OWASP Top 10 ආරක්ෂක අවදානම් | දළ විශ්ලේෂණය
පටුන
OWASP යනු කුමක්ද?
OWASP යනු වෙබ් යෙදුම් ආරක්ෂණ අධ්යාපනය සඳහා කැප වූ ලාභ නොලබන සංවිධානයකි.
OWASP ඉගෙනුම් ද්රව්ය ඔවුන්ගේ වෙබ් අඩවියෙන් ප්රවේශ විය හැකිය. ඔවුන්ගේ මෙවලම් වෙබ් යෙදුම්වල ආරක්ෂාව වැඩි දියුණු කිරීම සඳහා ප්රයෝජනවත් වේ. මෙයට ලේඛන, මෙවලම්, වීඩියෝ සහ සංසද ඇතුළත් වේ.
OWASP Top 10 යනු අද වෙබ් යෙදුම් සඳහා ඉහළම ආරක්ෂක ගැටළු ඉස්මතු කරන ලැයිස්තුවකි. ආරක්ෂක අවදානම් කපා හැරීම සඳහා සියලුම සමාගම් මෙම වාර්තාව ඔවුන්ගේ ක්රියාවලීන්ට ඇතුළත් කරන ලෙස ඔවුන් නිර්දේශ කරයි. පහත දැක්වෙන්නේ OWASP Top 10 2017 වාර්තාවේ ඇතුළත් ආරක්ෂක අවදානම් ලැයිස්තුවකි.
SQL එන්නත් කිරීම
SQL එන්නත් කිරීම සිදුවන්නේ ප්රහාරකයෙකු යෙදුමේ ඇති වැඩසටහනට බාධා කිරීම සඳහා වෙබ් යෙදුමකට නුසුදුසු දත්ත යවන විටය..
SQL එන්නත් සඳහා උදාහරණයක්:
ප්රහාරකයාට SQL විමසුමක් පරිශීලක නාමයක් අවශ්ය වන ආදාන පෝරමයකට ඇතුළු කළ හැක. ආදාන පෝරමය සුරක්ෂිත කර නොමැති නම්, එය SQL විමසුමක් ක්රියාත්මක කිරීමට හේතු වේ. මේ යොමු කරනු ලැබේ SQL එන්නත් ලෙස.
කේත එන්නත් වලින් වෙබ් යෙදුම් ආරක්ෂා කිරීමට, ඔබේ සංවර්ධකයින් පරිශීලක-ඉදිරිපත් කළ දත්ත මත ආදාන වලංගුකරණය භාවිතා කරන බවට වග බලා ගන්න. මෙහි වලංගුකරණය යන්නෙන් අදහස් කරන්නේ වලංගු නොවන යෙදවුම් ප්රතික්ෂේප කිරීමයි. දත්ත සමුදා කළමනාකරුවෙකුට ප්රමාණය අඩු කිරීම සඳහා පාලන සැකසීමට ද හැකිය තොරතුරු බව හැකි හෙළි කළ යුතුය එන්නත් ප්රහාරයකදී.
SQL එන්නත් කිරීම වැළැක්වීම සඳහා, OWASP දත්ත විධාන සහ විමසුම් වලින් වෙන්ව තබා ගැනීම නිර්දේශ කරයි. වඩාත් සුදුසු විකල්පය වන්නේ ආරක්ෂිතව භාවිතා කිරීමයි API පරිවර්තකයෙකු භාවිතා කිරීම වැළැක්වීමට, හෝ Object Relational Mapping Tools (ORMs) වෙත සංක්රමණය වීමට.
බිඳුණු සත්යාපනය
සත්යාපන දුර්වලතා මඟින් ප්රහාරකයෙකුට පරිශීලක ගිණුම් වෙත ප්රවේශ වීමට සහ පරිපාලක ගිණුමක් භාවිතයෙන් පද්ධතියක් සම්මුතියකට පත් කිරීමට ඉඩ දිය හැක.. සයිබර් අපරාධකරුවෙකුට ක්රියා කරන්නේ කුමක්දැයි බැලීමට පද්ධතියක මුරපද සංයෝජන දහස් ගණනක් උත්සාහ කිරීමට ස්ක්රිප්ට් භාවිතා කළ හැක. සයිබර් අපරාධකරු ඇතුළු වූ පසු, ඔවුන්ට රහස්ය තොරතුරු වෙත ප්රවේශය ලබා දෙමින් පරිශීලකයාගේ අනන්යතාවය ව්යාජ ලෙස සකස් කළ හැකිය..
ස්වයංක්රීය පුරනය වීමට ඉඩ දෙන වෙබ් යෙදුම්වල බිඳුණු සත්යාපන අවදානමක් පවතී. සත්යාපන අවදානම නිවැරදි කිරීමට ජනප්රිය ක්රමයක් වන්නේ බහු සාධක සත්යාපනය භාවිතා කිරීමයි. එසේම, පිවිසුම් අනුපාත සීමාවක් විය හැකිය ඇතුළත් විය යුතුය තිරිසන් බල ප්රහාර වැළැක්වීම සඳහා වෙබ් යෙදුම තුළ.
සංවේදී දත්ත නිරාවරණය
වෙබ් යෙදුම් ආරක්ෂා නොකරන්නේ නම් සංවේදී ප්රහාරකයන්ට ප්රවේශ වී ඒවා තම වාසිය සඳහා භාවිත කළ හැක. මාර්ග ප්රහාරයක් යනු සංවේදී තොරතුරු සොරකම් කිරීම සඳහා ජනප්රිය ක්රමයකි. සියලුම සංවේදී දත්ත සංකේතනය කර ඇති විට නිරාවරණය වීමේ අවදානම අවම වේ. වෙබ් සංවර්ධකයින් බ්රවුසරයේ කිසිදු සංවේදී දත්තයක් නිරාවරණය නොවන බවට හෝ අනවශ්ය ලෙස ගබඩා කර ඇති බවට සහතික විය යුතුය.
XML බාහිර ආයතන (XEE)
සයිබර් අපරාධකරුවෙකුට XML ලේඛනයක් තුළ අනිෂ්ට XML අන්තර්ගතය, විධාන හෝ කේතය උඩුගත කිරීමට හෝ ඇතුළත් කිරීමට හැකිය. යෙදුම් සේවාදායක ගොනු පද්ධතියේ ගොනු බැලීමට මෙය ඔවුන්ට ඉඩ සලසයි. ඔවුන්ට ප්රවේශය ලැබුණු පසු, සේවාදායක පැත්තේ ඉල්ලීම් ව්යාජ (SSRF) ප්රහාර සිදු කිරීමට සේවාදායකය සමඟ අන්තර් ක්රියා කළ හැක..
XML බාහිර ආයතන ප්රහාරවලට හැකිය විසින් වලක්වනු ලැබේ JSON වැනි අඩු සංකීර්ණ දත්ත වර්ග පිළිගැනීමට වෙබ් යෙදුම් වලට ඉඩ දීම. XML බාහිර ආයතන සැකසීම අක්රිය කිරීම XEE ප්රහාරයක අවස්ථා ද අඩු කරයි.
බිඳුණු ප්රවේශ පාලනය
ප්රවේශ පාලනය යනු අනවසර පරිශීලකයින් සංවේදී තොරතුරුවලට සීමා කරන පද්ධති ප්රොටෝකෝලයකි. ප්රවේශ පාලන පද්ධතියක් කැඩී ඇත්නම්, ප්රහාරකයන්ට සත්යාපනය මඟ හැරිය හැක. මෙය ඔවුන්ට අවසරය ඇතත් සංවේදී තොරතුරු වෙත ප්රවේශය ලබා දෙයි. පරිශීලක පිවිසුමේදී අවසර ටෝකන ක්රියාත්මක කිරීමෙන් ප්රවේශ පාලනය සුරක්ෂිත කළ හැක. පරිශීලකයෙකු සත්යාපනය කරන අතරතුර කරන සෑම ඉල්ලීමකදීම, පරිශීලකයා සමඟ ඇති අවසර ටෝකනය සත්යාපනය කරනු ලැබේ, එම ඉල්ලීම කිරීමට පරිශීලකයාට බලය ඇති බවට සංඥා කරයි.
