Deset nejběžnějších bezpečnostních chyb na webu

Petr Závodský 10. 8. 2010

Od roku 2003 experti na zabezpečení aplikací z celého světa velmi pečlivě sledují stav zabezpečení webových aplikací a výsledky své práce promítají do dokumentu, jenž je uznáván různými organizacemi po celém světě. Obsahuje deset nejběžnějších zranitelností, které můžeme najít u mnoha webových stránek.

OWASP Top Ten je dokumentem, který představuje konsensus mnoha odborníků z celého světa o tom, které slabiny webů jsou nejzávažnější. OWASP Top Ten je seznam první desítky nejzávažnějších bezpečnostních rizik webových aplikací.

Hlavní cíl OWASP Top Ten spočívá ve vzdělávání vývojářů, designérů, architektů, manažerů a organizací o důsledcích nejzávažnějších slabin webových aplikací. Naposled byl dokument aktualizován 19. dubna 2010. Ke stažení je k dispozici na stránkách projektu OWAP Top Ten.

V dokumentu nalezneme nejen seznam nejzávažnějších rizik, ale k jednotlivým bodům také příklady a vysvětlení, srozumitelným způsobem podávající popis rizik pro vývojáře i manažery. Tento materiál je volně šiřitelný.

OWASP vyzývá, aby všechny vývojářské firmy tento dokument vzaly na vědomí a zamezily výskytu uváděných nedostatků. Adopce OWASP Top Ten často bývá jedním z prvních nejefektivnějších kroků ve společnostech, kde se zavádí vývoj bezpečných aplikací.

Přehled

Vedoucí projektu: Dave Wichers
Mailing list: Owasp-topten

Hlavní odkazy:
OWASP Top Ten 2010 – PDF
OWASP Top Ten 2010 – prezentace pptx
OWASP Top Ten 2010 – Wiki

Příklad společností, které si osvojily OWASP Top Ten

A.G. Edwards, Bank of Newport, Best Software, British Telecom, Bureau of Alcohol, Tobacco, and Firearms (ATF), Citibank, Cboss Internet, Cognizant, Contra Costa County, CA, Corillian Corporation, Digital Payment Technologies, Foundstone Strategic Security, HP, IBM Global Services, National Australia Bank, Norfolk Southern, OneSAS.com, Online Business Systems, Predictive Systems, Price Waterhouse Coopers, Recreational Equipment, Inc. (REI), SSP Solutions, Samsung SDS (Korea), Sempra Energy, Sprint, Sun Microsystems, Swiss Federal Institute of Technology, Symantec, Texas Dept of Human Services, The Hartford, Zapatec, ZipForm, PCI, DoD FTC a mnoho dalších.

OWASP Top Ten se promítá např. i do doporučení SDL (Security Development Lifecycle)  společnosti Microsoft, OWAPS Top Ten je doporučován jako hlavní postup, který by měl používán jako součást DoD DIACAP (Information Assurance Certification and Accreditation Process). Některé školy OWASP Top Ten přijaly jako součást svého vzdělávacího programu: University of California v San Diegu (UCSD), Michigan State University (MSU) aj.

A1 – Injection

Napadení aplikace vsunutím kódu přes neošetřený vstup. Např. SQL, LDAP, OS injection.

A2 – Cross Site Scripting (XSS)

Narušení webových aplikací vkládáním skriptů či jejich částí do webového prohlížeče.

A3 – Broken Authentication and Session Management

Napadení funkcí aplikací, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele.

A4 – Insecure Direct Object References

Přístupy k neoprávněným datům nezabezpečeným přístupem k vnitřnímu objektu aplikace (souboru, adresáři, databázovému klíči).

A5 – Cross Site Request Forgery (CSRF)

Útok podvržením požadavku webové aplikace.

A6 – Security Misconfiguration

Útoky využívající nedostatků v zabezpečení konfigurací aplikačních serverů, webových serverů, databázových serverů, softwarových platforem atd. (např. ponecháním výchozích hodnot, neaktualizová­ní aj.)

A7 – Insecure Cryptographic Storage

Rizika vyplývající z nedostatečně chráněných citlivých dat (čísla kreditních karet, rodná čísla atd.).

A8 – Failure to Restrict URL Access

Nedostatečně zabezpečené řízení přístupu ke zdrojům informací (dokument, služba) přes URL.

A9 – Insufficient Transport Layer Protection

Útoky odposlechem sítí.

