OWASP Manyan Hatsarin Tsaro 10 | Dubawa
Teburin Abubuwan Ciki
Menene OWASP?
OWASP kungiya ce mai zaman kanta wacce aka keɓe don ilimin tsaro na ƙa'idar yanar gizo.
Ana iya samun kayan koyo na OWASP akan gidan yanar gizon su. Kayan aikin su suna da amfani don inganta tsaro na aikace-aikacen yanar gizo. Wannan ya haɗa da takardu, kayan aiki, bidiyo, da taron tattaunawa.
OWASP Top 10 jeri ne wanda ke nuna manyan matsalolin tsaro na aikace-aikacen yanar gizo a yau. Suna ba da shawarar cewa duk kamfanoni su haɗa wannan rahoto a cikin ayyukansu don yanke haɗarin tsaro. A ƙasa akwai jerin haɗarin tsaro da aka haɗa a cikin rahoton OWASP Top 10 2017.
SQL Allura
allurar SQL tana faruwa ne lokacin da maharin ya aika bayanan da bai dace ba zuwa aikace-aikacen yanar gizo don lalata shirin a cikin aikace-aikacen..
Misalin allurar SQL:
Maharin zai iya shigar da tambayar SQL a cikin hanyar shigar da ke buƙatar bayanin sunan mai amfani. Idan fom ɗin shigarwa ba a kiyaye shi ba, zai haifar da aiwatar da tambayar SQL. Wannan ake magana to as SQL allura.
Don kare aikace-aikacen yanar gizo daga allurar lamba, tabbatar da masu haɓakawa suna amfani da ingantaccen shigarwa akan bayanan da mai amfani ya ƙaddamar. Tabbatarwa anan yana nufin ƙin shigar da bayanai marasa inganci. Mai sarrafa bayanai kuma yana iya saita sarrafawa don rage adadin bayanai wannan zai iya a bayyana a cikin harin allura.
Don hana allurar SQL, OWASP yana ba da shawarar ware bayanai daga umarni da tambayoyi. Zaɓin da ya fi dacewa shine amfani da amintacce API don hana yin amfani da mai fassara, ko ƙaura zuwa Kayayyakin Taswirar Abubuwan Hulɗa (ORMs).
Fassara Tabbaci
Lalacewar tantancewa na iya ba wa maharin damar shiga asusun mai amfani da yin sulhu da tsarin ta amfani da asusun gudanarwa.. Mai laifin yanar gizo na iya amfani da rubutun don gwada dubban kalmar sirri akan tsarin don ganin wanda ke aiki. Da zarar mai laifin ya shiga, za su iya yin karya ta ainihin mai amfani da shi, tare da ba su damar samun bayanan sirri.
Rashin raunin tabbatarwa yana wanzuwa a cikin aikace-aikacen yanar gizo waɗanda ke ba da izinin shiga ta atomatik. Shahararriyar hanya don gyara raunin gaskatawa ita ce amfani da tantancewar multifactor. Hakanan, iyakar adadin shiga na iya a hada a cikin aikace-aikacen yanar gizo don hana hare-haren ƙarfi.
Bayyanar Bayanan Bayanai
Idan aikace-aikacen gidan yanar gizo ba su kare maharan masu hankali ba za su iya shiga da amfani da su don ribarsu. Harin kan hanya sanannen hanya ce ta satar bayanai masu mahimmanci. Haɗarin faɗuwa yana da ƙanƙanta lokacin da aka ɓoye duk mahimman bayanai. Masu haɓaka gidan yanar gizo yakamata su tabbatar da cewa ba a fallasa mahimman bayanai akan mai bincike ko adanawa ba dole ba.
Ƙungiyoyin Waje na XML (XEE)
Mai laifin cyber zai iya yin loda ko haɗa da abun ciki na XML, umarni, ko lamba a cikin takaddar XML. Wannan yana ba su damar duba fayiloli akan tsarin fayil ɗin uwar garken aikace-aikacen. Da zarar sun sami dama, za su iya yin hulɗa tare da uwar garken don aiwatar da hare-haren jabu na ɓangaren sabar (SSRF)..
Hare-haren na waje na XML na iya a hana ta ƙyale aikace-aikacen yanar gizo don karɓar nau'ikan bayanai marasa rikitarwa kamar JSON. Kashe sarrafa mahaɗan XML na waje shima yana rage yuwuwar harin XEE.
Ikon Samun Karye
Ikon samun shiga ƙa'idar tsarin ce wacce ke taƙaita masu amfani mara izini ga mahimman bayanai. Idan tsarin sarrafa hanyar shiga ya karye, maharan na iya ƙetare tantancewa. Wannan yana ba su damar samun mahimman bayanai kamar suna da izini. Ana iya kiyaye Ikon shiga ta aiwatar da alamun izini akan shiga mai amfani. A kan kowane buƙatun mai amfani yayin da aka tabbatar, ana tabbatar da alamar izini tare da mai amfani, yana nuna alamar cewa mai amfani yana da izinin yin wannan buƙatar.
Tsarin Tsaro
Rashin tsarin tsaro lamari ne na gama gari wanda Cybersecurity kwararru suna lura a aikace-aikacen yanar gizo. Wannan yana faruwa ne sakamakon kuskuren manyan kanun labarai na HTTP, karyewar ikon shiga, da nunin kurakurai waɗanda ke fallasa bayanai a cikin ƙa'idar yanar gizo.. Kuna iya gyara kuskuren Tsaro ta hanyar cire abubuwan da ba a yi amfani da su ba. Hakanan yakamata ku faci ko haɓaka fakitin software ɗinku.
