Injection, Broken Authentication и XSS являются основными кибер-рисками

(Ди Алессандро Руголо)
16/10/17

OWASP является стандартом для производства защищенных веб-приложений, и если мы считаем, что сейчас почти все приложения являются веб-...

OWASP также является глобальной организацией, целью которой является повышение безопасности программного обеспечения (против статья).
Среди наиболее успешных инициатив OWASP Top Ten, список из десяти основных кибер-рисков при разработке приложений.
В 2013 был опубликован последний по-прежнему действительный список, а следующий должен быть выпущен в ноябре 2017.
В начале года процесс начал обновлять список, но первая попытка потерпела неудачу, будучи отвергнутой сообществом.

Первый проект 2017 Top Ten, который все еще обсуждается, указывает на следующие основные риски 10:

A1-Injection
A2-сломанная аутентификация и управление сеансом
A3-Cross-Site Scripting (XSS)
A4-Сломанный контроль доступа
Неверная настройка A5
A6-чувствительная обработка данных
A7-Недостаточная защита от атак
A8-кросс-сайт запроса подделка (CSRF)
A9 - использование компонентов с известными уязвимостями
A10-Underprotected API.

Список, конечно, нелегко понять для тех, у кого нет обширных знаний в области информационной безопасности.
Давайте попробуем углубить смысл этих терминов с Уолтером Амбу (фото), основателем Entando, una запуск который использует методологию OWASP для разработки безопасного программного обеспечения.

Инженер Амбу, его компания, Entando, разрабатывает безопасное программное обеспечение ... Можете ли вы помочь нам понять что-то большее в методологии развития? На каком программном обеспечении вы работаете? С какими клиентами вы обращаетесь? Сколько стоит исследований и разработок? И, прежде всего, помогает ли нам лучше понять основные риски, связанные с Десятой?

Entando - это программная платформа с открытым исходным кодом, которая упрощает создание веб-приложений и мобильных приложений нового поколения, то есть «Современные приложения».
Что мы имеем в виду?
Сегодня компании и государственные администрации, особенно крупнейшие, участвующие в гонке за цифровизацией, сталкиваются с двумя проблемами: скоростью и гармонизацией.
С одной стороны, им нужно сократить время выпуска приложений до того, как это сделает конкурент. С другой стороны, они должны привести в порядок постоянно растущий портфель приложений, характеризующихся различными интерфейсами и непоследовательным пользовательским интерфейсом, которые создают проблемы для тех, кто их использует. Entando, благодаря шаблонам UX / UI (User eXperience / User Interface), действует как «гармонизатор» пользовательского опыта и как «ускоритель» благодаря современным методам разработки программного обеспечения на основе контейнеров, DevOps, CI / CD (непрерывная интеграция / Непрерывное развитие), микросервисы.
Само собой разумеется, что Entando должен иметь природу, как компания с открытым исходным кодом, сильную естественную склонность к инновациям и исследованиям. Команда состоит из инженеров-программистов, ИТ-специалистов и PhD, которые - с точки зрения «современности» - также работают в умном режиме работы.
Что касается безопасности, Entando развивается по методологии OWASP ...

Как ваша компания приняла эту методологию? В чем преимущества? Трудно ли применить его к производству программного обеспечения? Принимает ли персонал курсы? Вы сотрудничаете с университетами?

Разработка современных приложений для компаний и государственных администраций означает гарантирование инноваций, качества и безопасности программного продукта. По этой причине Entando решила принять руководящие принципы OWASP, а также методологии для проверки и проверки качества кода.
Entando активно сотрудничает с Лабораторией распознавания образов и приложений Университета Кальяри (http://pralab.diee.unica.it) чей отдел информационной безопасности возглавляет проф. Джорджио Джачинто. В частности, он был частью проекта под названием sTATA (http://stata.diee.unica.it), который состоит в создании района с особыми и передовыми навыками в области информационной безопасности, в рамках которого идеи, решения и инновационные продукты могут быть разработаны в ответ на риски кибер-атаки, к которым в настоящее время подвергаются граждане и компании. Этот проект, очевидно, включал несколько этапов, включая обучение персонала Entando, участвующего в реализации платформы.

