OWASP (The Open Web Application Security Project)-ი წარმოადგენს მსოფლიო არაკომერციულ ორგანიზაციას, რომლის მიზანიცაა ინდივიდებში ვებ აპლიკაციების უსაფრთხოების ცნობადობის ამაღლება, ამიტომ დროგამოშვებით აქვეყნებს ტოპ 10 გავრცელებულ საფრთხეს, რომელიც ემუქრება აპლიკაციებს.
თავდამხსმელს დაუცველი აპლიკაციებიდან მარტივად შეუძლია,სხვადასხვა მეთოდებით,შემოაღწიოს თქვენი ორგანიზაციის კომპიუტერულ სისტემაში.
ზოგჯერ ასეთი თავდასხმის განხორციელებას კრიმინალი ახდენს საკმაოდ მარტივად, ზოგჯერ კი ძალიან რთულად, შესაბამისად, მოყენებული ზარალი შეიძლება იქნას არაფერი, ან ყველაფრის დაკარგვაც კი.
იმისთვის, რომ დაიცვათ ორგანიზაცია კიბერ თავდასხმისგან, ერთ-ერთი კრიტიკული ნაწილია აპლიკაციების უსაფრთხოება. OWASP-ის მიერ გამოქვეყნებული ტოპ ათეული დაგეხმარებათ აპლიკაციები დაიცვათ ფართოდ გავრცელებული საფრთხეებისგან.
შენიშვნა: არ შეჩერდეთ მხოლოდ ტოპ ათზე. აპლიკაციების უსაფრთხო დეველოპმენტის/დანერგვა/გამოყენებისთვის, თვალი ადევნეთ OWASP-ის პუბლიკაციებს.
1) ინექცია – ინექციეური ხარვეზები (Injection Flows), როგორიცაა: SQL, OS და LDAP ინექციები, წარმოიქმნება დაზიანებული მონაცემების გაგზავნით ბრძანების და/ან მოთხოვნის სახით. კრიმინალის მიერ გაგზავნილი ასეთი დზიანებული მონაცემები ასუსტებს მიმღებ სისტემას და აძლევს მას არაავტორიზებული წვდომის განხორციელების საშუალებას;
2) Cross Site Scripting (XSS) – XSS ხარვეზი წარმოიქმნება, როცა აპლიკაცია მიღებულ დაზიანებულ მონაცემებს უგზავნის წებ ბროუზერს სათანადო შემოწმებისა და ვალიდაციის გარეშე. XSS-ი კრიმინალს აძლევს საშუალებას „გაუშვას“ ბროუზერში ისეთი სკრიპტები, რომელიც მოახდენს მომხმარებლის სესიის გატეხვას, ვებ გვერდის სახეცვლილებას, მომხმარებლის გადამისამართებას „ყალბ“, დაზიანებულ ვებ გვერდზე და სხვა;
3) დაზიანებული აუთენტიფიკაცია და სესიის მართვა – აპლიკაციის აუთენტიფიკაცია და სესიები, ხშირად არასწორად არის დაკონფიგურებული, რაც კრიმინალს აძლევს პაროლების, გასაღებების, სესიის ტოკენების კომპრომისის საშუალებას და სხვა;
4) არასაიმედო მითითება ობიექთებზე – ასეთი სახის ხარვეზი წარმოიქმნება, როცა დეველოპერი, დაცვის მექანიზმების გარეშე, მიუთითებს ფასეულ შიდა ობიექტზე. შედეგად კრიმინალი მარტივად პოულობს ასეთ მითითებას და ახორციელებს არაავტორიზებულ წვდომას ორგანიზაციის ფასეულ მონაცემებზე;
5) საიტის მოთხოვნის გაყალბება (Cross-Site Request Forgery “CSRF”) – ასეთი შეტევის დროს, მომხმარებლის ბროუზერი აგზავნის ყალბ HTTP მოთხოვნას, რაც ავტომატურად შეიცავს მომხმარებლის სესიასა და სხვა აუთენტიფიკაციის ინფორმაციას, წინასწარ გამზადებულ ყალბ მისამართზე;
6) უსაფრთხოების მისკონფიგურირება– ძლიერი უსაფრთხოება საჭიროებს აპლიკაციების, აპლიკაციების სერვერის, ვებ სერვერის, მონაცემთა ბაზის სერვერისა და პლატფორმის სწორ კონფიგურირებას;
7) არასაიმედო კრიპტოგრაფიული საცავი – ბევრი ვებ აპლიკაცია არასწორად იცავს ისეთ ფასეულ მონაცემებს, როგორებიცაა: საკრედიტო ბარათების, SSN-ისა და სხვა აუტენთიფიკაციის მონაცემებს, არასწორი/სუსტი კრიპტირებისა თუ ჰეშინგის ხარჯზე. კრიმინალი მართივად შეძლებს არაავტორიზებული წვდომის განხორციელებას სუსტად დაცულ ფასეულ მონაცემებზე;
8) სუსტი URL წვდომის კონტროლი – ბევრი ვებ აპლიკაცია ამოწმებს URL-ის წვდომის უფლებებს, სანამ განათავსებს ლინკებს, თუმცა აპლიკაციებმა დამატებით რეგულარულად უნდა ამოწმონს ვებ გვერდზე განხორციელებული წვდომები, რათა არ მოხდეს მისი გაყალბება და/ან კომპრომისი;
9) Transport Layer – ის არასათანადო დაცვა – აპლიკაციების ხშირად ვერ ახდენენ ატუენთიფიცირებას, ენკრიპტირებას და კონფიდენციალურობისა თუ მთლიანობის დაცვას ფასეული ქსელის ტრაფიკისა. ხოლო თუ იცავენ, ხშირად იყენებენ სუსტ ალგორითმებს, ვადა გასულ და/ან არასწორ სერთიფიკატებს და სხვა;
10) არავალიდური გადამისამართება – ვებ აპლიკაციების ხშირად ამისამართებენ მომხმარებლებს ისეთ ვებ გვერდებზე, რომელთა უსაფრთხოებაც შესწავლილი არ აქვთ. შედეგად, ასეთი საიტების უმრავლესობა შეიძლება იყოს ყალბი, დაზიანებული და სხვა.
