Топ-10 OWASP - 2017 Десять самых критичных угроз безопасности веб-приложений
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Топ-10 OWASP - 2017
Десять самых критичных угроз безопасности
веб-приложений
Данная работа выпущена под лицензией
https://owasp.org Creative Commons Attribution-ShareAlike 4.0 International LicenseС
1
Содержание
Содержание Об OWASP
Открытый проект по обеспечению безопасности веб-
С - Об OWASP …………………………………………………………… 1 приложений (OWASP) — это открытое сообщество,
позволяющее организациям разрабатывать, приобретать и
П - Предисловие …………………………………………......……… 2 поддерживать безопасные приложения и интерфейсы
прикладного программирования (API).
В - Введение ………..……………….……..…………………………… 3
OWASP бесплатно и в открытом доступе предлагает:
ЧН - Что нового ….………………………………………………………… 4
• стандарты и инструменты для обеспечения безопасности
Угрозы - Угрозы безопасности приложений…………… 5 приложений;
• полные версии книг по тестированию безопасности
Т10 - Топ-10 угроз безопасности приложений
приложений, разработке безопасного кода, а также оценке
OWASP – 2017…………………………………………………….. 6 безопасности кода;
A1:2017 - Внедрение ……..……………………………………..……………… 7 • презентации и видео;
• памятки по большинству распространенных вопросов;
A2:2017 - Недостатки аутентификации ……………………… 8 • стандартные требования к безопасности и библиотеки;
• локальные отделения по всему миру;
A3:2017 - Разглашение конфиденциальных данных. 9 • передовые исследования;
• крупные конференции по всему миру;
A4:2017 - Внешние сущности XML (XXE) ………………… 10
• списки рассылок.
A5:2017 - Недостатки контроля доступа …………………… 11
Более подробная информация доступна на сайте:
A6:2017 - Некорректная настройка параметров https://www.owasp.org.
12
безопасности………………….……………………………………………………………
Все инструменты, документы, видео, презентации и отделения
A7:2017 - Межсайтовое выполнение сценариев OWASP являются бесплатными и открытыми для тех, кто
13 заинтересован в улучшении безопасности приложений.
(XSS)………………………………………………………………………………………………….
Фонд выступает за подход к безопасности приложений с точки
A8:2017 - Небезопасная десериализация………………… 14
зрения проблемы людей, процессов и технологий, поскольку для
A9:2017 - Использование компонентов с наиболее эффективного обеспечения безопасности приложений
требуются улучшения во всех этих областях.
известными уязвимостями .………………………………………………… 15
OWASP представляет собой новый тип организации. Наша
A10:2017 - Недостатки журналирования и независимость от коммерческого влияния позволяет нам
16
мониторинга……………………………………………………………………….…..….. предоставлять беспристрастные, практические и эффективные
данные по безопасности приложений.
+Р - Что делать разработчикам…………………..….… 17
OWASP не связан ни с одной технологической компанией, хотя
+Т - Что делать тестировщикам…………………….…… 18 поддерживает использование технологий промышленной
безопасности. OWASP выпускает большое количество
+О - Что делать организациям……………………….…… 19 материалов, действуя прозрачно и открыто, а также всегда готов к
сотрудничеству.
+М - Что делать менеджерам приложений..... 20
Фонд OWASP является некоммерческой организацией, что
+У - Об угрозах……………………………………………………………… 21 обеспечивает проекту долгосрочный успех. Почти все связанные с
OWASP люди являются добровольцами, включая членов совета
+ФР - О факторах риска……………………………………………… 22 OWASP, руководителей отделений и проектов, а также участников
проекта.
+МД - Методология и данные…………………………..…..… 23 Мы поддерживаем инновационные исследования в области
безопасности, предоставляя гранты и инф раструктуру.
+Б - Благодарности……………………………………………………. 24
Присоединяйтесь к нам!
Авторские права и Лицензирование
Авторские права © 2003 - 2017 Фонд OWASP
Документ выпущен под лицензией Creative Commons Attribution Share-Alike 4.0.
В случае переиспользования или распространения данного документа необходимо
указывать условия лицензионного соглашения, действующие в его отношении.П
2
Предисловие
Предисловие
Ненадежное программное обеспечение подрывает безопасность критических инфраструктур, относящихся,
например, к здравоохранению, обороне, энергетике или финансам. Программное обеспечение становится сложнее,
устройств, подключенных к сети, становится больше, поэтому важность обеспечения безопасности приложений
возрастает экспоненциально. Быстрое развитие методов разработки ПО приводит к необходимости быстро и
безошибочно выявлять, а также устранять наиболее часто возникающие угрозы. Больше нельзя оставлять без
должного внимания относительно простые угрозы безопасности, подобные представленным в данном списке Топ-10
OWASP.
При создании Топ-10 OWASP - 2017 было получено огромное количество отзывов, намного больше чем по любым
другим проектам OWASP. Это показывает, насколько сообщество заинтересовано в Топ-10 OWASP и насколько
важно для OWASP сделать Топ-10 актуальным для большинства сценариев использования.
Несмотря на то, что первоначальная цель проекта Топ-10 OWASP заключалась в простом привлечении внимания
разработчиков и менеджеров к проблемам безопасности, проект де-факто стал стандартом безопасности
приложений.
В этом выпуске проблемы и рекомендации по их устранению описаны кратко и в доступной форме для облегчения
внедрения Топ-10 OWASP в программы обеспечения безопасности приложений. Крупным и
высокопроизводительным организациям, которым требуется настоящий стандарт, мы рекомендуем использовать
Стандарт подтверждения безопасности приложений OWASP (ASVS), но для большинства, при обеспечении
безопасности приложений, будет достаточно Топ-10 OWASP.
Мы также составили перечни рекомендуемых шагов для разных категорий пользователей Топ-10 OWASP, такие как
Что делать разработчикам, Что делать тестировщикам, Что делать организациям (для директоров по
информационным технологиям и директоров по информационной безопасности), а также Что делать менеджерам
приложений (для менеджеров приложений или лиц, ответственных за жизненный цикл приложений).
В конечном счете, мы призываем все команды и организации, занимающиеся разработкой ПО, создать программу
обеспечения безопасности приложений, которая будет соответствовать их культурному и технологическому уровню.
Эти программы могут быть представлены в любой форме и объеме. Для оценки и улучшения существующей
программы обеспечения безопасности приложений в вашей организации вы можете использовать Модель
обеспечения безопасности ПО (SAMM).
Надеемся, что Топ-10 OWASP окажется полезным при обеспечении безопасности ваших приложений. Все вопросы,
комментарии и идеи вы можете оставлять в нашем проектном репозитории на GitHub:
• https://github.com/OWASP/Top10/issues
Топ-10 OWASP и переводы можно найти здесь:
• https://www.owasp.org/index.php/top10
Наконец, мы хотим поблагодарить основателей проекта Топ-10 OWASP, Дейва Вичерса (Dave Wichers) и Джеффа
Вильямса (Jeff Williams), за их вклад и веру в успешное завершение данного документа стараниями сообщества.