Rubutun Tsallaka-Gizo (XSS)
Rashin lahani na XSS yana faruwa ne lokacin da maharin ya sarrafa DOM API na gidan yanar gizon da aka amince da shi don aiwatar da lambar ɓarna a cikin burauzar mai amfani.. Aiwatar da wannan mugunyar lambar sau da yawa yana faruwa lokacin da mai amfani ya danna hanyar haɗin da ya bayyana daga gidan yanar gizo mai aminci.. Idan ba a kiyaye gidan yanar gizon daga raunin XSS ba, zai iya a yi sulhu. Da malicous code cewa ana kashe shi yana ba maharin damar shiga zaman masu amfani, bayanan katin kiredit, da sauran mahimman bayanai.
Don hana Rubutun Rubutu (XSS), tabbatar da cewa HTML ɗinku yana da tsafta. Wannan na iya a samu ta zabar amintattun tsarin ya danganta da yaren zaɓi. Kuna iya amfani da yarukan kamar .Net, Ruby on Rails, da React JS kamar yadda zasu taimaka don tantancewa da tsaftace lambar HTML. Yin la'akari da duk bayanan daga ingantattun masu amfani ko waɗanda ba a tabbatar da su ba kamar yadda ba a amince da su ba na iya rage haɗarin harin XSS.
Deserialization mara tsaro
Deserialization shine jujjuya bayanan serialized daga uwar garken zuwa wani abu. Rarraba bayanai wani lamari ne na kowa a cikin haɓaka software. Ba shi da lafiya lokacin da bayanai an deserialized daga tushe mara amana. Wannan zai iya yiwuwar fallasa aikace-aikacenku ga hare-hare. Rashin tsaro yana faruwa ne lokacin da aka ɓoye bayanan daga tushen da ba a amince da shi ba ya kai ga hare-haren DDOS, hare-haren kisa mai nisa, ko wucewar tantancewa..
Don guje wa ɓarna mara tsaro, ƙa'idar babban yatsa ita ce kar a taɓa amincewa da bayanan mai amfani. Ya kamata kowane shigar da bayanan mai amfani a bi da shi as yiwuwar m. Guji ɓata bayanan daga tushe marasa amana. Tabbatar cewa deserialization yana aiki zuwa a yi amfani a cikin aikace-aikacen yanar gizon ku yana da aminci.
Amfani da Abubuwan da Aka Sanyi Tare da Abubuwan Rashin Lafiya
Dakunan karatu da Tsarin aiki sun sa ya fi sauri haɓaka aikace-aikacen gidan yanar gizo ba tare da buƙatar sake ƙirƙira dabaran ba. Wannan yana rage sakewa a cikin ƙimar ƙima. Suna buɗe hanya don masu haɓakawa su mai da hankali kan ƙarin mahimman abubuwan aikace-aikacen. Idan maharan sun gano cin zarafi a cikin waɗannan tsare-tsaren, kowane codebase da ke amfani da tsarin zai a yi sulhu.
Masu haɓaka abubuwan galibi suna ba da facin tsaro da sabuntawa don ɗakunan karatu na ɓangarori. Don guje wa raunin abubuwan ɓangarorin, yakamata ku koyi ci gaba da sabunta aikace-aikacenku tare da sabbin facin tsaro da haɓakawa.. Abubuwan da ba a amfani da su ya kamata a cire daga aikace-aikacen don yanke vectors hari.
Rashin Isasshen Shiga Da Kulawa
Shiga da saka idanu suna da mahimmanci don nuna ayyuka a cikin aikace-aikacen yanar gizon ku. Yin shiga yana sauƙaƙa gano kurakurai, duba mai amfani login, da ayyuka.
Rashin isassun shiga da sa ido yana faruwa lokacin da ba a shigar da mahimman abubuwan tsaro ba yadda ya dace. Maharan sun yi amfani da wannan don su kai hari kan aikace-aikacenku kafin a sami wani amsa mai ganuwa.
Shiga na iya taimaka wa kamfanin ku adana kuɗi da lokaci saboda masu haɓaka ku na iya sauƙi sami kwari. Wannan yana ba su damar mai da hankali kan magance kwari fiye da neman su. A taƙaice, shiga na iya taimakawa ci gaba da ci gaba da gudanar da rukunin yanar gizonku da sabobinku a kowane lokaci ba tare da fuskantar kowane lokaci ba..
Kammalawa
Kyakkyawan code ba kawai game da ayyuka, game da kiyaye masu amfani da aikace-aikacenku lafiya. OWASP Top 10 jerin mafi mahimmancin haɗarin tsaro na aikace-aikacen shine babban kayan aiki kyauta ga masu haɓakawa don rubuta amintattun yanar gizo da aikace-aikacen hannu.. Horar da masu haɓakawa a ƙungiyar ku don tantancewa da kuma shiga haɗarin haɗari na iya adana lokaci da kuɗin ƙungiyar ku a cikin dogon lokaci. Idan kuna so ƙarin koyo game da yadda ake horar da ƙungiyar ku akan AWASP Top 10 danna nan.
