वेब अनुप्रयोगों की सबसे आम कमजोरियां

ओपन वेब एप्लीकेशन सिक्योरिटीप्रोजेक्ट (OWASP) द्वारा बनाए गए आंकड़ों के अनुसार, दस सबसे आम सुरक्षा त्रुटियों को प्रतिष्ठित किया जा सकता है। नीचे दिए गए ग्राफिक से पता चलता है कि कितनी बार वेराकोड, एक वेब एप्लिकेशन सुरक्षा अनुसंधान संगठन, प्रारंभिक जोखिम आकलन के दौरान इन कमजोरियों का पता लगाता है।

वेराकोड के प्रारंभिक जोखिम आकलन के दौरान OWASP शीर्ष 10 सूची से भेद्यता का पता लगाने की दर । स्रोत:[वेरारोड]

OWASP के अनुसार ऊपर उद्धृत सबसे आम कमजोरियां हैं:

1. एक कमांड याक्वेरी (एसक्यूली, ओएस, XXE, एलडीएपी) के हिस्से के रूप में एक कोड दुभाषिया में अविश्वसनीय डेटा इंजेक्ट करने की संवेदनशीलता। एक हमलावर अश्वधारित आदेशों को निष्पादित करने या उचित प्राधिकरण के बिना डेटा तक पहुंच प्राप्त करने के लिए दुभाषिया को मात दे सकता है।
2. प्रामाणिकता और सत्र प्रबंधन के लिए गलत तरीके से लागू तंत्र। यह हमलावर को पासवर्ड, कुंजी, सत्र टोकन से समझौता करने या किसी अन्य एप्लिकेशन उपयोगकर्ता की पहचान को हाइजैक करने की अनुमति देता है।
3. क्रॉस-साइट स्क्रिप्टिंग (XSS)एक हमला है जो हमले वाले पृष्ठ की सामग्री में जावास्क्रिप्ट इंजेक्ट करता है। इसका उपयोग उपयोगकर्ता के सत्र को हाइजैक करने, खतरनाक उपयोगकर्ता साइट या सोशल इंजीनियरिंग हमलों पर रीडायरेक्ट करने के लिए किया जा सकता है।
4. सिस्टम उपयोगकर्ता के पास किस अनुमति और संसाधनों के बारे में टूटी हुई पहुंच नियंत्रण तंत्र है। एक हमलावर अनधिकृत कार्यक्षमता या संवेदनशील डेटा तक पहुंच प्राप्त करने के साथ-साथ अन्य उपयोगकर्ताओं के खातों तक पहुंच प्राप्त करने के लिए इस भेद्यता का फायदा उठा सकता है।
5. गलत सुरक्षा सेटिंग्स – सिस्टम को ठीक से सुरक्षित करने के लिए, उपयुक्त सेटिंग्स को एप्लिकेशन, फ्रेमवर्क, एप्लिकेशन सर्वर, डेटाबेस सर्वर, प्लेटफॉर्म आदि के लिए परिभाषित और लागू किया जाता है। इसके अलावा, सॉफ्टवेयर को नियमित रूप से अपडेट किया जाना चाहिए।
6. संवेदनशील डेटा साझा करना – कई वेब एप्लिकेशन और एपीआई वित्तीय, चिकित्सा या व्यक्तिगत डेटा जैसे संवेदनशील डेटा की ठीक से रक्षा नहीं करते हैं। एक हमलावर चोरी या ऐसी खराब संरक्षित जानकारी को संशोधित कर सकते है और यह एक क्रेडिट कार्ड पर धोखाधड़ी के लिए उपयोग करें, पहचान चोरी या अंय अपराधों को अंजाम । संवेदनशील डेटा को ट्रांसमिशन और स्टोरेज के दौरान एन्क्रिप्शन द्वारा अतिरिक्त रूप से संरक्षित किया जाना चाहिए।
7. हमलों के खिलाफ अपर्याप्त सुरक्षा – कई प्रणालियों में मैनुअल और स्वचालित हमलों दोनों का पता लगाने, रोकने और जवाब देने की बुनियादी क्षमता नहीं है। आपको उन तंत्रों को लागू करना चाहिए जो इनपुट को मान्य करने के लिए बुनियादी तंत्र से परे जाते हैं, और इसमें स्वचालित पहचान, लॉगिंग और यहां तक कि हमले के प्रयासों को अवरुद्ध करना शामिल है। इसके अलावा, ऐप मालिकों को आसानी से सुरक्षा पैच अपलोड करने में सक्षम होना चाहिए।
8. क्रॉस-साइट अनुरोध जालसाजी (CSRF)– उपयोगकर्ता के ब्राउज़र को उस उपयोगकर्ता के संदर्भ में सर्वर पर एक क्वेरी भेजने के लिए मजबूर करने में होते हैं। इस प्रकार यह पीड़ित को कुछ अनधिकृत कार्रवाई करने की अनुमति देता है, जैसे पासवर्ड बदलना, स्थानांतरण करना।
9. ज्ञात कमजोरियों के साथ घटकों का उपयोग करना – सॉफ्टवेयर में उपयोग किए जाने वाले पुस्तकालयों, चौखटे और अन्य मॉड्यूल जैसे घटक आवेदन के समान अनुमतियों के तहत काम करते हैं। यदि किसी कमजोर घटक से समझौता किया जाता है, तो इस तरह के हमले से डेटा या प्रणाली के लिए एक गंभीर खतरा पैदा हो सकता है । ज्ञात कमजोरियों वाले घटकों का उपयोग करने वाले एप्लिकेशन विभिन्न प्रकार के हमलों को खोलकर आवेदन की रक्षा करने वाली परत को हटा सकते हैं।
10. असुरक्षित एपीआई – आज के आवेदन अक्सर बुनियादीकार्यक्षमता (साबुन/एक्सएमएल, आरईएसटी/जेएसओएन, आरपीसी, जीडब्ल्यूटी, आदि) के अलावा उनके साथ संवाद स्थापित करने के लिए एपीआई प्रदान करते हैं। ये इंटरफेस अक्सर असुरक्षित होते हैं और इसमें कई कमजोरियां होती हैं।