Hlavní navigace

Deset nejběžnějších bezpečnostních chyb na webu

Petr Závodský 10. 8. 2010

Od roku 2003 experti na zabezpečení aplikací z celého světa velmi pečlivě sledují stav zabezpečení webových aplikací a výsledky své práce promítají do dokumentu, jenž je uznáván různými organizacemi po celém světě. Obsahuje deset nejběžnějších zranitelností, které můžeme najít u mnoha webových stránek.

OWASP Top Ten je dokumentem, který představuje konsensus mnoha odborníků z celého světa o tom, které slabiny webů jsou nejzávažnější. OWASP Top Ten je seznam první desítky nejzávažnějších bezpečnostních rizik webových aplikací.

Hlavní cíl OWASP Top Ten spočívá ve vzdělávání vývojářů, designérů, architektů, manažerů a organizací o důsledcích nejzávažnějších slabin webových aplikací. Naposled byl dokument aktualizován 19. dubna 2010. Ke stažení je k dispozici na stránkách projektu OWAP Top Ten.

V dokumentu nalezneme nejen seznam nejzávažnějších rizik, ale k jednotlivým bodům také příklady a vysvětlení, srozumitelným způsobem podávající popis rizik pro vývojáře i manažery. Tento materiál je volně šiřitelný.

OWASP vyzývá, aby všechny vývojářské firmy tento dokument vzaly na vědomí a zamezily výskytu uváděných nedostatků. Adopce OWASP Top Ten často bývá jedním z prvních nejefektivnějších kroků ve společnostech, kde se zavádí vývoj bezpečných aplikací.

Přehled

Vedoucí projektu: Dave Wichers
Mailing list: Owasp-topten

Hlavní odkazy:
OWASP Top Ten 2010 – PDF
OWASP Top Ten 2010 – prezentace pptx
OWASP Top Ten 2010 – Wiki

Příklad společností, které si osvojily OWASP Top Ten

A.G. Edwards, Bank of Newport, Best Software, British Telecom, Bureau of Alcohol, Tobacco, and Firearms (ATF), Citibank, Cboss Internet, Cognizant, Contra Costa County, CA, Corillian Corporation, Digital Payment Technologies, Foundstone Strategic Security, HP, IBM Global Services, National Australia Bank, Norfolk Southern, OneSAS.com, Online Business Systems, Predictive Systems, Price Waterhouse Coopers, Recreational Equipment, Inc. (REI), SSP Solutions, Samsung SDS (Korea), Sempra Energy, Sprint, Sun Microsystems, Swiss Federal Institute of Technology, Symantec, Texas Dept of Human Services, The Hartford, Zapatec, ZipForm, PCI, DoD FTC a mnoho dalších.

OWASP Top Ten se promítá např. i do doporučení SDL (Security Development Lifecycle)  společnosti Microsoft, OWAPS Top Ten je doporučován jako hlavní postup, který by měl používán jako součást DoD DIACAP (Information Assurance Certification and Accreditation Process). Některé školy OWASP Top Ten přijaly jako součást svého vzdělávacího programu: University of California v San Diegu (UCSD), Michigan State University (MSU) aj.

A1 – Injection

Napadení aplikace vsunutím kódu přes neošetřený vstup. Např. SQL, LDAP, OS injection.

A2 – Cross Site Scripting (XSS)

Narušení webových aplikací vkládáním skriptů či jejich částí do webového prohlížeče.

A3 – Broken Authentication and Session Management

Napadení funkcí aplikací, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele.

A4 – Insecure Direct Object References

Přístupy k neoprávněným datům nezabezpečeným přístupem k vnitřnímu objektu aplikace (souboru, adresáři, databázovému klíči).

A5 – Cross Site Request Forgery (CSRF)

Útok podvržením požadavku webové aplikace.

A6 – Security Misconfiguration

Útoky využívající nedostatků v zabezpečení konfigurací aplikačních serverů, webových serverů, databázových serverů, softwarových platforem atd. (např. ponecháním výchozích hodnot, neaktualizová­ní aj.)

A7 – Insecure Cryptographic Storage

Rizika vyplývající z nedostatečně chráněných citlivých dat (čísla kreditních karet, rodná čísla atd.).

A8 – Failure to Restrict URL Access

Nedostatečně zabezpečené řízení přístupu ke zdrojům informací (dokument, služba) přes URL.

A9 – Insufficient Transport Layer Protection

Útoky odposlechem sítí.

A10 – Unvalidated Redirects and Forwards

Útoky přesměrováním na jiné stránky

OWASP Top Ten 2010

OWASP Top Ten 2010 vs. 2004, 2007

Oproti dokumentům vydaným v letech 2004 a 2007 v tom letošním je daleko více zřejmé, že se jedná o rizika, nikoliv primárně o chyby způsobující bezpečnostní problém (zranitelnosti). To vede k většímu pochopení smyslu jednotlivých položek seznamu – určování priorit zranitelností bez souvislostí příliš nedávalo smysl.

OWASP Top Ten byl vždy o riziku, ale ten současný tuto skutečnost činí daleko jasnější. Pod každou položkou Top Ten je zmínka o faktorech pravděpodobnosti a o faktorech dopadů, což jsou základní proměnné při určení závažnosti rizika. To nám může pomoci s nastavením OWASP Top Ten vůči rozdílným projektům, produktům či firemním metrikám.

Poslední verze dokumentu vychází z  více informačních zdrojů než ty předchozí, čímž je mnohem přesnější. Rozdíl, kterého si na první pohled všimnete, je ve změně pořadí některých rizik, jiná zmizela či se dostala pod jiný název.

2010

2007

2004

A1 – Injection

A1 – Cross Site Scripting (XSS)

A1 – Unvalidated Input

A2 – Cross Site Scripting (XSS)

A2 – Injection Flaws

A2– Broken Access Control

A3 – Broken Authentication and Session Management

A3 – Malicious File Execution

A3 – Broken Authentication and Session Management

A4 – Insecure Direct Object References

A4 – Insecure Direct Object Reference

A4 – Cross Site Scripting

A5 – Cross Site Request Forgery (CSRF)

A5 – Cross Site Request Forgery (CSRF)

A5 – Buffer Overflow

A6 – Security Misconfiguration

A6 – Information Leakage and Improper Error Handling

A6 – Injection Flaws

A7 – Insecure Cryptographic Storage

A7 – Broken Authentication and Session Management

A7 – Improper Error Handling

A8 – Failure to Restrict URL Access

A8 – Insecure Cryptographic Storage

A8 – Insecure Storage

A9 – Insufficient Transport Layer Protection

A9 – Insecure Communications

A9 – Application Denial of Service

A10 – Unvalidated Redirects and Forwards

A10 – Failure to Restrict URL Access

A10 – Insecure Configuration Managemen

Odkazy na wiki uvedených let:

OWASP Top Ten je dokumentem o nejkritičtějších zranitelnostech webových aplikací. Takový seznam lze pojmout také jako minimální scénář, podle něhož by měl každý zodpovědný vývojář testovat své aplikace a v případě pozitivních nálezů patřičně nedostatky ošetřit – že si o tom zatím můžeme nechat jenom zdát, to ukážeme hned příští díl seriálu; nyní jsme pouze nastínili, čemu se věnuje projekt OWASP Top Ten, ale v několika dalších dílech seriálu si více povíme o jednotlivých položkách z uvedeného seznamu nejzávažnějších rizik webových aplikací.

Našli jste v článku chybu?

10. 8. 2010 11:49

G (neregistrovaný)

Chybi tady utok pomoci null byte, kdyby to videl Emkei tak by ho trefil......

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?