Большое вам спасибо!
• Эндрю ван дер Сток (Andrew van der Stock)
• Брайан Глас (Brian Glas)
• Нейл Смитлайн (Neil Smithline)
• Торстен Гиглер (Torsten Gigler)
Поддержка проекта
Благодарим компанию Autodesk за спонсорскую поддержку Топ-10 OWASP 2017.Организации и отдельные лица, предоставившие
данные по преобладающим уязвимостям или оказавшие иное содействие при создании списка, перечислены на странице
"Благодарности".В
3
Введение
Представляем Топ-10 OWASP 2017!
Это крупное обновление включает в себя несколько новых категорий угроз, две из которых были выбраны сообществом
(A8:2017-Небезопасная десериализация и A10:2017-Недостатки журналирования и мониторинга). Два ключевых отличия
подготовки данной версии Топ-10 OWASP заключаются в активной обратной связи сообщества и внушительном объеме
данных, полученном от десятков организаций, возможно, самом большом из когда-либо собранных при подготовке
стандарта по обеспечению безопасности приложений. Все это дает нам уверенность в том, что новая версия Топ-10
OWASP посвящена самым актуальным проблемам безопасности приложений, с которыми сталкиваются организации в
настоящее время.
Топ-10 OWASP 2017 основан главным образом на 40+ комплектах данных, полученных от организаций, которые
специализируются на безопасности приложений, а также на отраслевых исследованиях, проведенных более 500
независимыми исследователями. Данные содержат информацию об уязвимостях, обнаруженных в сотнях организаций и
более 100.000 реальных приложений и API. На основе данных о распространенности, простоте эксплуатации и сложности
обнаружения уязвимостей, а также ущербе, который они могут нанести, составляется список Топ-10.
Основной целью Топ-10 OWASP является ознакомление разработчиков, проектировщиков, архитекторов, менеджеров и
организаций в целом с рисками, связанными с наиболее распространенными и существенными недостатками в
безопасности веб-приложений. Топ-10 также предлагает базовые способы защиты от подобных рисков и руководства по
дальнейшим действиям.
Дорожная карта дальнейших действий Источники
Не останавливайтесь на 10. Существуют сотни угроз, которые Мы благодарны организациям, которые предоставили
могут повлиять на безопасность веб-приложений. Этой теме информацию об уязвимостях для выпуска обновления 2017. На
посвящены Руководство разработчика OWASP и Памятки OWASP. призыв о сборе данных мы получили более 40 откликов.
Данные документы рекомендуются для прочтения всем Впервые все данные, собранные для выпуска Топ-10, а также
разработчикам веб-приложений и API. Инструкции по полный список участников проекта доступен публично. Мы
эффективному обнаружению уязвимостей в веб-приложениях и полагаем, что это одна из самых больших и разносторонних
API представлены в Руководстве OWASP по тестированию.
баз данных по уязвимостям, которая когда-либо собиралась
Продолжайте совершенствоваться. Топ-10 OWASP не стоит на публично.
месте и продолжит меняться. Даже без внесения каких-либо
правок в код в приложениях могут появиться уязвимости, Поскольку участников проекта намного больше, чем
поскольку обнаруживаются новые векторы атак, а методы доступного здесь места, мы создали специальную страницу с
эксплуатации уязвимостей совершенствуются. Для получения указанием внесенного ими вклада. Мы искренне благодарим
дополнительной информации рекомендуем ознакомиться с организации за их решение оказаться на передовой и
советами, представленными в конце Топ-10 в разделах "Что поделиться своими данными с сообществом. Надеемся, что
делать Разработчикам, Тестировщикам, Организациям и подобная практика будет продолжаться и все больше
Менеджерам приложений". организаций будет в этом участвовать; возможно, это станет
одним из ключевых этапов в реализации безопасности на
Мыслите позитивно. Если вы хотите прекратить искать уязвимости
основе фактических данных. Создание Топ-10 OWASP было
и готовы перейти к созданию надежной системы обеспечения
безопасности приложений, то в качестве отправной точки для
бы невозможным без участия всех этих удивительных людей.
разработчиков может послужить проект Реализации проактивной
Также мы хотим поблагодарить более 500 участников проекта,
защиты OWASP, а Стандарт подтверждения безопасности
приложений OWASP (ASVS) станет хорошим руководством для которые потратили свое время на завершение данного
проверяющих организации и приложения по выбору параметров, исследования. Мнения этих людей помогли выделить две
подлежащих контролю. новые категории для Топ-10. Мы ценим все комментарии,
высказывания и критические отзывы, а также потраченное
Используйте инструменты грамотно. Уязвимости могут быть время и хотим выразить вам нашу благодарность.
комплексными и скрываться глубоко в коде. В большинстве
случаев наиболее эффективным подходом к поиску и устранению Хотим поблагодарить участников, которые оставляли свои
недостатков в безопасности является привлечение экспертов, конструктивные замечания и тратили время на
вооруженных продвинутыми инструментами. Но не рекомендуется рецензирование нового выпуска Топ-10. На сколько это
полагаться исключительно на инструменты, поскольку это дает возможно, мы перечислили их на странице ‘Благодарности’.
ложное ощущение безопасности.
И наконец, хотим заранее поблагодарить всех переводчиков,
Развивайтесь во всех направлениях. Сосредоточьтесь на том,
которые будут переводить данный выпуск Топ-10 на
чтобы сделать безопасность неотъемлемой частью вашей
культуры разработки. Дополнительную информацию можно различные языки, помогая тем самым сделать Топ-10 OWASP
получить, ознакомившись с Моделью обеспечения безопасности более доступным.
ПО (SAMM).ЧН
4
Что нового
Что изменилось в 2017 году по сравнению с 2013-м?
Многое изменилось за последние четыре года, поэтому Топ-10 OWASP также требовались изменения. Мы полностью реорганизовали Топ-10, обновили
методологию, применили новый процесс сбора данных, наладили взаимодействие с сообществом, пересмотрели уровни критичности, переписали все
угрозы с нуля и добавили ссылки на наиболее распространенные фреймворки и языки.
За последние годы основные технологии и архитектура приложений сильно изменились:
• Микросервисы, написанные на node.js и Spring Boot, заменяют традиционные монолитные приложения. С приходом микросервисов прибавилось
проблем с безопасностью, таких как установление доверия между микросервисами, контейнерами, управление критичными данными и т. п. Код, к
которому раньше не предполагалось обращение через интернет, теперь располагается за API или веб-сервисами RESTful и может быть использован
одностраничными и мобильными приложениями. Архитектурные допущения в коде, касающиеся, например, доверенных вызывающих функций, более
не актуальны.
• Одностраничные приложения, разработанные с использованием JavaScript-фреймворков (таких как Angular и React), позволяют создавать
многофункциональные, модульные интерфейсы. Функциональные возможности клиентов, которые традиционно обеспечивались на стороне сервера,
также добавляют проблем с безопасностью.
