Что такое OWASP и его основные риски?

OWASP Программирование и разработка

OWASP

OWASP расшифровывается как Open Web Application Security Project. Это международная некоммерческая организация, которая занимается безопасностью веб-приложений. Основные принципы OWASP включают их материалы, которые должны быть доступны бесплатно и легко доступны на их веб-сайтах. Их цель — дать возможность любому пользователю улучшить безопасность своего веб-приложения. Предлагаемые ими материалы включают документацию, видео, инструменты и форумы. OWASP Top 10 — самый известный проект. Фонд OWASP также организует множество ведущих образовательных и обучающих программ в области кибербезопасности.

10 основных рисков OWASP Mobile

Неправильное использование платформы

Мобильные платформы предоставляют ряд функций, к которым разработчики могут получить доступ, но неправильное использование этих функций может сделать ваше приложение уязвимым для атак. Эту уязвимость можно охарактеризовать как распространённую и легко используемую. Он охватывает неправильное использование функции платформы или отказ от использования средств управления безопасностью платформы. Это может включать намерения Android, разрешения платформы, неправомерное использование Touch ID, цепочки ключей или другие меры безопасности, которые являются частью мобильной операционной системы. Острота воздействия и реальная лёгкость использования эксплойта зависят от типа конкретного эксплойта и степени, в которой злоумышленнику со злонамеренными намерениями удалось получить контроль.

Чтобы предотвратить этот риск, на стороне сервера мобильного приложения необходимо использовать безопасные методы кодирования и настройки и убедиться, что все функции платформы используются правильно и надлежащим образом.

Небезопасное хранение данных

Это может привести к потере данных в худшем случае для многих пользователей. Это также может привести к техническим последствиям, таким как извлечение конфиденциальных данных приложения с помощью мобильных вредоносных программ, изменение или изменение приложений, или инструментов судебной экспертизы. Характер воздействия на бизнес зависит от украденной информации. Кража личных данных, нарушение конфиденциальности, мошенничество, ущерб репутации, нарушение внешней политики или материальный ущерб могут быть последствиями для бизнеса из-за небезопасных методов хранения данных. В настоящее время вектор атаки сильно различается. От сторонних приложений, использующих кеш, файлы cookie и другую информацию для сбора защищённых данных, до возможности злоумышленника физически получить устройство и просмотреть информацию. Хранилище данных необходимо правильно обрабатывать несколькими способами, включая шифрование, аутентификацию и обработку всех функций кэширования.

Чтобы предотвратить это, важно создать угрозу модели вашего мобильного приложения, ОС, платформ и фреймворков, чтобы понять, какие информационные активы обрабатывает приложение, и как API обрабатывают эти активы.

Небезопасное общение

Небезопасная связь — самая распространённая уязвимость, присутствующая в большинстве приложений со структурой клиент-сервер. Разработчики часто пунктуально защищают свои данные с помощью процедур аутентификации и данных в состоянии покоя, но они редко заботятся о правильном шифровании информации / данных. Если данные не защищены или не зашифрованы, пользователь на стороне сервера может столкнуться с атакой типа «человек посередине». Эти атаки обычно исходят от сетевых устройств, таких как маршрутизатор, вредоносное ПО и т.д. При разработке мобильного приложения обмен данными обычно осуществляется в формате клиент-сервер. Когда решение передаёт свои данные / информацию, оно должно проходить через сеть оператора мобильного устройства и Интернет. Агенты угроз могут использовать уязвимости для получения доступа к конфиденциальным данным во время их передачи по сети.

Читайте также:  Учебное пособие по Ionic Framework: создайте свое первое кроссплатформенное приложение

Этого можно избежать, если предположить, что сетевой уровень небезопасен и подвержен перехвату, использовать надёжные стандартные комплекты шифров с соответствующей длиной ключа, всегда использовать сертификаты, подписанные доверенным поставщиком CA, всегда требовать проверки цепочки SSL и т.д.

Небезопасная аутентификация

Небезопасная аутентификация включает в себя недостатки как в обработке сеанса, так и в процедуре аутентификации. Для мобильных приложений злоумышленники обычно создают настраиваемые инструменты для полного обхода клиентских приложений и отправляют запрос непосредственно пользователю. Плохие схемы аутентификации позволяют злоумышленнику анонимно выполнять функции в мобильном приложении или на внутреннем сервере, используемом мобильным приложением. Более слабая аутентификация для мобильных приложений довольно распространена из-за форм-фактора ввода мобильного устройства. Схемы аутентификации для мобильных приложений намного проще, чем для обычных веб-приложений. Поскольку большинству приложений необходимо работать в автономном режиме, пользователю предоставляется возможность автономной аутентификации, которую можно использовать. Это может привести к тому, что злоумышленник получит полный контроль над системой. Они могут анонимно украсть или удалить данные,

Лучший способ предотвратить эту проблему — по возможности использовать онлайн-аутентификацию при обработке всех запросов аутентификации на стороне сервера.

Недостаточная криптография

Недостаточная криптография имеет дело с уязвимостью, которая может иметь чрезвычайно неприятные последствия для бизнеса. Он приведёт к несанкционированному извлечению конфиденциальной информации с мобильного устройства. Это может иметь несколько различных последствий для бизнеса, таких как нарушение конфиденциальности, кража информации и кода, кража интеллектуальной собственности или ущерб репутации.

