OWASP kacha ihe egwu nchekwa 10 | Nchịkọta
Tebulu ọdịnaya
Kedu ihe bụ OWASP?
OWASP bụ ọgbakọ anaghị akwụ ụgwọ maka nkuzi nchekwa ngwa weebụ.
A na-enweta ihe mmụta OWASP na webụsaịtị ha. Ngwá ọrụ ha bara uru maka imeziwanye nchekwa nke ngwa weebụ. Nke a gụnyere akwụkwọ, ngwaọrụ, vidiyo, na nnọkọ.
OWASP Top 10 bụ ndepụta na-akọwapụta nchegbu nchekwa kachasị maka ngwa weebụ taa. Ha na-akwado ka ụlọ ọrụ niile tinye akụkọ a na usoro ha iji belata ihe egwu nchekwa. N'okpuru bụ ndepụta ihe egwu nchekwa gụnyere na akụkọ OWASP Top 10 2017.
SQL ịgba ntụtụ
Ngwunye SQL na-eme mgbe onye na-awakpo zigara data na-ekwesịghị ekwesị na ngwa weebụ iji mebie mmemme na ngwa ahụ..
Ọmụmaatụ nke injection SQL:
Onye mwakpo ahụ nwere ike itinye ajụjụ SQL n'ime ụdị ntinye nke chọrọ ederede aha njirimara. Ọ bụrụ na echekwaghị ụdị ntinye, ọ ga-ebute mmezu nke ajụjụ SQL. Nke a na-ezo aka dị ka SQL injection.
Iji chebe ngwa weebụ site na ịgbanye koodu, hụ na ndị nrụpụta gị na-eji ntinye ntinye na data onye ọrụ nyefere. Nkwado ebe a na-ezo aka na ọjụjụ nke ntinye na-ezighi ezi. Onye njikwa nchekwa data nwekwara ike ịtọ njikwa iji belata ọnụọgụ nke ọmụma nke ahụ nwere ike ga-ekpughe n'ime ọgụ injection.
Iji gbochie ntụtụ SQL, OWASP na-akwado idobe data iche na iwu na ajụjụ. Nhọrọ kacha mma bụ iji nchekwa API iji gbochie iji onye ntụgharị okwu, ma ọ bụ ịkwaga na Ihe Mmekọrịta Mapping Tools (ORMs).
Nnwale agbajiri
Ọdịmma nyocha nwere ike inye onye mwakpo ohere ịnweta akaụntụ onye ọrụ wee mebie sistemụ site na iji akaụntụ nchịkwa.. Onye omekome cyber nwere ike iji edemede nwalee puku kwuru puku okwuntughe na sistemu iji hụ nke na-arụ ọrụ. Ozugbo cybercriminal batara, ha nwere ike mebie njirimara onye ọrụ, na-enye ha ohere ịnweta ozi nzuzo.
Adịghị ike nyocha agbajiri agbajiri dị na ngwa weebụ na-enye ohere nbanye akpaaka. Ụzọ ewu ewu iji dozie adịghị ike nyocha bụ iji nyocha multifactor. Ọzọkwa, oke ọnụego nbanye nwere ike na-agụnye na ngwa webụ iji gbochie mwakpo ike ọjọọ.
Nkpughe data nwere mmetụta
Ọ bụrụ na ngwa webụ anaghị echebe ndị na-awakpo nwere mmetụta nwere ike ịnweta ma jiri ya mee ihe maka uru ha. Mwakpo n'ụzọ bụ usoro ewu ewu maka izu ohi ozi dị nro. Ihe ize ndụ nke ikpughe nwere ike dị ntakịrị mgbe ezoro ezo data niile nwere mmetụta. Ndị mmepe webụ kwesịrị ịhụ na ọ nweghị data nwere mmetụta ekpughere na ihe nchọgharị ma ọ bụ chekwaa ya na-enweghị isi.
Ngwa XML Mpụga (XEE)
Onye omekome cyber nwere ike ibulite ma ọ bụ tinye ọdịnaya XML ọjọọ, iwu, ma ọ bụ koodu n'ime akwụkwọ XML. Nke a na-enye ha ohere ịlele faịlụ na sistemụ faịlụ nkesa ngwa. Ozugbo ha nwetara ohere, ha na ihe nkesa ahụ nwere ike imekọ ihe iji mee mwakpo ụgha n'akụkụ sava (SSRF)..
Mwakpo ndị ọzọ XML nwere ike a ga-egbochi ya ikwe ka ngwa weebụ nabata ụdị data dị mgbagwoju anya dị ka JSON. Ịkwụsị nhazi ihe dị na mpụga XML na-ebelata ohere nke mwakpo XEE.
Njikwa nnweta agbajiri
Njikwa nnweta bụ usoro sistemụ na-egbochi ndị ọrụ na-enwetaghị ikike ịnweta ozi nwere mmetụta. Ọ bụrụ na agbajiri sistemụ njikwa ohere, ndị mwakpo nwere ike gafere nyocha. Nke a na-enye ha ohere ịnweta ozi dị nro dịka a ga-asị na ha nwere ikike. Enwere ike chekwaa njikwa ohere site na itinye akara ikike na nbanye onye ọrụ. Na arịrịọ ọ bụla onye ọrụ na-arịọ mgbe a na-enyocha ya, a na-enyocha akara ikike nke onye ọrụ ahụ, na-egosi na enyere onye ọrụ ikike ịrịọ arịrịọ ahụ.
Nche Ndozi
Nhazihie nchekwa bụ ihe a na-ahụkarị na ya cybersecurity ndị ọkachamara na-ahụ maka ngwa weebụ. Nke a na-apụta n'ihi nkụnye eji isi mee HTTP ahazighị nke ọma, njikwa ohere agbajiri agbaji, yana ngosipụta nke mperi na-ekpughe ozi dị na ngwa webụ.. Ị nwere ike mezie nhazi ezighi ezi site na iwepu atụmatụ ejighi ya. I kwesịkwara kwachie ma ọ bụ kwalite ngwungwu ngwanrọ gị.
Akwụkwọ Cross-Site (XSS)
Adịghị ike XSS na-eme mgbe onye mwakpo na-emegharị DOM API nke webụsaịtị tụkwasịrị obi iji mebie koodu ọjọọ na ihe nchọgharị onye ọrụ.. Mmezu nke koodu ọjọọ a na-emekarị mgbe onye ọrụ pịrị njikọ na-egosi na ọ sitere na weebụsaịtị ntụkwasị obi.. Ọ bụrụ na echebeghị webụsaịtị site na adịghị ike XSS, ọ nwere ike ekwe omume. Koodu ojoo na na-egbu na-enye onye mwakpo ohere nnọkọ nbanye nke ndị ọrụ, nkọwa kaadị kredit na data ndị ọzọ nwere mmetụta.
Iji gbochie scripting Cross-site (XSS), hụ na edobere HTML gị nke ọma. Nke a nwere ike ga-enweta site na ịhọrọ usoro ntụkwasị obi dabere na asụsụ nhọrọ. Ị nwere ike iji asụsụ dị ka .Net, Ruby on Rails, na React JS ka ha ga-enyere aka ntughari na hichaa koodu HTML gị. Ịgwọ data niile sitere n'aka ndị ọrụ akwadoro ma ọ bụ ndị na-abụghị ndị a na-atụkwasịghị obi nwere ike ibelata ihe ize ndụ nke mwakpo XSS..
Deserialization na-enweghị nchebe
Deserialization bụ mgbanwe nke serialized data site na ihe nkesa gaa na ihe. Iwepụ data bụ ihe a na-ahụkarị na mmepe ngwanrọ. Ọ dịghị mma mgbe data na-deserialized site n'ebe a na-atụkwasịghị obi. Nke a nwere ike nwere kpughee ngwa gị na mbuso agha. Deserialization na-enweghị nchebe na-eme mgbe data agbaghapụrụ site na isi iyi a na-atụkwasịghị obi na-eduga na mwakpo DDOS, mwakpo mkpochapụ koodu, ma ọ bụ ngafe nyocha..
Iji zere ntọhapụ na-enweghị nchebe, iwu isi bụ ịghara ịtụkwasị data onye ọrụ obi. Ntinye data onye ọrụ ọ bụla kwesịrị gwọọ as nwere obi ojoo. Zere imebi data sitere na isi mmalite ndị atụkwasịghị obi. Gbaa mbọ hụ na deserialization na-arụ ọrụ ga-eji na ngwa weebụ gị adịghị mma.
Iji akụrụngwa nwere adịghị ike amaara
Ọbá akwụkwọ na Frameworks emeela ka ọ dị ngwa ngwa ịmepụta ngwa weebụ na-enweghị mkpa ịmegharị wiil. Nke a na-ebelata redundancy na koodu nyocha. Ha na-emeghe ụzọ maka ndị mmepe ka ha lekwasị anya na akụkụ dị mkpa nke ngwa. Ọ bụrụ na ndị na-awakpo achọpụta ihe arụrụ arụ na usoro ndị a, codebase ọ bụla na-eji usoro ahụ ga-eme ya ekwe omume.
Ndị mmepe akụrụngwa na-enyekarị patches nche na mmelite maka ọba akwụkwọ akụrụngwa. Iji zere adịghị ike akụrụngwa, ị kwesịrị ịmụta idobe ngwa gị site na patches nche kacha ọhụrụ na nkwalite.. Ngwa ndị ejighi eji kwesịrị wepu ya site na ngwa iji belata vectors ọgụ.
Ndekọ ndekọ na nlekota ezughi oke
Ịbanye na nlekota oru dị mkpa iji gosi mmemme na ngwa weebụ gị. Ịbanye na-eme ka ọ dị mfe ịchọta njehie, monitor Login onye ọrụ, yana mmemme.
Ndekọ osisi na nlebanya ezughi oke na-eme mgbe abanyeghị mmemme nchekwa dị mkpa n'ụzọ kwesịrị ekwesị. Ndị na-awakpo ahụ na-eji nke a eme ihe iji lụso ngwa gị ọgụ tupu enwee nzaghachi ọ bụla pụtara ìhè.
Ịbanye nwere ike inyere ụlọ ọrụ gị aka ịchekwa ego na oge n'ihi na ndị mmepe gị nwere ike mfe chọta chinchi. Nke a na-enye ha ohere ilekwasị anya karịa na idozi ahụhụ karịa ịchọ ha. Dị ka a pụrụ isi kwuo ya, ịdenye aha nwere ike inye aka mee ka saịtị gị na sava gị na-arụ ọrụ oge ọ bụla na-enweghị ha na-enwe oge ọ bụla..
mmechi
Koodu dị mma abụghị dị nnọọ gbasara arụmọrụ, ọ bụ maka idobe ndị ọrụ na ngwa gị. OWASP Top 10 bụ ndepụta nke ihe egwu nchekwa ngwa dị oke egwu bụ nnukwu akụrụngwa efu maka ndị mmepe iji dee web na ngwa mkpanaka echekwara.. Ndị na-emepụta ọzụzụ na otu gị iji nyochaa na ndekọ ihe egwu nwere ike ịchekwa oge na ego otu gị n'ime ogologo oge. Ọ bụrụ na-amasị gị mụtakwuo maka otu esi azụ ndị otu gị na OWASP Top 10 pịa ebe a.