ආරක්ෂක වැරදි වින්යාසය
ආරක්ෂක වැරදි වින්යාසය පොදු ගැටළුවකි සයිබර් සුරක්ෂිතභාවය විශේෂඥයන් වෙබ් යෙදුම් නිරීක්ෂණය කරයි. මෙය වැරදි ලෙස වින්යාස කරන ලද HTTP ශීර්ෂක, බිඳුණු ප්රවේශ පාලන සහ වෙබ් යෙදුමක තොරතුරු හෙලිදරව් කරන දෝෂ සංදර්ශනයේ ප්රතිඵලයක් ලෙස සිදුවේ.. භාවිතයට නොගත් විශේෂාංග ඉවත් කිරීමෙන් ඔබට ආරක්ෂක වැරදි වින්යාසයක් නිවැරදි කළ හැක. ඔබ ඔබේ මෘදුකාංග පැකේජ පැච් හෝ යාවත්කාලීන කළ යුතුය.
හරස් අඩවි ස්ක්රිප්ටින් (XSS)
XSS අවදානමක් ඇතිවන්නේ ප්රහාරකයෙකු පරිශීලකයාගේ බ්රවුසරයක අනිෂ්ට කේතය ක්රියාත්මක කිරීමට විශ්වාසදායී වෙබ් අඩවියක DOM API හසුරුවන විටය.. මෙම අනිෂ්ට කේතය ක්රියාත්මක කිරීම බොහෝ විට සිදු වන්නේ පරිශීලකයෙකු විශ්වාසදායී වෙබ් අඩවියකින් බව පෙනෙන සබැඳියක් මත ක්ලික් කළ විටය.. වෙබ් අඩවිය XSS අවදානමෙන් ආරක්ෂා කර නොමැති නම්, එය කළ හැක සම්මුතියට පත් වේ. එම අනිෂ්ට කේතය ක්රියාත්මක වේ ප්රහාරකයෙකුට පරිශීලකයන්ගේ පිවිසුම් සැසිය, ක්රෙඩිට් කාඩ් විස්තර සහ අනෙකුත් සංවේදී දත්ත වෙත ප්රවේශය ලබා දෙයි.
Cross-site Scripting (XSS) වැළැක්වීම සඳහා, ඔබේ HTML හොඳින් සනීපාරක්ෂාව කර ඇති බවට සහතික වන්න. මෙය කළ හැකිය විසින් සාක්ෂාත් කරගත හැකිය තෝරා ගන්නා භාෂාව අනුව විශ්වාසදායක රාමු තෝරා ගැනීම. ඔබට .Net, Ruby on Rails, සහ React JS වැනි භාෂා භාවිත කළ හැක, ඒවා ඔබගේ HTML කේතය විග්රහ කිරීමට සහ පිරිසිදු කිරීමට උපකාරී වේ. සත්යාපිත හෝ සත්යාපිත නොවන පරිශීලකයින්ගෙන් සියලුම දත්ත විශ්වාස නොකළ ලෙස සැලකීමෙන් XSS ප්රහාරවල අවදානම අඩු කළ හැක..
අනාරක්ෂිත Deserialization
Deserialization යනු අනුක්රමික දත්ත සේවාදායකයක සිට වස්තුවකට පරිවර්තනය කිරීමයි. මෘදුකාංග සංවර්ධනයේදී දත්ත ඉවත් කිරීම සාමාන්ය සිදුවීමකි. දත්ත විට එය අනාරක්ෂිත වේ deserialized වේ විශ්වාස නොකළ මූලාශ්රයකින්. මේකෙන් පුළුවන් විභවීය ඔබේ යෙදුම ප්රහාරවලට නිරාවරණය කරන්න. අනාරක්ෂිත deserialization සිදු වන්නේ විශ්වාස නොකළ මූලාශ්රයකින් deserialized දත්ත DDOS ප්රහාර, දුරස්ථ කේත ක්රියාත්මක කිරීමේ ප්රහාර, හෝ සත්යාපන මඟහැරීම් වලට තුඩු දෙන විටය..
අනාරක්ෂිත deserialization වලක්වා ගැනීම සඳහා, මාපටැඟිල්ලේ රීතිය වන්නේ පරිශීලක දත්ත කිසි විටෙකත් විශ්වාස නොකිරීමයි. සෑම පරිශීලක දත්තයක්ම ඇතුළත් කළ යුතුය ප්රතිකාර කළ යුතුයි as විභවීය ද්වේෂසහගත. විශ්වාස නොකළ මූලාශ්රවලින් දත්ත ඉවත් කිරීමෙන් වළකින්න. deserialization ක්රියාත්මක වන බව සහතික කර ගන්න භාවිතා කළ යුතුය ඔබගේ වෙබ් යෙදුම ආරක්ෂිතයි.