Чтобы защитить ваши данные от этой уязвимости, по возможности избегайте хранения любых конфиденциальных данных на мобильных устройствах, применяйте криптографические стандарты, которые выдержат испытание временем в течение как минимум 10 лет в будущем, и следуйте NIST (Национальный институт стандартов and Technology) рекомендации по рекомендуемым алгоритмам. Следование передовым практикам и стандартам — лучший способ избежать недостаточной криптографии.

Небезопасная авторизация

Во время процедуры аутентификации Небезопасная авторизация устраняет уязвимости на стороне сервера. Эта уязвимость чрезвычайно распространена, и её трудно обнаружить. Как только злоумышленник узнаёт об уязвимости схемы авторизации, он входит в приложение как законный пользователь. Им удаётся успешно пройти проверку подлинности. После прохождения аутентификации они принудительно переходят к уязвимой конечной точке для выполнения административных функций. Этот процесс выполняется с помощью мобильного вредоносного ПО на устройстве или ботнетах, принадлежащих злоумышленнику. Техническое воздействие плохой авторизации аналогично техническому воздействию плохой аутентификации. Техническое воздействие может быть широкомасштабным. Например, выполнение функций локального администрирования с чрезмерными привилегиями может привести к разрушению системы или доступу к конфиденциальной информации.

Лучший способ предотвратить это — убедиться, что права пользователей всегда проверяются, проверять любые запросы от клиента независимо от сервера, убедиться, что они являются авторизованным пользователем.

Качество клиентского кода

Сосредоточен на уязвимостях, созданных из-за ошибок кодирования. Хакеры могут найти ошибки или лазейки в коде и использовать их, чтобы получить доступ к системе. например, переполнение буфера и утечки памяти. Эксплойты, попадающие в эту категорию, приводят к выполнению внешнего кода или DOS (отказ в обслуживании) на удалённых конечных точках сервера. Однако, если переполнение / переполнение буфера действительно существует в мобильном устройстве и вход может быть получен от внешней стороны, это может иметь серьёзные технические последствия.

Читайте также:  Как перенести ваше приложение с Express на Fastify

Единственный способ справиться с этим — поддерживать единообразные стандарты кодирования по всем направлениям и писать хорошо прокомментированный код, который легко читать. При использовании буферов убедитесь, что длина любых входящих данных буфера не превышает длину целевого буфера. С помощью автоматизации выявляйте переполнение буфера и утечки памяти с помощью сторонних инструментов статического анализа и отдавайте приоритет решению проблем переполнения буфера и утечек памяти над другими проблемами «качества кода».

Подделка кода

Любые модификации, которые злоумышленник может выполнить в коде приложения, называются подделкой кода. Злоумышленники или хакеры используют подделку кода, чтобы получить доступ к премиум-функциям, нарушая авторские права и т.д. И полностью обходят существующую модель распространения для приложения. Эту уязвимость бывает сложно обнаружить. Злоумышленник будет использовать модификацию кода, используя вредоносные формы приложений, размещённых в сторонних магазинах приложений. Злоумышленник также может обманом заставить пользователя установить приложение с помощью фишинговых атак. Чтобы воспользоваться этой категорией, злоумышленник будет делать следующие действия: вносить прямые двоичные изменения в основной двоичный файл пакета приложения, создавать прямые двоичные изменения ресурсов в пакете приложения, перенаправлять или заменять системные API-интерфейсы для перехвата и выполнения вредоносного внешнего кода.

Лучший способ предотвратить это — использовать методы защиты от несанкционированного доступа, а также обнаружение корневого доступа и взлома.

Обратный инжиниринг

Обратный инжиниринг чрезвычайно распространён и не всегда делается со злым умыслом. Иногда люди делают это в учебных целях, а иногда они делают это для написания своих собственных полностью законных приложений. Злоумышленник загрузит целевое приложение из магазина приложений и проанализирует его в своей локальной среде с помощью набора различных инструментов.

Чтобы предотвратить эффективный обратный инжиниринг, используйте инструмент запутывания. Все приложения подвержены этой уязвимости.

Посторонняя функциональность

Эта уязвимость была добавлена ​​в список в 2016 году, чтобы покрыть чрезвычайно серьёзную, но распространённую уязвимость. Злоумышленник загрузит и изучит мобильное приложение в своей локальной среде. Они изучат файлы журналов, файлы конфигурации и, возможно, сам двоичный файл, чтобы обнаружить любой тип скрытых переключателей или тестовый код, оставленный разработчиками. Они попытаются использовать эти переключатели и скрытые функции в задней части системы для выполнения атаки. Одним из примеров этой функции является учётная запись разработчика, которая позволяет нам полностью обходить проверки безопасности и предоставлять широкий набор привилегий. Это бэкдор, который дает злоумышленнику полный контроль над приложением.

Чтобы предотвратить эту уязвимость, выполните ручную проверку защищённого кода с помощью чемпионов по безопасности или профильных экспертов, наиболее хорошо знакомых с этим кодом. Эти уязвимости легко использовать, но их также легко выловить и удалить.удалить.

Оцените статью
bestprogrammer.ru
Добавить комментарий