• JavaScript в настоящее время является основным языком в сети интернет, node.js работает на стороне сервера, а современные веб-фреймворки
(такие как Bootstrap, Electron, Angular и React) запускаются в клиентах.
Новые угрозы, выделенные на основе данных:
• A4:2017-Внешние сущности XML (XXE) — новая категория, выделенная на основе данных, полученных при помощи инструментов тестирования
безопасности исходного кода (SAST).
Новые угрозы, выделенные сообществом:
Мы попросили сообщество рассмотреть две перспективные категории угроз. Получив более 500 рецензий и исключив уже выделенные угрозы (такие
как "Разглашение конфиденциальных данных" и "Внешние сущности XML"), были выбраны следующие категории:
• A8:2017-Небезопасная десериализация, которая позволяет удаленно выполнить код или осуществить действия с критичными объектами.
• A10:2017-Недостатки журналирования и мониторинга, которые могут помешать обнаружению вредоносных действий или взломов, реагированию на
инциденты, а также расследованию киберпреступлений.
Объединенные или исключенные, но не забытые:
• A4-Небезопасные прямые ссылки на объекты и A7-Отсутствие контроля доступа на функциональном уровне объединены в A5:2017-Недостатки
контроля доступа.
• A8-Межсайтовая подмена запросов (CSRF) была обнаружена только в 5% приложений, поскольку большинство фреймворков имеют средства
защиты от CSRF.
• A10-Непроверенные перенаправления и переадресации были обнаружены примерно в 8% приложений, но данная категория была вытеснена
Внешними сущностями XML (XXE).
Топ-10 OWASP 2013 Топ-10 OWASP 2017
A1 – Внедрение A1:2017-Внедрение
A2 – Недостатки аутентификации и управления сессиями A2:2017-Недостатки аутентификации
A3 – Межсайтовое выполнение сценариев (XSS) A3:2017-Разглашение конфиденциальных данных
A4 – Небезопасные прямые ссылки на объекты [Объединено с
A7] ∪ A4:2017-Внешние сущности XML (XXE) [Новое]
A5 – Некорректная настройка параметров безопасности A5:2017-Недостатки контроля доступа [Объединено]
A6 – Разглашение конфиденциальных данных A6:2017-Некорректная настройка параметров безопасности
A7 – Отсутствие контроля доступа на функциональном уровне
[Объединено с A4] ∪ A7:2017-Межсайтовое выполнение сценариев (XSS)
A8 – Межсайтовая подмена запросов (CSRF) A8:2017-Небезопасная десериализация [Новое, Сообщество]
A9:2017-Использование компонентов с известными
A9 – Использование компонентов с известными уязвимостями уязвимостями
A10:2017-Недостатки журналирования и мониторинга [Новое,
A10 – Непроверенные перенаправления и переадресации Сообщество]Угрозы Угрозы безопасности
5
приложений
Что такое угрозы безопасности приложений?
Злоумышленники могут нанести ущерб вашему бизнесу или организации, используя ваше приложение. Подобные
способы использования приложения представляют собой угрозы, которые могут (или не могут) быть достаточно
серьезными, чтобы обращать на них внимание.
Источники Векторы Недостатки Настройки Технические Последствия
угроз атак безопасности безопасности последствия для бизнеса
Атака Недостаток Настройка Последствия
Актив
Атака Недостаток Настройка Последствия
Функция
Атака Недостаток Последствия
Актив
Недостаток Настройка
Иногда эти способы легко найти и эксплуатировать, иногда — очень сложно. Аналогичная ситуация с возможным
ущербом: его может не быть совсем или он может лишить вас бизнеса. Чтобы определить риски для вашей
организации, оцените вероятности, связанные с источниками угроз, векторами атак и недостатками безопасности, а
затем объедините их с оценкой технического и репутационного вреда для вашей организации. Сумма этих факторов
определяет совокупный риск.
Что мне грозит? Ссылки
Главной задачей Топ-10 OWASP является определение наиболее серьезных угроз OWASP
безопасности веб-приложений для широкого круга организаций. Для каждой из этих
угроз дается общая информация о вероятности ее возникновения и возможных • Методика оценки рисков OWASP
технических последствиях, полученная и использованием Методики оценки рисков • Раздел о моделировании
OWASP. угроз/рисков
Источники Последствия
Сложность Распространенность Сложность Технические
угроз для
эксплуатации уязвимости обнаружения последствия
бизнеса Сторонние
Очень
• ISO 31000: Менеджмент рисков
Просто: 3 распространенная: Просто: 3 Тяжелые: 3 • ISO 27001: Менеджмент
3 Зависит информационной безопасности
Зависит от • Фреймворк кибербезопасности
от
приложения Средне: 2 Распространенная: 2 Средне: 2 Умеренные: 2
бизнеса NIST (US)
Незначительные: • Методы устранения последствий
Сложно: 1 Редкая: 1 Сложно: 1 1 кибератак (AU)
В этом выпуске мы обновили систему оценки рисков для облегчения расчета • NIST CVSS 3.0
вероятности возникновения и возможного ущерба для любой угрозы. Более подробную • Средства моделирования угроз
инф ормацию можно узнать в разделе Об угрозах. Microsoft
Нет одинаковых организаций, как нет одинаковых злоумышленников, целей и
последствий атак. Если одна организация использует некую систему управления
контентом (CMS) для публикации новостей, а система здравоохранения использует
такую же систему для хранения медицинских данных, то угрозы и риски для этих
организаций будут сильно отличаться. Очень важно определять риски для вашей
организации, исходя из применимых к ней угроз и возможных последствий атак.
Где это возможно, для унификации общепринятых наименований и снижения риска
возникновения путаницы, названия угроз в Топ-10 соответствуют названиям
уязвимостей из списка CWE.T10
6
Топ-10 OWASP
Угрозы безопасности приложений – 2017
Уязвимости, связанные, например, с внедрением SQL, NoSQL, OS и LDAP, возникают,
когда непроверенные данные отправляются интерпретатору в составе команды или
A1:2017- запроса. Вредоносные данные могут заставить интерпретатор выполнить
Внедрение непредусмотренные команды или обратиться к данным без прохождения соответствующей
авторизации.
A2:2017- Функции приложений, связанные с аутентификацией и управлением сессиями, часто
некорректно реализуются, позволяя злоумышленникам скомпрометировать пароли, ключи
Недостатки или сессионные токены, а также эксплуатировать другие ошибки реализации для
аутентификации временного или постоянного перехвата учетных записей пользователей.
Многие веб-приложения и API имеют плохую защиту критичных финансовых, медицинских
A3:2017- или персональных данных. Злоумышленники могут похитить или изменить эти данные, а
Разглашение затем осуществить мошеннические действия с кредитными картами или персональными
конфиденциальных данными. Конфиденциальные данные требуют дополнительных мер защиты, например их
данных шифрования при хранении или передаче, а также специальных мер предосторожности при
работе с браузером.
A4:2017-Внешние Старые или плохо настроенные XML-процессоры обрабатывают ссылки на внешние
сущности XML сущности внутри документов. Эти сущности могут быть использованы для доступа к
внутренним файлам через обработчики URI файлов, общие папки, сканирование портов,
(XXE) удаленное выполнения кода и отказ в обслуживании.
Действия, разрешенные аутентифицированным пользователям, зачастую некорректно
A5:2017- контролируются. Злоумышленники могут воспользоваться этими недостатками и получить
Недостатки несанкционированный доступ к учетным записям других пользователей или
контроля доступа конфиденциальной информации, а также изменить пользовательские данные или права
доступа.
Некорректная настройка безопасности является распространенной ошибкой. Это
происходит из-за использования стандартных параметров безопасности, неполной или
A6:2017-Некорректная специфичной настройки, открытого облачного хранения, некорректных HTTP-заголовков и
настройка параметров подробных сообщений об ошибках, содержащих критичные данные. Все ОС, фреймворки,
безопасности библиотеки и приложения должны быть не только настроены должным образом, но и
своевременно корректироваться и обновляться.
XSS имеет место, когда приложение добавляет непроверенные данные на новую веб-
A7:2017- страницу без их соответствующей проверки или преобразования, или когда обновляет
Межсайтовое открытую страницу через API браузера, используя предоставленные пользователем
выполнение данные, содержащие HTML- или JavaScript-код. С помощью XSS злоумышленники могут
сценариев (XSS) выполнять сценарии в браузере жертвы, позволяющие им перехватывать
пользовательские сессии, подменять страницы сайта или перенаправлять пользователей
на вредоносные сайты.
A8:2017- Небезопасная десериализация часто приводит к удаленному выполнению кода. Ошибки
Небезопасная десериализации, не приводящие к удаленному выполнению кода, могут быть использованы
десериализация для атак с повторным воспроизведением, внедрением и повышением привилегий.
A9:2017- Компоненты, такие как библиотеки, фреймворки и программные модули, запускаются с
Использование привилегиями приложения. Эксплуатация уязвимого компонента может привести к потере
компонентов с данных или перехвату контроля над сервером. Использование приложениями и API
известными компонентов с известными уязвимостями может нарушить защиту приложения и привести
уязвимостями к серьезным последствиям.
Недостатки журналирования и мониторинга, а также отсутствие или неэффективное
A10:2017- использование системы реагирования на инциденты, позволяет злоумышленникам
Недостатки развить атаку, скрыть свое присутствие и проникнуть в другие системы, а также изменить,
журналирования извлечь или уничтожить данные. Проникновение в систему обычно обнаруживают только
и мониторинга через 200 дней и, как правило, сторонние исследователи, а не в рамках внутренних
проверок или мониторинга.A1 Внедрение
7
:2017
Threat
Источники Attack
Векторы Security
Недостатки
Agents
угроз Impacts
Последствия
Vectors
атак Weakness
безопасности
Зависит
App. от
Specific Сложность Распространенность: Сложность Business
Для ?
Технические: 3
приложения эксплуатации: 3 2 обнаружения: 3 бизнеса ?
Почти любой источник данных может Внедрения особенно распространены в старом коде. Внедрения могут привести к потере
оказаться вектором для внедрения: Уязвимости часто встречаются в SQL- LDAP-, XPath- данных, их повреждению или
переменные окружения, параметры, или NoSQL-запросах, системных командах, XML- разглашению третьим лицам, а также к
внешние и внутренние веб-службы, а обработчиках, SMTP-заголовках, языках выражений и отказу в обслуживании. В некоторых
также все типы пользователей. ORM-запросах. случаях контроль над узлом может
Внедрения становятся возможными, быть полностью перехвачен.
Внедрения легко обнаружить при анализе кода.
если злоумышленник может отправлять
Сканеры и фаззеры могут помочь злоумышленникам Последствия для бизнеса зависят от
интерпретатору вредоносные данные.
найти подобные уязвимости. критичности приложения и данных.
Является ли приложение уязвимым? Как предотвратить
Приложение уязвимо, если: Для предотвращения внедрений необходимо изолировать данные от
• вводимые пользователем данные не проверяются, не фильтруются команд и запросов.
или не очищаются; • Используйте безопасный API, исключающий применение
• динамические запросы или непараметризованные вызовы без интерпретатора или предоставляющий параметризованный
контекстного экранирования напрямую используются в интерфейс, либо используйте инструменты объектно-реляционного
интерпретаторе; отображения (ORM).
• вредоносные данные используются в поисковых параметрах Примечание: даже параметризованные хранимые процедуры могут
объектно-реляционного отображения для извлечения привести к SQL-внедрениям, если PL/SQL или T-SQL позволяют
дополнительной, критичной информации; присоединять запросы и данные или выполнять вредоносный код с
• вредоносные данные используются или добавляются т.о., что SQL- помощью EXECUTE IMMEDIATE или exec().
код или команды содержат структурные и вредоносные данные в • Реализуйте на сервере белые списки для проверки входных
динамических запросах, командах или хранимых процедурах. данных. Это, конечно, не обеспечит полную защиту, поскольку
Наиболее распространенными являются SQL-, NoSQL-, ORM-, многие приложения используют спецсимволы, например, в
LDAP-, EL- или OGNL-внедрения, а также внедрения команд ОС. То текстовых областях или API для мобильных приложений.
же самое касается всех интерпретаторов. Анализ исходного кода • Для остальных динамических запросов реализуйте экранирование
является лучшим способом обнаружения внедрений, за которым спецсимволов, используя соответствующий интерпретатору
следует полное автоматизированное тестирование всех вводимых синтаксис.
параметров, заголовков, URL, куки, JSON-, SOAP- и XML-данных. Примечание: элементы SQL-структуры, такие как названия таблиц
Организации также могут включать в процесс непрерывной или столбцов, нельзя экранировать, поэтому предоставляемые
интеграции и развертывания ПО (CI/CD) статическое (SAST) и пользователями названия представляют опасность. Это обычная
динамическое (DAST) тестирование кода и приложений для проблема программ для составления отчетов.
обнаружения новых уязвимостей перед внедрением приложений в • Используйте в запросах LIMIT или другие элементы управления
производство. SQL для предотвращения утечек данных.
Примеры сценариев атак Ссылки OWASP
• Проактивная защита OWASP: Параметризация запросов
Сценарий №1 Приложение использует недоверенные данные при
создании следующего уязвимого SQL-вызова: • Стандарт подтверждения безопасности приложений OWASP
(ASVS): V5 Проверка входных данных и кодировки
String query = "SELECT * FROM accounts WHERE • Руководство OWASP по тестированию: Внедрение SQL-кода,
custID='" + request.getParameter("id") + "'"; команд, ORM
Сценарий №2 Безоговорочное доверие приложений к фреймворкам • Памятка OWASP: Предотвращение внедрений
может привести к появлению уязвимых запросов (например, в • Памятка OWASP: Предотвращение SQL-внедрений
языке запросов HQL):
• Памятка OWASP: Предотвращение внедрений в Java
Query HQLQuery = session.createQuery("FROM accounts • Памятка OWASP: Параметризация запросов
WHERE custID='" + request.getParameter("id") + "'"); • Справочник OWASP по автоматизированным атакам на веб-
В обоих случаях злоумышленник изменяет в своем браузере приложения – OAT-014
значение параметра "id" для отправки ' or '1'='1. Например: Сторонние
http://example.com/app/accountView?id=' or '1'='1 • CWE-77: Внедрение команд
• CWE-89: Внедрение SQL
Изменение обоих запросов позволяет получить все записи из
таблицы учетных данных. Более серьезные атаки позволяют • CWE-564: Внедрение SQL-кода с использованием Hibernate
изменить или удалить данные, а также вызвать хранимые • CWE-917: Внедрение кода языка выражений
процедуры. • PortSwigger: Внедрение в серверные шаблоны8
A2 Недостатки аутентификации
:2017
Threat
Источники Attack
Векторы Security
Недостатки
Agents
угроз Impacts
Последствия
Vectors
атак Weakness
безопасности
Зависит
App. от
Specific Сложность Распространенность: Сложность Business
Для ?
Технические: 3
приложения эксплуатации: 3 2 обнаружения: 2 бизнеса ?
Злоумышленники имеют доступ к сотням Недостатки аутентификации очень распространены из-за Для компрометации системы злоумышленнику
тысяч действительных комбинаций имен исполнения и реализации большинства средств достаточно получить доступ к нескольким
и паролей для атак на учетные записи, идентификации и контроля доступа. Управление сессиями обычным или одной администраторской
учетной записи. В зависимости от области
спискам стандартных учетных данных является основой аутентификации и контроля доступа и
использования приложения результатом
администраторов, инструментам для присутствует во всех приложениях с контролем состояния. может стать отмывание денег, мошенничество
автоматизации атак методом подбора и в сфере социального обеспечения или кража
Атакующие могут обнаружить недостатки аутентификации
атак по словарям. Атаки на сессии персональных данных, а также разглашение
вручную и эксплуатировать их, используя
хорошо изучены, особенно в части охраняемой законом, конфиденциальной
автоматизированные инструменты, списки паролей и атаки информации.
действующих токенов сессий.
по словарю.
Является ли приложение Как предотвратить
уязвимым? • Где это возможно, реализуйте многофакторную аутентификацию для
предотвращения автоматизированных атак, атак на учетные записи и
Подтверждение личности пользователя, аутентификация и управление методом подбора, а также повторного использования украденных учетных
сессиями играют важную роль в защите от атак, связанных с данных.
аутентификацией.
• Не используйте создаваемые по умолчанию (стандартные) учетные
Приложение имеет недостатки в аутентификации, если: данные, особенно для администраторов.
• допускается проведение автоматизированных атак, например, на учетные • Реализуйте проверку надежности паролей, например, проверяя вновь
записи, когда у атакующего есть список действующих имен и паролей создаваемые или изменяемые пароли по списку "10000 наихудших
пользователей; паролей".
• допускается проведение атак методом подбора или других • Установите длину, сложность и периодичность смены паролей в
автоматизированных атак; соответствии с руководством NIST 800-63 B (раздел 5.1.1 "Запоминаемые
• допускается использование стандартных, ненадежных или хорошо секреты") или любой другой современной парольной политикой.
известных паролей, например, "Password1" или "admin/admin“; • Обеспечьте защиту регистрации, восстановления учетных данных и API от
• используются ненадежные или неэффективные методы восстановления атак методом перечисления, используя во всех ответах одинаковые
учетных данных и паролей, например, "ответы на основе знаний", которые сообщения.
являются небезопасными; • Ограничьте или значительно увеличьте интервал между неудачными
• используются незашифрованные, зашифрованные или ненадежно попытками входа. Регистрируйте все неудачные попытки и уведомляйте
хешированные пароли (см. A3:2017-Разглашение конфиденциальных данных); администраторов при обнаружении атак на учетные данные, методом
• отсутствует или является неэффективной многофакторная аутентификация; подбора или любых других атак.
• отображаются идентификаторы сессии в URL (например, перезапись URL); • Используйте серверные, надежные, встроенные менеджеры сессий,
генерирующие после входа в систему новые, случайные идентификаторы с
• не меняются идентификаторы сессий после успешного входа в систему;
высокой степенью энтропии. Идентификаторы сессий не должны
• некорректно аннулируются идентификаторы сессий. Пользовательские присутствовать в URL, а должны безопасно храниться и аннулироваться
сессии или токены аутентификации (в частности, токены единого входа после выхода из системы, простоя или наступления абсолютного тайм-аута.
(SSO)) неправильно аннулируются при выходе из системы или бездействии.
Примеры сценариев атак Ссылки
Сценарий №1: Атака на учетные записи, с использованием OWASP
списков известных паролей, является очень распространенной. • Проактивная защита OWASP: реализация защиты
Если в приложении нет защиты от автоматизированных атак или идентификационных данных и аутентиф икации
атак на учетные записи, то оно может быть использовано для
• Стандарт подтверждения безопасности приложений OWASP
определения действующих учетных данных.
(ASVS): V2 Аутентиф икация, V3 Управление сессиями
Сценарий №2: Большинство атак на аутентиф икацию связано с • Руководство OWASP по тестированию: Идентиф икационные
использованием исключительно паролей. Ранее считавшиеся
данные, Аутентиф икация
хорошими требования к смене пароля и его сложности
способствуют использованию и переиспользованию • Памятка OWASP: Аутентификация
пользователями ненадежных паролей. Организациям • Памятка OWASP: Утечка учётных данных
рекомендуется отказаться от подобной практики (см. NIST 800-63) и • Памятка OWASP: Забытый пароль
внедрить многофакторную аутентиф икацию. • Памятка OWASP: Управление сессиями
Сценарий №3: Тайм-ауты сессий настроены некорректно. Люди • Справочник OWASP по автоматизированным атакам
используют общедоступные компьютеры для доступа к
приложению, а вместо "выхода из приложения" просто закрывают Сторонние
вкладку и уходят. Злоумышленник может открыть тот же самый • NIST 800-63b: 5.1.1 Запоминаемые секреты
браузер, спустя час, и воспользоваться все еще действующей • CWE-287: Некорректная аутентификация
аутентификацией пользователя. • CWE-384: Фиксация сессииA3 Разглашение 9
:2017 конфиденциальных данных
Threat Attack Security
Agents Impacts
Vectors Weakness
App. Specific Сложность Распространенность: Сложность Business ?
Технические: 3
эксплуатации: 2 3 обнаружения: 2
Вместо взлома механизмов шифрования На протяжении последних лет данная атака является Из-за уязвимости часто страдают все
злоумышленники крадут ключи, проводят самой распространенной и опасной. Чаще всего персональные данные (медицинские
атаки по принципу "человек посередине" или встречается отсутствие шифрования конфиденциальных записи, учетные данные, данные
получают данные в незашифрованном виде с данных, а при наличии часто используются ненадежные
сервера, в процессе их передачи или из
кредитных карт), которые должны быть
алгоритмы, протоколы, шифры, методы хранения защищены по закону, например, в
клиента пользователя, например, браузера.
Подобные атаки обычно проводятся вручную. хешированных паролей или методы создания и соответствии с Общим регламентом ЕС
Ранее полученные базы данных паролей управления ключами. Также легко обнаружить уязвимости по защите данных (GDPR) или
могут быть взломаны методом подбора с на стороне сервера для передаваемых данных, но не локальными законами о
использованием графических процессоров. хранимых. неприкосновенности данных.
Является ли приложение Как предотвратить
уязвимым? Выполните, как минимум, следующее, а также ознакомьтесь с материалами в
разделе "Ссылки":
Прежде всего необходимо определить требуемый уровень защиты данных
• Классифицируйте данные, обрабатываемые, хранимые или передаваемые
при их передаче и хранении. Например, пароли, номера кредитных карт,
приложением. Определите какие из них являются конфиденциальными
медицинские записи, персональные данные и коммерческие тайны требуют
согласно законам о неприкосновенности данных, нормативам или бизнес-
дополнительной защиты, особенно если они подпадают под действие закона
требованиям.
о неприкосновенности данных (напр., Общего регламента ЕС по защите
данных (GDPR)) или закона о защите финансовых данных (напр., Стандарта • Реализуйте требования согласно классификации.
безопасности данных в сфере платежных карт (PCI DSS)). • Не храните конфиденциальные данные без необходимости. Сразу удаляйте
• Шифруются ли передаваемые данные? Это касается протоколов передачи их или используйте токенизацию или усечение, соответствующие стандарту
данных, таких как HTTP, SMTP и FTP. Особенно опасен внешний интернет- PCI DSS. Данные, которые не сохраняются, нельзя украсть.
трафик. Проверьте весь внутренний трафик, например, между • Обеспечьте шифрование всех хранимых конфиденциальных данных.
балансировщиками нагрузки, веб-серверами и внутренними системами. • Обеспечьте применение современных и надежных алгоритмов, протоколов
• Шифруются ли хранилища критичных данных, а также резервные копии? и ключей, а также используйте соответствующие механизмы управления
• Используются ли по умолчанию или в более ранних версиях устаревшие или ключами.
ненадежные алгоритмы шифрования? • Шифруйте все передаваемые данные с помощью надежного протокола,
• Используются ли созданные по умолчанию, ненадежные или одинаковые например, TLS с совершенной прямой секретностью (PFS), приоритизацией
шифроключи, а также применяются ли соответствующие механизмы шифров сервером и безопасными настройками. Обеспечьте
контроля и смены ключей? принудительное шифрование, например, используя механизм
принудительного использования HTTPS (HSTS).
• Используется ли шифрование, например, присутствуют ли директивы
безопасности пользовательских агентов (браузеров) и заголовки? • Отключите кэширование ответов, содержащих конфиденциальные данные.
• Проверяет ли пользовательский агент (напр., приложение или почтовый • Сохраняйте пароли с помощью надежных, адаптивных функций
клиент) действительность полученных сертификатов? хеширования с солью и фактором трудоемкости (задержки), таких как
Argon2, scrypt, bcrypt или PBKDF2.
См. Стандарт подтверждения безопасности приложений: Криптография (V7),
Защита данных (V9) и SSL/TLS (V10). • Проверяйте отдельно эффективность конфигурации и настройки.
Примеры сценариев атак Ссылки
Сценарий №1: Приложение шифрует номера кредитных карт в базе данных, OWASP
используя автоматическое шифрование БД. Однако эти данные • Проактивная защита OWASP: Защита данных
автоматически расшифровываются при извлечении, позволяя с помощью
внедрения SQL-кода получить данные кредитных карт в незашифрованном • Стандарт подтверждения безопасности приложений OWASP (V7,9,10)
виде. • Памятка OWASP: Защита транспортного уровня
Сценарий №2: Сайт не использует TLS для всех страниц или поддерживает • Памятка OWASP: Защита конфиденциальности пользователей
ненадежное шифрование. Злоумышленник может просмотреть сетевой
• Памятка OWASP: Хранение паролей и хранение в зашифрованном виде
трафик (например, в небезопасной беспроводной сети), переключить
соединение с HTTPS на HTTP, перехватить запросы и похитить сессионные • Проект OWASP: Безопасные заголовки; Памятка по HSTS
куки. После этого он может использовать полученные куки для перехвата • Руководство OWASP по тестированию: Проверка надежности шифрования
сессии пользователя (прошедшего аутентификацию), изменив личные
данные пользователя. Также злоумышленник может изменить все Сторонние
передаваемые данные , например, получателя денежного перевода. • CWE-202: Разглашение конфиденциальных данных, связанное с запросами
Сценарий №3: Для сохранения паролей в базе данных не используется соль • CWE-310: Уязвимости, связанные с криптографией; CWE-311: Отсутствие шиф рования
или используется простой алгоритм хеширования. Уязвимость в загрузке
файлов позволяет злоумышленнику получить БД паролей. Все хеш- • CWE-312: Хранение критичных данных в незашифрованном виде
значения без соли могут быть восстановлены с помощью радужной таблицы • CWE-319: Передача критичных данных в незашифрованном виде
предварительно рассчитанных хешей. Хеш-значения, рассчитанные с
• CWE-326: Ненадежное шифрование; CWE-327: Скомпрометированный
использованием простых или быстрых хеш-функций, могут быть взломаны с
помощью графических процессоров, даже если для них использовалась криптоалгоритм
соль. • CWE-359: Разглашение личных данных (Нарушение конфиденциальности)A4 Внешние сущности XML (XXE)
10
:2017
Threat Attack Security
Agents Impacts
Vectors Weakness
App. Specific Сложность Распространенность: Сложность Business ?
Технические: 3
эксплуатации: 2 2 обнаружения: 3
Злоумышленники могут эксплуатировать По умолчанию, большинство старых обработчиков XML Подобные уязвимости могут использоваться
уязвимые обработчики XML через загрузку позволяют задавать внешние сущности, URI, которые для получения данных, выполнения
разыменовываются и вычисляются при обработке XML. удаленных запросов с сервера, сканирования
XML или внедрение вредоносного контента в
Инструменты SAST позволяют обнаружить уязвимость путем внутренней системы, провоцирования отказа
XML-документы, используя уязвимый код, в обслуживании, а также осуществления
проверки зависимостей и конфигурации. Инструменты DAST
зависимости или компоненты. других атак.
требуют дополнительных операций, выполняемых вручную, для
обнаружения и эксплуатации уязвимости. Тестировщиков, Последствия для бизнеса зависят от
выполняющих проверки вручную, необходимо обучать XXE- критичности защиты всех уязвимых
тестированию, поскольку подобные проверки обычно (по приложений и данных.
состоянию на 2017 г.) не проводятся.
Является ли приложение Как предотвратить
Обучение разработчиков имеет большое значение для выявления и
уязвимым? противодействия XXE. Кроме того, для предотвращения XXE
Приложения, в особенности веб-службы или компоненты на основе необходимо:
XML, являются уязвимыми в следующих случаях: • использовать, по возможности, более простые форматы данных,
• приложение принимает XML напрямую или через выгрузку, особенно например, JSON, и избегать сериализации критичных данных;
от недоверенных источников, или включает непроверенные данные в • установить исправления или обновления для всех библиотек и
XML-документы, которые затем обрабатываются XML-обработчиком; обработчиков XML, используемых приложением или ОС. Использовать
проверки зависимостей. Обновить SOAP до версии 1.2 или выше;
• хотя бы один из XML-обработчиков приложения или веб-службы на • отключить обработку внешних сущностей XML и DTD во всех XML-
основе SOAP использует определение типа документов (DTD). обработчиках приложения, согласно "Памятке OWASP по
Поскольку механизм отключения DTD зависит от обработчика, предотвращению XXE";
рекомендуется воспользоваться справочной информацией, • реализовать на сервере (по белым спискам) проверку, фильтрацию или
например, "Памяткой OWASP по предотвращению XXE"; очистку (экранирование) входных данных для предотвращения попадания
вредоносных данных в XML-документы, заголовки или узлы;
• приложение использует SAML для идентификации в рамках • удостовериться, что функция загрузки XML или XSL проверяет входящие
федеративной безопасности или технологии единого входа (SSO). файлы с использованием XSD или другой подобной методики;
SAML использует XML для подтверждения идентификаторов, • анализировать код масштабных и сложных приложений со
поэтому может быть уязвим; множеством встраиваемых компонентов вручную, хотя инструменты
• приложение использует SOAP версии ниже 1.2. Оно может быть SAST могут помочь обнаружить XXE в исходном коде.
уязвимо для XXE-атак, если XML-сущности передаются фреймворку Если выполнение данных требований не возможно, попробуйте
SOAP; использовать виртуальные патчи, шлюзы безопасности API или
• если приложение уязвимо для XXE-атак, то злоумышленник может файрволы веб-приложений (WAF) для обнаружения, мониторинга и
также вызвать отказ в обслуживании или осуществить атаку с блокировки XXE-атак.
использованием миллиона XML-сущностей (Billion Laughs).
Примеры сценариев атак Ссылки
Было зафиксировано большое количество XXE-атак, включая атаки OWASP
на встроенные устройства. XXE обнаруживаются в самых
неожиданных местах, включая глубоко вложенные зависимости. • Стандарт подтверждения безопасности приложений
Самым простым способом реализации атаки является загрузка OWASP
(если поддерживается) вредоносного XML-ф айла: • Руководство OWASP по тестированию: Проверка
Сценарий №1: Злоумышленник пытается получить данные с внедрения XML
сервера: • OWASP: Уязвимость XXE
• Памятка OWASP: Предотвращение XXE
]>
&xxe; Сторонние
Сценарий №2: Злоумышленник исследует внутреннюю сеть • CWE-611: Некорректное ограничение ссылок на внешние
сервера, заменяя вышеуказанную строку ENTITY на: сущности XML
]> • Атака Billion Laughs (с использованием миллиона XML-
Сценарий №3: Злоумышленник пытается вызвать отказ в сущностей)
обслуживании, используя потенциально бесконечный файл: • Атака на SAML с использованием внешних сущностей XML
]> • Обнаружение и эксплуатация XXE в SAML-интерфейсахA5 Недостатки контроля 11
:2017 доступа
Threat Attack Security
Agents Impacts
Vectors Weakness
App. Specific Сложность Распространенность: Сложность Business ?
Технические: 3
эксплуатации: 2 2 обнаружения: 2
Эксплуатация контроля доступа является Уязвимости, связанные с контролем доступа, довольно Технические последствия: выполнение
основным навыком злоумышленников. распространены из-за отсутствия автоматического обнаружения злоумышленником действий с правами
Инструменты SAST и DAST могут и эффективного функционального тестирования пользователя или администратора;
обнаружить отсутствие контроля доступа, но разработчиками. использование пользователем
не могут проверить его работоспособность привилегированных функций; создание,
Контроль доступа обычно не проверяется автоматическими просмотр, обновление или удаление любых
при его наличии. Наличие контроля доступа
статическими или динамическими тестами. Тестирование вручную записей.
можно обнаружить вручную, а его
— наилучший способ обнаружения отсутствия или
отсутствие можно обнаружить неэффективности контроля доступа, включая методы HTTP (GET, Последствия для бизнеса зависят от
автоматически в некоторых фреймворках. PUT и т. п.), контроллеры, прямые ссылки на объекты и т. д. критичности защиты приложения и данных.
Является ли приложение уязвимым? Как предотвратить
Контроль доступа предполагает наличие политики, определяющей Контроль доступа эффективен только при реализации через проверенный
права пользователей. Обход ограничений доступа обычно приводит к код на стороне сервера или беcсерверный API, где атакующий не может
несанкционированному разглашению, изменению или уничтожению изменять проверки прав доступа или метаданные. Рекомендуется:
данных, а также выполнению непредусмотренных полномочиями • запрещать доступ по умолчанию, за исключением открытых ресурсов;
бизнес-функций. Наиболее распространенные уязвимости контроля
• реализовать механизмы контроля доступа и использовать их во всех
доступа включают:
приложениях, а также минимизировать междоменное использование
• обход ограничений доступа путем изменения URL, внутреннего состояния
приложения или HTML-страницы, а также с помощью специально ресурсов;
разработанных API; • контролировать доступ к моделям, используя владение записями, а не
• возможность изменения первичного ключа для доступа к записям других возможность пользователей создавать, просматривать, обновлять или
пользователей, включая просмотр или редактирование чужой учетной удалять любые записи;
записи;
• использовать модели доменов для реализации специальных ограничений,
• повышение привилегий. Выполнение операций с правами пользователя, не
относящихся к приложениям;
входя в систему, или с правами администратора, войдя в систему с правами
пользователя; • отключить вывод списка каталогов веб-сервера, а также обеспечить
• манипуляции с метаданными, например, повторное воспроизведение или отсутствие метаданных файлов (например, .git) и файлов резервных копий
подмена токенов контроля доступа JWT или куки-файлов, а также в корневых веб-каталогах;
изменение скрытых полей для повышения привилегий или некорректное
• регистрировать сбои контроля доступа и уведомлять администраторов при
аннулирование JWT;
необходимости (например, если сбои повторяются);
• несанкционированный доступ к API из-за некорректной настройки
междоменного использования ресурсов (CORS); • ограничивать частоту доступа к API и контроллерам для минимизации
• доступ неаутентифицированных пользователей к страницам, требующим ущерба от инструментов автоматизации атак;
аутентификации, или доступ непривилегированных пользователей к • аннулировать токены JWT на сервере после выхода из системы.
привилегированным страницам. Доступ к API с отсутствующим контролем
привилегий для POST-, PUT- и DELETE-методов/запросов. Разработчики и инженеры по контролю качества ПО должны проводить
функциональную проверку контроля доступа и тестировать интеграцию.
Примеры сценариев атак Ссылки
Сценарий №1: Приложение использует непроверенные данные в OWASP
SQL-вызове, который обращается к инф ормации об учетной записи:
• Проактивная защита OWASP: Контроль доступа
pstmt.setString(1, request.getParameter("acct")); • Стандарт подтверждения безопасности приложений
ResultSet results = pstmt.executeQuery( ); OWASP: V4 Контроль доступа
Злоумышленник изменяет в браузере параметр 'acct' для отправки • Руководство OWASP по тестированию: Проверка
желаемого номера учетной записи. Без должной проверки атакующий авторизации
может получить доступ к учетной записи любого пользователя.
• Памятка OWASP: Контроль доступа
http://example.com/app/accountInfo?acct=notmyacct
Сторонние
Сценарий №2: Злоумышленник задает в браузере целевой URL.
Для доступа к странице администрирования требуются права • CWE-22: Некорректные ограничения путей для каталогов
администратора. (Подмена пути)
• CWE-284: Некорректное управление доступом (Авторизация)
http://example.com/app/getappInfo
• CWE-285: Некорректная авторизация
http://example.com/app/admin_getappInfo
• CWE-639: Обход авторизации, используя значение ключа
Уязвимость существует, если пользователь без аутентиф икации
пользователя
может получить доступ к этим страницам или если пользователь
без прав администратора может получить доступ к странице • PortSwigger: Эксплуатация некорректно настроенного
администрирования. междоменного использования ресурсовA6 Некорректная настройка 12
:2017 параметров безопасности
Threat Attack Security
Agents Impacts
Vectors Weakness
App. Specific Сложность Распространенность: Сложность Business ?
Технические: 2
эксплуатации: 3 3 обнаружения: 3
Злоумышленники часто пытаются Настройка безопасности может быть выполнена Подобные уязвимости позволяют
эксплуатировать неисправленные некорректно на любом уровне приложения, включая злоумышленникам получить
уязвимости, настроенные по сетевые службы, платформы, веб-службы, сервер, базу несанкционированный доступ к
умолчанию учетные записи, данных, фреймворки, код, а также предустановленные системным данным или функциям, а
неиспользуемые страницы, виртуальные машины, контейнеры или хранилища. Для также могут привести к полной
поиска уязвимых настроек, настроенных по умолчанию компрометации системы.
незащищенные файлы и каталоги для
учетных записей, неиспользуемых служб, устаревших Последствия для бизнеса зависят от
получения несанкционированного
параметров и т. п. можно использовать критичности защиты приложения и
доступа или информации о системе. автоматизированные сканеры. данных.
Является ли приложение уязвимым? Как предотвратить
Приложение уязвимо, если: Необходимо реализовать процесс безопасной установки, включая:
• любой из компонентов приложения недостаточно защищен или • воспроизводимость процессов для быстрого создания безопасных,
разрешения облачных сервисов некорректно настроены; изолированных сред. Среды для разработки, контроля качества и
• включены или присутствуют лишние функции (например, эксплуатации должны быть настроены одинаково, но иметь разные
неиспользуемые порты, службы, страницы, учетные записи или учетные данные. Процессы должны быть автоматизированы для
минимизации затрат на создание новых безопасных сред;
привилегии);
• использование платформ только с необходимым набором функций,
• учетные записи и пароли, создаваемые по умолчанию, используются
компонентов, документации и образцов. Удалите или не
без изменений; устанавливайте лишние компоненты или фреймворки;
• обработка ошибок позволяет осуществить трассировку стека или • проверку и актуализацию параметров настройки безопасности в
получить слишком подробные сообщения об ошибках; соответствии с выпускаемыми бюллетенями, обновлениями и
• отключены или некорректно настроены последние обновления исправлениями (см. A9:2017-Использование компонентов с
безопасности; известными уязвимостями), а также проверку разрешений облачных
хранилищ (например, для контейнеров S3);
• не выбраны безопасные значения параметров защиты серверов
приложений, фреймворков (например, Struts, Spring, ASP.NET), • создание сегментированной архитектуры приложения,
библиотек и т. п.; обеспечивающей эффективное разграничение компонентов или
клиентов с помощью контейнеризации или облачных групп
• сервер не использует безопасные заголовки или директивы, а также безопасности;
если они некорректно настроены;
• использование безопасных директив для клиентов, например,
• ПО устарело или имеет уязвимости (см. A9:2017-Использование Безопасных заголовков;
компонентов с известными уязвимостями). • автоматизацию проверки эффективности используемых
Без организованной и регулярно выполняемой проверки безопасности конфигураций и настроек во всех средах.
приложений системы подвержены большему риску.
Примеры сценариев атак Ссылки
Сценарий №1 Сервер приложений поставляется с образцами приложений, OWASP
которые не удаляются с рабочего сервера. Эти приложения содержат
известные уязвимости, позволяющие злоумышленникам скомпрометировать
• Руководство OWASP по тестированию: Управление
сервер. Если одно из этих приложений является консолью администратора, а
конфигурацией
стандартные учетные записи не менялись, то атакующий может войти в • Руководство OWASP по тестированию: Коды ошибок
приложение и перехватить контроль над ним, используя стандартный пароль. • Проект OWASP: Безопасные заголовки
Сценарий №2 На сервере не отключен вывод списка файлов в каталогах, что Для получения дополнительной информации по данной теме
позволяет злоумышленнику найти и выгрузить скомпилированные Java- см. "Стандарт подтверждения безопасности приложений
классы, после декомпиляции и обратного анализа которых можно (ASVS): V19 Конфигурация".
просмотреть исходный код. В результате атакующий может обнаружить
уязвимости и получить доступ к приложению.
Сторонние
Сценарий №3 Сервер приложений настроен на отправку подробных сообщений об
• Руководство NIST по повышению безопасности серверов
ошибках, включая данные о трассировке стека. Это может привести к разглашению • CWE-2: Уязвимости, связанные со средой
важной информации, например, о версии компонента, содержащей известные • CWE-16: Уязвимости, связанные с конфигурацией
уязвимости. • CWE-388: Уязвимости, связанные с обработкой ошибок
Сценарий №4 Поставщик облачных услуг использует стандартные • Руководства/стандарты CIS по настройке безопасности
разрешения общего доступа через интернет для других пользователей
облака. Это позволяет получить доступ к конфиденциальной информации,
• Обнаружение и перечисление контейнеров Amazon S3
доступной в облачном хранилище.Вы также можете почитать