දන්නා දුර්වලතා සහිත සංරචක භාවිතා කිරීම
පුස්තකාල සහ රාමු රෝදය ප්රතිනිර්මාණය කිරීමකින් තොරව වෙබ් යෙදුම් සංවර්ධනය කිරීම වඩාත් වේගවත් කර ඇත. මෙය කේත ඇගයීමේ අතිරික්තය අඩු කරයි. ඒවා සංවර්ධකයින්ට යෙදුම්වල වඩාත් වැදගත් අංශ කෙරෙහි අවධානය යොමු කිරීමට මග පාදයි. ප්රහාරකයන් මෙම රාමු තුළ සූරාකෑම් සොයා ගන්නේ නම්, රාමුව භාවිතා කරන සෑම කේත පදනමක්ම එසේ වනු ඇත සම්මුතියට පත් වේ.
සංරචක සංවර්ධකයින් බොහෝ විට සංරචක පුස්තකාල සඳහා ආරක්ෂක පැච් සහ යාවත්කාලීන ලබා දෙයි. සංරචක දුර්වලතා මඟහරවා ගැනීම සඳහා, නවතම ආරක්ෂක පැච් සහ වැඩිදියුණු කිරීම් සමඟින් ඔබේ යෙදුම් යාවත්කාලීනව තබා ගැනීමට ඔබ ඉගෙන ගත යුතුය.. භාවිතයට නොගත් සංරචක විය යුතුය ඉවත් කරන්න ප්රහාරක දෛශික කපා හැරීමට යෙදුමෙන්.
ප්රමාණවත් නොවන ලොග් කිරීම සහ අධීක්ෂණය
ඔබගේ වෙබ් යෙදුමේ ක්රියාකාරකම් පෙන්වීමට ලොග් වීම සහ අධීක්ෂණය වැදගත් වේ. ලොග් වීම දෝෂ සොයා ගැනීම පහසු කරයි, අධීක්ෂණය කිරීම පරිශීලක පිවිසුම් සහ ක්රියාකාරකම්.
ආරක්ෂක තීරණාත්මක සිදුවීම් ලොග් කර නොමැති විට ප්රමාණවත් ලොග් කිරීම සහ අධීක්ෂණය සිදු නොවේ නිසි. කිසියම් කැපී පෙනෙන ප්රතිචාරයක් ලැබීමට පෙර ඔබේ යෙදුමට ප්රහාර එල්ල කිරීමට ප්රහාරකයන් මෙය ප්රයෝජනයට ගනී.
ඔබේ සංවර්ධකයින්ට හැකි නිසා ලොග් වීම ඔබේ සමාගමට මුදල් සහ කාලය ඉතිරි කර ගත හැක පහසුවෙන් දෝෂ සොයන්න. මෙය ඔවුන්ට දෝෂ සෙවීමට වඩා ඒවා විසඳීමට වැඩි අවධානයක් යොමු කිරීමට ඉඩ සලසයි. ප්රතිඵලයක් ලෙස, ලොග් වීම ඔබේ වෙබ් අඩවි සහ සේවාදායකයන් ක්රියා විරහිතව තබා ගැනීමට සහ ඒවා ක්රියා විරහිතව තබා ගැනීමට උදවු විය හැක..
නිගමනය
හොඳ කේතයක් නොවේ හුදෙක් ක්රියාකාරීත්වය ගැන, එය ඔබගේ පරිශීලකයින් සහ යෙදුම ආරක්ෂිතව තබා ගැනීමයි. OWASP Top 10 යනු වඩාත් තීරණාත්මක යෙදුම් ආරක්ෂණ අවදානම් ලැයිස්තුවකි, එය සංවර්ධකයින්ට ආරක්ෂිත වෙබ් සහ ජංගම යෙදුම් ලිවීමට හොඳ නිදහස් සම්පතකි.. අවදානම් තක්සේරු කිරීමට සහ ලොග් කිරීමට ඔබේ කණ්ඩායමේ සංවර්ධකයින් පුහුණු කිරීමෙන් ඔබේ කණ්ඩායමේ කාලය සහ මුදල් දිගු කාලීනව ඉතිරි කර ගත හැක. ඔබ කැමති නම් OWASP Top 10 මත ඔබේ කණ්ඩායම පුහුණු කරන ආකාරය ගැන වැඩිදුර ඉගෙන ගන්න මෙතන ක්ලික් කරන්න.
