वेब अनुप्रयोगों की सबसे आम कमजोरियां

ओपन वेब एप्लीकेशन सिक्योरिटीप्रोजेक्ट (OWASP) द्वारा बनाए गए आंकड़ों के अनुसार, दस सबसे आम सुरक्षा त्रुटियों को प्रतिष्ठित किया जा सकता है। नीचे दिए गए ग्राफिक से पता चलता है कि कितनी बार वेराकोड, एक वेब एप्लिकेशन सुरक्षा अनुसंधान संगठन, प्रारंभिक जोखिम आकलन के दौरान इन कमजोरियों का पता लगाता है।

वेराकोड प्रारंभिक जोखिम आकलन के दौरान OWASP शीर्ष 10 भेद्यता का पता लगाने की दर वेराकोड के प्रारंभिक जोखिम आकलन के दौरान OWASP शीर्ष 10 सूची से भेद्यता का पता लगाने की दर । स्रोत:[वेरारोड]

OWASP के अनुसार ऊपर उद्धृत सबसे आम कमजोरियां हैं:

  1. एक कमांड याक्वेरी (एसक्यूली, ओएस, XXE, एलडीएपी) के हिस्से के रूप में एक कोड दुभाषिया में अविश्वसनीय डेटा इंजेक्ट करने की संवेदनशीलता। एक हमलावर अश्वधारित आदेशों को निष्पादित करने या उचित प्राधिकरण के बिना डेटा तक पहुंच प्राप्त करने के लिए दुभाषिया को मात दे सकता है।
  2. प्रामाणिकता और सत्र प्रबंधन के लिए गलत तरीके से लागू तंत्र। यह हमलावर को पासवर्ड, कुंजी, सत्र टोकन से समझौता करने या किसी अन्य एप्लिकेशन उपयोगकर्ता की पहचान को हाइजैक करने की अनुमति देता है।
  3. क्रॉस-साइट स्क्रिप्टिंग (XSS)एक हमला है जो हमले वाले पृष्ठ की सामग्री में जावास्क्रिप्ट इंजेक्ट करता है। इसका उपयोग उपयोगकर्ता के सत्र को हाइजैक करने, खतरनाक उपयोगकर्ता साइट या सोशल इंजीनियरिंग हमलों पर रीडायरेक्ट करने के लिए किया जा सकता है।
  4. सिस्टम उपयोगकर्ता के पास किस अनुमति और संसाधनों के बारे में टूटी हुई पहुंच नियंत्रण तंत्र है। एक हमलावर अनधिकृत कार्यक्षमता या संवेदनशील डेटा तक पहुंच प्राप्त करने के साथ-साथ अन्य उपयोगकर्ताओं के खातों तक पहुंच प्राप्त करने के लिए इस भेद्यता का फायदा उठा सकता है।
  5. गलत सुरक्षा सेटिंग्स – सिस्टम को ठीक से सुरक्षित करने के लिए, उपयुक्त सेटिंग्स को एप्लिकेशन, फ्रेमवर्क, एप्लिकेशन सर्वर, डेटाबेस सर्वर, प्लेटफॉर्म आदि के लिए परिभाषित और लागू किया जाता है। इसके अलावा, सॉफ्टवेयर को नियमित रूप से अपडेट किया जाना चाहिए।
  6. संवेदनशील डेटा साझा करना – कई वेब एप्लिकेशन और एपीआई वित्तीय, चिकित्सा या व्यक्तिगत डेटा जैसे संवेदनशील डेटा की ठीक से रक्षा नहीं करते हैं। एक हमलावर चोरी या ऐसी खराब संरक्षित जानकारी को संशोधित कर सकते है और यह एक क्रेडिट कार्ड पर धोखाधड़ी के लिए उपयोग करें, पहचान चोरी या अंय अपराधों को अंजाम । संवेदनशील डेटा को ट्रांसमिशन और स्टोरेज के दौरान एन्क्रिप्शन द्वारा अतिरिक्त रूप से संरक्षित किया जाना चाहिए।
  7. हमलों के खिलाफ अपर्याप्त सुरक्षा – कई प्रणालियों में मैनुअल और स्वचालित हमलों दोनों का पता लगाने, रोकने और जवाब देने की बुनियादी क्षमता नहीं है। आपको उन तंत्रों को लागू करना चाहिए जो इनपुट को मान्य करने के लिए बुनियादी तंत्र से परे जाते हैं, और इसमें स्वचालित पहचान, लॉगिंग और यहां तक कि हमले के प्रयासों को अवरुद्ध करना शामिल है। इसके अलावा, ऐप मालिकों को आसानी से सुरक्षा पैच अपलोड करने में सक्षम होना चाहिए।
  8. क्रॉस-साइट अनुरोध जालसाजी (CSRF)– उपयोगकर्ता के ब्राउज़र को उस उपयोगकर्ता के संदर्भ में सर्वर पर एक क्वेरी भेजने के लिए मजबूर करने में होते हैं। इस प्रकार यह पीड़ित को कुछ अनधिकृत कार्रवाई करने की अनुमति देता है, जैसे पासवर्ड बदलना, स्थानांतरण करना।
  9. ज्ञात कमजोरियों के साथ घटकों का उपयोग करना – सॉफ्टवेयर में उपयोग किए जाने वाले पुस्तकालयों, चौखटे और अन्य मॉड्यूल जैसे घटक आवेदन के समान अनुमतियों के तहत काम करते हैं। यदि किसी कमजोर घटक से समझौता किया जाता है, तो इस तरह के हमले से डेटा या प्रणाली के लिए एक गंभीर खतरा पैदा हो सकता है । ज्ञात कमजोरियों वाले घटकों का उपयोग करने वाले एप्लिकेशन विभिन्न प्रकार के हमलों को खोलकर आवेदन की रक्षा करने वाली परत को हटा सकते हैं।
  10. असुरक्षित एपीआई – आज के आवेदन अक्सर बुनियादीकार्यक्षमता (साबुन/एक्सएमएल, आरईएसटी/जेएसओएन, आरपीसी, जीडब्ल्यूटी, आदि) के अलावा उनके साथ संवाद स्थापित करने के लिए एपीआई प्रदान करते हैं। ये इंटरफेस अक्सर असुरक्षित होते हैं और इसमें कई कमजोरियां होती हैं।

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *