OWASP 10ka Khatar ee ugu Sareeya | Dulmar
Table of Contents
Waa maxay OWASP?
OWASP waa urur aan faa'iido doon ahayn oo u heellan waxbarashada amniga abka webka.
Qalabka waxbarashada OWASP waxaa laga heli karaa shabakadooda. Qalabkooda ayaa faa'iido u leh hagaajinta amniga codsiyada shabakadda. Tan waxaa ku jira dukumeenti, qalabyo, muuqaalo, iyo goleyaal.
10ka ugu sarreeya OWASP waa liis muujinaya welwelka ugu sarreeya ee amniga ee abka shabakadda maanta. Waxay ku talinayaan in dhammaan shirkadaha ay ku daraan warbixintan habraacyadooda si loo yareeyo khataraha amniga. Hoos waxaa ah liiska khataraha amniga oo lagu daray warbixinta OWASP 10ka ugu sarreeya 2017.
Dhiirigelinta Sisilka
Cirbadda SQL waxay dhacdaa marka uu weerarku u soo diro xog aan habboonayn abka shabakadda si uu u carqaladeeyo barnaamijka ku jira codsiga.
Tusaale ahaan duritaanka SQL:
Weeraryahanku waxa uu geli karaa weydiinta SQL foom wax gelin ah oo u baahan qoraal cad oo magac adeegsi ah. Haddii foomka galitaanka aan la sugin, waxay keeni doontaa fulinta su'aasha SQL. Tani ayaa loo gudbiyaa sida SQL duritaan.
Si looga ilaaliyo arjiyada webka duritaanka koodka, hubi in horumariyayaashu isticmaalaan ansaxinta gelinta xogta isticmaaluhu soo gudbiyay. Ansixinta halkan waxaa loola jeedaa diidmada agabka aan ansax ahayn. Maamulaha xogta xogta ayaa sidoo kale dejin kara kontaroolo si loo yareeyo tirada macluumaad taas oo la shaaciyo weerar cirbad ah.
Si looga hortago duritaanka SQL, OWASP waxay ku talinaysaa in xogta laga ilaaliyo amarada iyo weydiimaha. Doorashada ugu wanaagsani waa in la isticmaalo ammaan API si looga hortago isticmaalka turjumaanka, ama u haajiridda Walxaha Khariidaynta Mapping Tools (ORMs).
Xaqiijinta jaban
Nuglaanta xaqiijinta waxay u oggolaan kartaa weeraryahan inuu galo akoonnada isticmaalaha oo uu wax u dhimo nidaamka isticmaalaya koontada maamulka. Dembiilaha interneetka wuxuu isticmaali karaa qoraal si uu isugu dayo kumanaan sirta ah isku darka nidaamka si uu u arko midka shaqeeya. Marka uu dembiilaha internetka galo, waxay beenin karaan aqoonsiga isticmaalaha, iyaga oo siinaya inay helaan macluumaad sir ah.
Nuglaanta xaqiijinta ee jaban ayaa ka jirta arjiyada shabakadda ee u oggolaanaya gelitaanka tooska ah. Habka caanka ah ee lagu saxo nuglaanta xaqiijinta waa isticmaalka xaqiijinta faaraha badan. Sidoo kale, xaddidaadda heerka gelitaanka ayaa laga yaabaa lagu daro App-ka shabakada si aad uga hortagto weerarrada xoogga ah.
Soo Bandhigista Xogta Xasaasiga ah
Haddi codsiyada webka aysan ilaalin weeraryahannada xasaasiga ah waxay geli karaan oo u isticmaali karaan faa'iidooyinkooda. Weerarka jidka ku jira waa hab caan ah oo lagu xado macluumaadka xasaasiga ah. Khatarta soo-gaadhista way yar tahay marka dhammaan xogta xasaasiga ah la sireeyo. Soosaarayaasha shabakadu waa inay xaqiijiyaan inaan xog xasaasi ah lagu soo bandhigin browserka ama loo kaydiyay si aan loo baahnayn.
XML Hay'adaha Dibadda (XEE)
Dembiilaha internetka waxa laga yaabaa inuu awoodo inuu soo geliyo ama ku daro waxyaabaha XML xaasidnimada leh, amarada, ama koodka gudaha dukumeenti XML. Tani waxay u oggolaanaysaa inay ku arkaan faylasha nidaamka faylka server-ka codsiga. Marka ay galaangal u helaan, waxay la falgali karaan server-ka si ay u fuliyaan codsiyada been-abuurka ah ee dhinaca server-ka (SSRF)..
XML weeraro dibadeed ayaa kara laga hortago u oggolaanaya codsiyada webka inay aqbalaan noocyada xogta ka adag sida JSON. Deminta farsamaynta hay'ad dibadda XML waxay sidoo kale yaraynaysaa fursadaha weerarka XEE.
Xakamaynta gelitaanka jaban
Xakamaynta gelitaanka waa hab-maamuuska nidaamka kaas oo xaddidaya isticmaalayaasha aan la oggolayn macluumaadka xasaasiga ah. Haddii nidaamka xakamaynta gelitaanka uu jabo, weeraryahanadu way dhaafi karaan xaqiijinta. Tani waxay siinaysaa inay helaan macluumaadka xasaasiga ah sidii iyagoo oggolaansho haysta. Xakamaynta gelitaanka waxa lagu sugi karaa iyada oo la hirgaliyo calaamada ogolaanshaha gelitaanka isticmaalaha. Codsi kasta oo isticmaaluhu sameeyo inta la xaqiijinayo, calaamadda oggolaanshaha isticmaaluhu waa la xaqiijiyaa, taasoo muujinaysa in isticmaaluhu loo oggol yahay inuu sameeyo codsigaas.
Qaabdhismeedka Amniga
Qaladaynta amniga waa arin caadi ah taas internetka takhasusleyaasha waxay ku eegaan codsiyada webka. Tani waxay ku dhacdaa natiijada madaxyada HTTP oo khaldan, kontaroolada gelitaanka ee jabay, iyo soo bandhigida khaladaadka soo bandhigaya macluumaadka abka shabakada. Waxaad sixi kartaa qaabeynta khaldan ee Amniga adiga oo meesha ka saaraya sifooyinka aan la isticmaalin. Sidoo kale waa inaad balastar ama cusboonaysiisaa xidhmooyinka software-kaaga.
Sawir-ka-goos goobeed (XSS)
Nuglaanta XSS waxay dhacdaa marka weeraryahanku uu maamulo DOM API ee degel la aaminsan yahay si uu u fuliyo kood xaasidnimo ah browserka isticmaalaha. Fulinta summadan xaasidnimada leh waxay badanaa dhacdaa marka isticmaaluhu uu taabto xiriiriyaha u muuqda inuu ka yimid degel la aamini karo. Haddii website-ka aan laga ilaalin nuglaanta XSS, way awoodaa la isu tanaasulo. Codka xaasidnimada leh ee waa la fuliyaa waxay siisaa weeraryahan galitaanka fadhiga isticmaalayaasha, faahfaahinta kaadhka deynta, iyo xogta kale ee xasaasiga ah.
Si aad uga hortagto Qorista-goob-goobeedka (XSS), hubi in HTML-kaaga si wanaagsan loo nadiifiyay. Tani waa lagu gaaro doorashada qaab-dhismeedka la aamini karo iyadoo ku xiran luqadda doorashada. Waxaad isticmaali kartaa luqadaha sida .Net, Ruby on Rails, iyo React JS maadaama ay kaa caawin doonaan in la kala saaro oo nadiifiyo koodka HTML. Ula dhaqmidda dhammaan xogta isticmaalayaasha la xaqiijiyay ama aan la aqoonsan sida kuwa aan la aamini karin waxay yareyn kartaa halista weerarrada XSS.
Serialization Aan Ammaan Lahayn
Deserialization waa beddelka xogta taxanaha ah ee server-ka oo loo beddelo shay. Kala saarida xogta waa dhacdo caadi ah oo ku saabsan horumarinta software. Ma aha ammaan marka xogta waa laga saaray meel aan la aamini karin. Tani waxay kartaa suurogal ahaan u bandhig codsigaaga weeraro. Kala saarista aan sugnayn waxay dhacdaa marka xogta laga leexiyo meel aan la aamini karin ay keento weerarrada DDOS, weerarrada fulinta kood fog, ama xaqiijinta la dhaafo..
Si looga fogaado khalkhal amni darro, qaanuunka suulka ayaa ah inaadan waligaa aaminin xogta isticmaalaha. Isticmaale kasta oo xogta geliyaa waa in la daaweeyo as suurogal ahaan xaasidnimo. Ka fogow kala fogeynta xogta laga helayo ilo aan la aamini karin. Hubi in kala-saaristu ay shaqeyso loo adeegsado Codsigaaga shabakadu waa badbaado.
Isticmaalka Qaybaha leh Nuglaanta la og yahay
Maktabadaha iyo Qaab-dhismeedka ayaa ka dhigay mid aad u dhakhso badan in la horumariyo codsiyada shabakada iyada oo aan loo baahnayn in dib loo soo nooleeyo giraangiraha. Tani waxay yaraynaysaa ku-noqoshada qiimaynta koodhka. Waxay wadada u xaarayaan horumariyayaashu inay diirada saaraan dhinacyo badan oo muhiim ah oo codsiyada ah. Haddii weerarradu ay ka faa'iidaystaan qaab-dhismeedkan, codebase kasta oo isticmaalaya qaab-dhismeedka ayaa lahaan doona la isu tanaasulo.
Soosaarayaasha qaybaha badanaa waxay bixiyaan dhejisyo amniga iyo cusbooneysiinta maktabadaha ka kooban. Si aad uga fogaato dayacanka qaybaha, waa in aad barataa sidaad codsiyadaada ula socodsiin lahayd balastarkii ugu dambeeyay iyo casriyaynta. Qaybaha aan la isticmaalin waa in laga saaro laga bilaabo arjiga in la gooyo vectors weerarka.
Gelida iyo Dabagalka Aan ku filnayn
Gelida iyo la socodka ayaa muhiim u ah in lagu muujiyo waxqabadyada codsigaaga shabakada. Goynta waxay fududaynaysaa in la raadiyo khaladaadka Kormeerka user loins, iyo hawlaha.
Goynta iyo la socodka ku filnaan la'aanta waxay dhacdaa marka dhacdooyinka amniga-muhiimka ah aan la qorin si sax ah. Weeraryahannada ayaa tan ka faa'iidaysta si ay u fuliyaan weerarrada codsigaaga ka hor inta aan la helin wax jawaab ah oo muuqda.
Gelintu waxay ka caawin kartaa shirkaddaada inay kaydiso lacag iyo wakhti sababtoo ah horumariyeyaashaadu way awoodaan si fudud hel cayayaanka. Tani waxay u oggolaanaysaa inay diiradda saaraan xallinta cayayaanka halkii ay raadin lahaayeen. Dhaqan ahaan, gelista ayaa kaa caawin karta in boggaaga iyo server-yadaada ay kor u kacaan oo ay shaqeeyaan mar kasta iyaga oo aan la kulmin wax hoos u dhac ah.
Ugu Dambeyn
Cod wanaagsan ma aha kaliya ku saabsan shaqeynta, waxay ku saabsan tahay ilaalinta isticmaalayaashaada iyo codsigaaga ammaan. 10-ka sare ee OWASP waa liiska khataraha amniga codsiga ee ugu muhiimsan waa kheyraad lacag la'aan ah oo weyn oo loogu talagalay horumariyeyaasha si ay u qoraan shabakadaha ammaansan iyo barnaamijyada mobilada.. Horumarinta kooxdaada si ay u qiimeeyaan oo ay u qoraan khataraha waxay badbaadin karaan wakhtiga iyo lacagta kooxdaada mustaqbalka fog. Haddii aad jeclaan lahayd baro wax badan oo ku saabsan sida loo tababaro kooxdaada OWAP Top 10 guji halkan.
