله کې پیښیږي چې په ویب ایپ کې معلومات افشا کوي. تاسو کولی شئ د نه کارول شوي ځانګړتیاو په لرې کولو سره د امنیت غلط ترتیب سم کړئ. تاسو باید د خپل سافټویر کڅوړې پیچ یا لوړ کړئ.
د کراس سایټ سکریپټ (XSS)
د XSS زیانمنتیا هغه وخت رامینځته کیږي کله چې برید کونکی د یو باوري ویب پا DOM API اداره کوي ترڅو د کارونکي براوزر کې ناوړه کوډ اجرا کړي. د دې ناوړه کوډ اجرا کول اکثرا هغه وخت پیښیږي کله چې یو کاروونکي په یو لینک کلیک کوي چې داسې ښکاري چې د باوري ویب پاڼې څخه وي. که ویب پاڼه د XSS زیانمننې څخه خوندي نه وي، دا کولی شي جوړجاړی. ناوړه کوډ چې اعدام کیږي برید کوونکي ته د کاروونکو د ننوتلو ناستې، د کریډیټ کارت توضیحاتو، او نورو حساسو معلوماتو ته لاسرسی ورکوي.
د کراس سایټ سکریپټینګ (XSS) مخنیوي لپاره، ډاډ ترلاسه کړئ چې ستاسو HTML ښه پاک شوی دی. دا کولی شي لخوا ترلاسه شي د باور وړ چوکاټونو غوره کول د انتخاب ژبې پورې اړه لري. تاسو کولی شئ ژبې لکه .Net، Ruby on Rails، او React JS وکاروئ ځکه چې دوی به ستاسو د HTML کوډ تحلیل او پاکولو کې مرسته وکړي. د اعتبار وړ یا غیر مستند کاروونکو څخه د ټولو معلوماتو درملنه د باور وړ نه وي کولی شي د XSS بریدونو خطر کم کړي.
ناامنه بې نظمه کول
Deserialization د سرور څخه یو څیز ته د سیریل شوي ډیټا بدلون دی. د سافټویر په پراختیا کې د معلوماتو بې برخې کول یو عام پیښه ده. دا ناامنه ده کله چې ډاټا بې سریال شوی دی د بې باوره سرچینې څخه. دا کولی شي په بالقوه توګه ستاسو غوښتنلیک بریدونو ته ښکاره کړئ. ناامنه بې ترتیبه کول هغه وخت رامینځته کیږي کله چې د بې باوره سرچینې څخه بې ترتیب شوي ډیټا د DDOS بریدونو، د ریموټ کوډ اجرا کولو بریدونو، یا د اعتبار څخه د تیریدو لامل کیږي..
د ناامنه سیریل کولو څخه مخنیوي لپاره، د ګوتو قاعده دا ده چې هیڅکله د کاروونکي په معلوماتو باور ونکړي. د هر کارن ان پټ ډاټا باید درملنه وشي as په بالقوه توګه ناوړه د بې اعتباره سرچینو څخه د معلوماتو بې برخې کولو څخه ډډه وکړئ. ډاډ ترلاسه کړئ چې د سیریل کولو فعالیت ته وکارول شي ستاسو په ویب غوښتنلیک کې خوندي دی.
د پیژندل شویو زیانونو سره د اجزاو کارول
کتابتونونو او چوکاټونو دا د ویب غوښتنلیکونو رامینځته کول خورا ګړندي کړي دي پرته لدې چې د ویل بیا ایجاد ته اړتیا ولري. دا د کوډ ارزونې کې بې ځایه کیدو کموي. دوی د پراختیا کونکو لپاره لاره هواره کوي چې د غوښتنلیکونو نورو مهمو اړخونو تمرکز وکړي. که بریدګر په دې چوکاټونو کې استحصال ومومي، هر کوډبیس چې چوکاټ کاروي جوړجاړی.
د اجزاو پراختیا کونکي اکثرا د اجزاو کتابتونونو لپاره امنیتي پیچونه او تازه معلومات وړاندیز کوي. د اجزاو د زیانونو څخه مخنیوي لپاره، تاسو باید زده کړئ چې خپل غوښتنلیکونه د وروستي امنیتي پیچونو او اپ گریڈونو سره تازه وساتئ. غیر استعمال شوي اجزا باید له مینځه وړل د برید ویکتورونو پرې کولو لپاره غوښتنلیک څخه.
ناکافي ننوتل او څارنه
ستاسو په ویب غوښتنلیک کې د فعالیتونو ښودلو لپاره ننوتل او څارنه مهم دي. ننوتل د غلطیو موندل اسانه کوي، څارنه د کاروونکي ننوتل، او فعالیتونه.
ناکافي ننوتل او څارنه هغه وخت رامینځته کیږي کله چې امنیتي - مهم پیښې ثبت شوي نه وي سمه ده. برید کونکي پدې کې پانګه اچوي ترڅو ستاسو په غوښتنلیک باندې بریدونه ترسره کړي مخکې لدې چې کوم د پام وړ ځواب وي.
ننوتل کولی شي ستاسو شرکت سره د پیسو او وخت خوندي کولو کې مرسته وکړي ځکه چې ستاسو پراختیا کونکي کولی شي په اسانۍ سره کیګونه ومومئ. دا دوی ته اجازه ورکوي چې د دوی د لټون کولو په پرتله د کیګونو حل کولو باندې ډیر تمرکز وکړي. په حقیقت کې، لاګنګ کول کولی شي ستاسو سایټونه او سرورونه هر وخت پورته او چلولو کې مرسته وکړي پرته لدې چې دوی د کوم ځنډ وخت تجربه کړي..
پایله
ښه کوډ نه دی يوازې د فعالیت په اړه، دا ستاسو د کاروونکو او غوښتنلیک خوندي ساتلو په اړه دی. د OWASP ټاپ 10 د خورا مهم غوښتنلیک امنیت خطرونو لیست دی د پراختیا کونکو لپاره د خوندي ویب او ګرځنده ایپس لیکلو لپاره عالي وړیا سرچینه ده. ستاسو په ټیم کې د خطرونو ارزولو او ثبتولو لپاره د پراختیا کونکو روزنه کولی شي ستاسو ټیم وخت او پیسې په اوږد مهال کې خوندي کړي. که تاسو غواړئ په OWASP Top 10 کې د خپل ټیم د روزنې څرنګوالي په اړه نور معلومات زده کړئ دلته کلیک وکړئ.