A10 – Unvalidated Redirects and Forwards

Útoky přesměrováním na jiné stránky

OWASP Top Ten 2010

OWASP Top Ten 2010 vs. 2004, 2007

Oproti dokumentům vydaným v letech 2004 a 2007 v tom letošním je daleko více zřejmé, že se jedná o rizika, nikoliv primárně o chyby způsobující bezpečnostní problém (zranitelnosti). To vede k většímu pochopení smyslu jednotlivých položek seznamu – určování priorit zranitelností bez souvislostí příliš nedávalo smysl.

OWASP Top Ten byl vždy o riziku, ale ten současný tuto skutečnost činí daleko jasnější. Pod každou položkou Top Ten je zmínka o faktorech pravděpodobnosti a o faktorech dopadů, což jsou základní proměnné při určení závažnosti rizika. To nám může pomoci s nastavením OWASP Top Ten vůči rozdílným projektům, produktům či firemním metrikám.

Poslední verze dokumentu vychází z  více informačních zdrojů než ty předchozí, čímž je mnohem přesnější. Rozdíl, kterého si na první pohled všimnete, je ve změně pořadí některých rizik, jiná zmizela či se dostala pod jiný název.

2010

2007

2004

A1 – Injection

A1 – Cross Site Scripting (XSS)

A1 – Unvalidated Input

A2 – Cross Site Scripting (XSS)

A2 – Injection Flaws

A2– Broken Access Control

A3 – Broken Authentication and Session Management

A3 – Malicious File Execution

A3 – Broken Authentication and Session Management

A4 – Insecure Direct Object References

A4 – Insecure Direct Object Reference

A4 – Cross Site Scripting

A5 – Cross Site Request Forgery (CSRF)

A5 – Cross Site Request Forgery (CSRF)

A5 – Buffer Overflow

A6 – Security Misconfiguration

A6 – Information Leakage and Improper Error Handling

A6 – Injection Flaws

A7 – Insecure Cryptographic Storage

A7 – Broken Authentication and Session Management

A7 – Improper Error Handling

A8 – Failure to Restrict URL Access

A8 – Insecure Cryptographic Storage

A8 – Insecure Storage

A9 – Insufficient Transport Layer Protection

A9 – Insecure Communications

A9 – Application Denial of Service

A10 – Unvalidated Redirects and Forwards

A10 – Failure to Restrict URL Access

A10 – Insecure Configuration Managemen

Odkazy na wiki uvedených let:

OWASP Top Ten je dokumentem o nejkritičtějších zranitelnostech webových aplikací. Takový seznam lze pojmout také jako minimální scénář, podle něhož by měl každý zodpovědný vývojář testovat své aplikace a v případě pozitivních nálezů patřičně nedostatky ošetřit – že si o tom zatím můžeme nechat jenom zdát, to ukážeme hned příští díl seriálu; nyní jsme pouze nastínili, čemu se věnuje projekt OWASP Top Ten, ale v několika dalších dílech seriálu si více povíme o jednotlivých položkách z uvedeného seznamu nejzávažnějších rizik webových aplikací.

Našli jste v článku chybu?
Podnikatel.cz: 5 základních bodů, když vytváříte značku

5 základních bodů, když vytváříte značku

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Vitalia.cz: Koukám, co bych dobrého snědla, abych zhubla

Koukám, co bych dobrého snědla, abych zhubla

Podnikatel.cz: Oznamte skutečné sídlo firmy, jinak zaplatíte

Oznamte skutečné sídlo firmy, jinak zaplatíte

DigiZone.cz: Test TV Samsung UE49K6372SU

Test TV Samsung UE49K6372SU

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Vitalia.cz: Je bílý kokos fakt tak úžasný? Ano, je!

Je bílý kokos fakt tak úžasný? Ano, je!

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Vitalia.cz: Rybí tatarák – z lososa i z kapra

Rybí tatarák – z lososa i z kapra

Lupa.cz: Olympiáda zakázala GIFy. Moc to nepomáhá

Olympiáda zakázala GIFy. Moc to nepomáhá

DigiZone.cz: ČTÚ zveřejnil aktualizovaný D-Book

ČTÚ zveřejnil aktualizovaný D-Book

DigiZone.cz: Další rána pro piráty: 6 měsíců

Další rána pro piráty: 6 měsíců

DigiZone.cz: E! a zákulisí turné Mariah Carey

E! a zákulisí turné Mariah Carey