OWASP Top 10

OWASP Top 10 je redovno ažuriran načini na koji hakeri mogu da naruše bezbednost vaše veb aplikacija, fokusirajući se na 10 najkritičnijih rizika.

Inekcija

Inekcione napade se dešavaju kada se nepoverljivi podaci šalju interpreteru koda putem unosnog polja forme ili nekog drugog načina slanja podataka veb aplikaciji. Na primer, napadač može uneti SQL kod baze podataka u formu koja očekuje plaintext korisničko ime.

Autentifikacija

Ranjivosti u sistemima za autentifikaciju (prijavljivanje) mogu omogućiti napadačima pristup korisničkim nalozima, pa čak i sposobnost ugrožavanja celog sistema putem administratorskog naloga. Na primer, napadač može koristiti listu koja sadrži hiljade poznatih kombinacija korisničkih imena/lozinki dobijenih tokom curenja podataka i koristiti skriptu kako bi isprobao sve te kombinacije na sistemu za prijavljivanje kako bi video da li neka od njih funkcioniše.

Curenje osetljivih podataka

Ako veb aplikacije ne štite osetljive podatke poput finansijskih informacija i lozinki, napadači mogu dobiti pristup tim podacima i prodati ih ili ih iskoristiti u zlonamerne svrhe. Jedan od popularnih metoda za krađu osetljivih informacija je korišćenje napada na putanju (on-path attack).

Eksterni XML entiteti

Ovo je napad na veb aplikaciju koja analizira XML* unos. Ovaj unos može referencirati spoljni entitet, pokušavajući iskoristiti ranjivost u parseru. 'Spoljni entitet' u ovom kontekstu odnosi se na skladišni uređaj, poput hard diska. XML parser može biti prevaran da šalje podatke neovlašćenom spoljnom entitetu, koji može direktno proslediti osetljive podatke napadaču.

Pokvareni nivo pristupa

Pristupna kontrola se odnosi na sistem koji kontroliše pristup informacijama ili funkcionalnostima. Oštećene pristupne kontrole omogućavaju napadačima da zaobiđu autorizaciju i izvršavaju zadatke kao da su privilegovani korisnici, kao što su administratori.

Bezbednosna konfiguracija

Bezbednosna konfiguracija je najčešća ranjivost na listi i često je rezultat korišćenja podrazumevanih postavki ili prikazivanja izuzetno opsežnih grešaka. Na primer, aplikacija može prikazati korisniku izuzetno opisne greške koje mogu otkriti ranjivosti u aplikaciji.

Cross-site skriptovanje

Cross-site skriptovanja javljaju se kada veb aplikacije dozvoljavaju korisnicima da dodaju prilagođeni kod u putanju URL-a ili na veb stranicu koji će biti viđen od strane drugih korisnika. Ova ranjivost može biti iskorišćena kako bi se izvršio zlonamerni JavaScript kod na browseru žrtve.

Nesigurna deserializacija

Ova pretnja cilja mnoge veb aplikacije koje često vrše serijalizaciju i deserijalizaciju podataka. Serijalizacija podrazumeva uzimanje objekata iz koda aplikacije i pretvaranje ih u format koji može biti korišćen u druge svrhe, kao što je čuvanje podataka na disku ili strimovanje.