English

10 Kërcënimet më të përhapura të OWASP


OWASP është një organizatë ndërkombëtare jofitimprurëse, e cila është e fokusuar në sigurinë e aplikacioneve në web.
Çdo vit OWASP nxjerr një list në lidhje me 10 sulmet më të shpeshta të cilat kryhen ndaj një aplikacioni web.



Për vitin 2019 lista e sulmeve është e përcaktuar si më poshtë:

  1. Injeksioni
  2. Autentifikimi i thyer
  3. Ekspozimi i të dhënave sensitive
  4. Subjekte të jashtme XML (XXE)
  5. Thyerja e rregullave të aksesit (Broken Access Control)
  6. Konfigurime jo të sakta të sigurisë
  7. Cross-Site Scripting (XSS)
  8. Deserializimi i pasigurt
  9. Përdorimi i komponentëve me vulnerabilitete të njohura
  10. Rregjistrim dhe monitorim i pamjaftueshëm


Injeksioni

Sulmi i injeksionit ndodh në momentin që të dhëna jo të sigurta dërgohen tek interpretuesi i kodit përmes një formulari hyrës në aplikacionin web.
Një shembull sulmi injektimi do të ishte vendosja e një kodi në databazë në një formë që pret një emër përdoruesi të thejshtë.
Në qoftë se kjo formë hyrëse nuk është e siguruar në formën e duhur kjo do të conte në ekzekutimin e atij kodi.
Sulmet e injektimit mund të parandalohen duke verifikuar të dhënat e përdoruesëve.



Autentifikimi i thyer

Vulnerabilitetet në sisitemin e autentifikimit mund tu japin sulmuesëve akses në llogaritë e përdoruesëve, por gjithashtu edhe në llogarinë e administratorit, gjë që do të conte në kompromentimin e të gjithë sistemit.
Disa strategji për të rritur autentifikimin e përdoruesëve do të ishte përdorimi i autentifikimit me dy faktor.

Ekspozimi i të dhënave sensitive

Nëse aplikacionet në internet nuk i mbërojnë të dhënat e ndjeshme, sic janë informacionet financiare dhe fjalëkalimet, sulmuesit mund të fitojnë qasje në ato të dhëna dhe ti shfrytëzojnë ato për qëllime jo të mira.
Një metodë shumë e njohur e marrjes së të dhënave sensitive të përdoruesëve është sulmi njeriu-në-mes. Rreziku ndaj ekspozimit të të dhënave sensitive mund të minimizohet duke bërë enkriptimin e tyre.

Subjekte të jashtme XML (XXE)

Ky është një sulm kundrejt një aplikacioni në internet që parses hyrjen XML.
Kjo hyrje mund ti referohet një entiteti të jashtëm, i cili tenton të gjej një vulnerabilitet në parser.
Në këtë mënyrë parser XML mund të dërgoj të dhëna drejt entitetit të jashtëm të paautorizuar dhe kjo do të bënte që këto të fundit të përdoreshin nga sulmuesi.
Mënyra më e mirë për të parandaluar këto sulme do të ishte përdorimi i të dhënave më pak komplekse nga aplikacioni në internet.

Thyerja e rregullave të aksesit

Kontrolli i hyrjes i refereohet një sistemi që kontrollon aksesin tek informacioni.
Thyerja e rregullave të aksesit i lejon sulmuesit të anashkalojnë autorizimin dhe të kryejnë detyra njësoj sikur të ishin përdorues të autorizuar sic janë administratori.
Rregullat e aksesit mund të sigurohen duke përdorur shenjat e autorizimit në aplikacionin në internet.



Konfigurime jo të sakta të sigurisë

Konfigurimet jo të sakta të sigurisë janë dobësia më e zakonshme dhe vjen si rezultat i përdorimit të konfigurimeve të paracaktuara.
Kjo mund të rregullohet duke hequr të gjitha cilësimet e papërdorura në kod dhe duke siguruar që mesazhet e gabimit janë më të përgjithshme.



Cross-Site Scripting (XSS)

Cross-Site Scripting ndodh në momentin kur aplikacionet në internet i lejojnë përdoruesit që të shtojnë një kod në URL.
Ky vulnerabilitet mund të shfrytëzohet për të ekzekutuar kodin keqdashës JavaScript në browser-in e viktimës.



Deserializimi i pasigurt

Ky kërcënim dëmton aplikacionet në internet që bëjnë serializimin dhe deserializimin e të dhënave.
Serializimi nënkupton marrjen e objekteve nga kodi i aplikacionit dhe shëndërrimi i tyre në një format që mund të përdoret për një qëllim tjetër.
Deserializimi është procesi i kundërt. Një shfrytëzim i pasigurt i deserializimit do të ishte deserializimi i të dhënave nga burime jo të besueshme e cila mund të coj në sulme DDOS dhe sulme të ekzekutimit të kodit në distancë.



Përdorimi i komponentëve me vulnerabilitete të njohura

Shumë zhvillues modernë të internetit përdorin përbërës të tillë si biblioteka në aplikacionet e tyre në internet.
Këto komponentë janë pjesë e programeve që ndihmojnë zhvilluesit të shmangin punën e tepërt dhe të sigurojnë funksionalitetet e nevojshme.
Sulmuesit kërkojnë për këto dobësi, të cilat mund ti përdorin për të orkestruar sulme.

Rregjistrim dhe monitorim i pamjaftueshëm

Shumë aplikacione në internet nuk marrin hapat e nevojshëm për të dedektuar shkeljen e të dhënave.
Koha mesatare e gjetjes së këtyre sulmeve është rreth 200 ditë mbas ndodhjes së sulmit.
Kjo u jep kohë sulmuesëve që të shkaktojnë dëm të mjaftueshëm përpara se të ndërrmeret një veprim.
Për këtë arsye rekomandohet që të bëhet rregjistrim dhe monitorim i sulmeve.



selex