Top 10 rủi ro an ninh của ứng dụng web năm 2013 (Phần 1)
Chúng ta đã hiểu được một cách tổng quan về tiêu chuẩn đánh giá ứng dụng Web – OWASP qua bài viết trước, vậy ở bài này ta sẽ đi tìm hiểu sâu hơn về một phần rất quan trọng mà OWASP mang lại, đó chính là “OWASP Top 10”.
I – Tổng quan
“OWASP Top 10” là danh sách được OWASP tổng hợp và công bố theo từng năm, nhằm đưa ra các cảnh báo rủi ro an ninh của ứng dụng web một cách ngắn gọn và xúc tích, giúp các doanh nghiệp, cá nhân xây dựng, phát triển, hay đánh giá các ứng dụng web có thể tự đưa ra được các giải pháp phù hợp, nâng cao bảo mật thông tin. Danh sách này luôn được thay đổi và cập nhật liên tục để phù hợp với sự thay đổi của các tác động ảnh hưởng từ các lỗ hổng.
Trong phiên bản năm 2013, OWASP đã thay đổi vị trí xếp hạng của A2, A3, A5, A6 và A8 trong phiên bản 2010. Vị trí A7 và A8 của phiên bản 2010 đã được gộp lại thành A6 trong phiên bản 2013 đồng thời có một nguy cơ mới được thêm vào phiên bản này là “A9 - Using Known Vulnerable Components”.
II – OWASP Top 10 – Rủi ro an ninh ứng dụng - 2013
1. A1 – Injection (lỗi nhúng mã)
1.1. Nguyên nhân
Các truy vấn đầu vào tại ứng dụng bị chèn thêm dữ liệu không an toàn dẫn đến mã lệnh được gởi tới máy chủ cơ sở dữ liệu.
1.2. Lỗ hổng dặc trưng
2.1. Nguyên nhân
Do những đoạn chương trình kiểm tra danh tính và quản lý phiên làm việc của người sử dụng thường hay được làm qua loa không đúng cách.
2.2. Lỗ hổng đặc trưng
3.1. Nguyên nhân
Do sai sót trong khâu kiểm duyệt nội dung đầu vào dẫn đến việc các dữ liệu bất hợp pháp được gửi đến trình duyệt web mà không cần sự xác thực thông thường.
3.2. Lỗ hổng đặc trưng
I – Tổng quan
“OWASP Top 10” là danh sách được OWASP tổng hợp và công bố theo từng năm, nhằm đưa ra các cảnh báo rủi ro an ninh của ứng dụng web một cách ngắn gọn và xúc tích, giúp các doanh nghiệp, cá nhân xây dựng, phát triển, hay đánh giá các ứng dụng web có thể tự đưa ra được các giải pháp phù hợp, nâng cao bảo mật thông tin. Danh sách này luôn được thay đổi và cập nhật liên tục để phù hợp với sự thay đổi của các tác động ảnh hưởng từ các lỗ hổng.
Trong phiên bản năm 2013, OWASP đã thay đổi vị trí xếp hạng của A2, A3, A5, A6 và A8 trong phiên bản 2010. Vị trí A7 và A8 của phiên bản 2010 đã được gộp lại thành A6 trong phiên bản 2013 đồng thời có một nguy cơ mới được thêm vào phiên bản này là “A9 - Using Known Vulnerable Components”.
II – OWASP Top 10 – Rủi ro an ninh ứng dụng - 2013
1. A1 – Injection (lỗi nhúng mã)
1.1. Nguyên nhân
Các truy vấn đầu vào tại ứng dụng bị chèn thêm dữ liệu không an toàn dẫn đến mã lệnh được gởi tới máy chủ cơ sở dữ liệu.
1.2. Lỗ hổng dặc trưng
- SQL injection
- OS injection
- LDAP injection
- NoSQL injection
- …
- Truy cập dữ liệu bất hợp pháp
- Insert/update dữ liệu bất hợp lệ vào trong database.
- Thực hiện một số tấn công từ chối dịch vụ
2.1. Nguyên nhân
Do những đoạn chương trình kiểm tra danh tính và quản lý phiên làm việc của người sử dụng thường hay được làm qua loa không đúng cách.
2.2. Lỗ hổng đặc trưng
- Session Fixation
- …
- Cho phép kẻ tấn công từ bên ngoài có thể truy cập vào những tài nguyên nội bộ trái phép (admin page, inside, control page …)
- Kẻ tấn công còn có thể thực hiện các hành vi nâng quyền quản trị hoặc tấn công phiên đăng nhập.
3.1. Nguyên nhân
Do sai sót trong khâu kiểm duyệt nội dung đầu vào dẫn đến việc các dữ liệu bất hợp pháp được gửi đến trình duyệt web mà không cần sự xác thực thông thường.
3.2. Lỗ hổng đặc trưng
- Cross-Site Scripting
- …
- Đánh cắp cookie/session
- Phát tán mã độc
Chỉnh sửa lần cuối bởi người điều hành: