Top 10 rủi ro an ninh của ứng dụng web năm 2013 (Phần 1)

whooshgoo

W-------
14/09/2013
0
6 bài viết
Top 10 rủi ro an ninh của ứng dụng web năm 2013 (Phần 1)
Chúng ta đã hiểu được một cách tổng quan về tiêu chuẩn đánh giá ứng dụng Web – OWASP qua bài viết trước, vậy ở bài này ta sẽ đi tìm hiểu sâu hơn về một phần rất quan trọng mà OWASP mang lại, đó chính là “OWASP Top 10”.

I – Tổng quan

“OWASP Top 10” là danh sách được OWASP tổng hợp và công bố theo từng năm, nhằm đưa ra các cảnh báo rủi ro an ninh của ứng dụng web một cách ngắn gọn và xúc tích, giúp các doanh nghiệp, cá nhân xây dựng, phát triển, hay đánh giá các ứng dụng web có thể tự đưa ra được các giải pháp phù hợp, nâng cao bảo mật thông tin. Danh sách này luôn được thay đổi và cập nhật liên tục để phù hợp với sự thay đổi của các tác động ảnh hưởng từ các lỗ hổng.

OWASP Top 10.png

Trong phiên bản năm 2013, OWASP đã thay đổi vị trí xếp hạng của A2, A3, A5, A6 và A8 trong phiên bản 2010. Vị trí A7 và A8 của phiên bản 2010 đã được gộp lại thành A6 trong phiên bản 2013 đồng thời có một nguy cơ mới được thêm vào phiên bản này là “A9 - Using Known Vulnerable Components”.

II – OWASP Top 10 – Rủi ro an ninh ứng dụng - 2013

1. A1 – Injection (lỗi nhúng mã)

1.1. Nguyên nhân

Các truy vấn đầu vào tại ứng dụng bị chèn thêm dữ liệu không an toàn dẫn đến mã lệnh được gởi tới máy chủ cơ sở dữ liệu.

1.2. Lỗ hổng dặc trưng
  • SQL injection
  • OS injection
  • LDAP injection
  • NoSQL injection
1.3. Nguy cơ an ninh
  • Truy cập dữ liệu bất hợp pháp
  • Insert/update dữ liệu bất hợp lệ vào trong database.
  • Thực hiện một số tấn công từ chối dịch vụ
2. A2 - Broken Authentication and Session Management

2.1. Nguyên nhân


Do những đoạn chương trình kiểm tra danh tính và quản lý phiên làm việc của người sử dụng thường hay được làm qua loa không đúng cách.

2.2. Lỗ hổng đặc trưng
  • Session Fixation
2.3. Nguy cơ an ninh
  • Cho phép kẻ tấn công từ bên ngoài có thể truy cập vào những tài nguyên nội bộ trái phép (admin page, inside, control page …)
  • Kẻ tấn công còn có thể thực hiện các hành vi nâng quyền quản trị hoặc tấn công phiên đăng nhập.
3. A3 - Cross-Site Scripting (XSS)

3.1. Nguyên nhân


Do sai sót trong khâu kiểm duyệt nội dung đầu vào dẫn đến việc các dữ liệu bất hợp pháp được gửi đến trình duyệt web mà không cần sự xác thực thông thường.

3.2. Lỗ hổng đặc trưng
  • Cross-Site Scripting
3.3. Nguy cơ an ninh
  • Đánh cắp cookie/session
  • Phát tán mã độc
Trong phần tiếp theo, tôi sẽ trình bày tiếp các nguy cơ còn lại trong Top 10 OWASP 2013…
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
rủi ro an ninh của ứng dụng web web – owasp
Bên trên