Мы знаем, что все еще продолжаются дискуссии о десятке 2017 и что нам все равно придется ждать, чтобы узнать официальный. Но мы оставляем эти тонкости экспертам материала и стараемся рассуждать так, как будто «Десятка» уже выпущена.
Наверху, уже в 2013 и на данный момент также в проекте предложения для 2017 есть категория, известная как «Инъекция», которая содержит определение:Недостатки внедрения, такие как внедрение SQL, OS, XXE и LDAP, возникают, когда ненадежные данные отправляются интерпретатору как часть команды или запроса. Враждебные данные злоумышленника могут обмануть интерпретатор, заставив его выполнить непреднамеренные команды или получить доступ к данным без надлежащей авторизации.».

In бедные слова, для неспециалистов, можете ли вы объяснить, что это такое?

Под инъекцией мы понимаем широкий класс атак, которые позволяют злоумышленнику передавать входящие данные в программное обеспечение, которое изменяет его ожидаемое выполнение. Это одна из самых опасных атак для веб-приложений. Результат может варьироваться от потери данных до кражи конфиденциальных данных, таких как кредитные карты.
Среди различных типов инъекций SQL Injection является наиболее известным.
SQL Injection - это хакерская практика, которая включает в себя удары по веб-приложениям, которые полагаются на базы данных. Из-за уязвимости злоумышленник может работать с базой данных, считывать, изменять или удалять данные в ней несанкционированным образом.

Среди реальных случаев, когда использовалась атака этой категории, можно назвать атаку 2009 года на платежную систему Heartland. Тогда были украдены учетные данные 130 миллионов кредитных и дебетовых карт. Но как повысить безопасность системы, подверженной этой уязвимости?

Необходимо проверить функциональность элементов управления входящими данными, чтобы нельзя было выполнять произвольные запросы к базе данных, используя сбой или неправильную проверку полученных данных. Чтобы быть еще яснее, если форма на сайте требует вставки идентификатора пользователя, программное обеспечение должно проверять, что данные, введенные пользователем, действительно имеют формат идентификатора пользователя, и предотвращать отправку пользователем других данных, может быть, строка, которую можно интерпретировать как команду.

Спасибо, теперь я думаю, что смысл «Инъекции» ясен всем.

Возможно, не все полностью поймут механизмы, лежащие в основе атаки, но я думаю, что самое главное - информировать людей о том, что использование веб-инструментов может представлять риски, но есть методы их минимизации. Инженер Амбу, второй в списке Сломанная аутентификация и управление сеансом.

О чем это?

В этом случае мы имеем дело с уязвимостью, в которой злоумышленник может манипулировать данными, которые обычно хранятся в так называемом «токен сеанса», который является уникальным идентификатором для пользователя, просматривающего веб-страницы и который используется для обмен данными между клиентской и серверной сторонами веб-приложения. Знаменитые печенье позволяют использовать этот механизм. В этом случае злоумышленник может даже использовать идентификаторы других людей, изменять пароли и вводить системы. Представьте себе, например, ущерб, который может сделать хакер, введя наш банковский счет!

Это может очистить счет! И, возможно, получить информацию о текущих счетах людей, с которыми у нас есть рабочие отношения. Потенциально это ставит под угрозу не только нас, но и людей и компании, с которыми мы имеем дело.
Инженер Амбу, я, конечно, не хочу тратить слишком много времени на то, чтобы просить вас проанализировать все десять уязвимостей в списке, но я думаю, что хотя бы третья заслуживает внимания: межсайтовый скриптинг (XSS), что это такое?

Межсайтовый скриптинг - довольно распространенная техника для кражи личных данных.
На практике, приложение берет на себя ответственность за входящие данные, например, из формы, не делая никакой проверки достоверности, с этой точки зрения это напоминает метод внедрения.
Затем злоумышленник может вводить через код вредоносного кода браузера, пример кода javascript, в любой форме сайта, что приводит к краже личности любого человека или модификации частей веб-сайта, даже заставляя пользователя загружать вредоносное ПО.

Инженер Амбу благодарит вас за ваше время. Я еще раз пользуюсь его присутствием и компетентностью, чтобы повторить, что все эти методы атаки могут быть, по крайней мере, частично необоснованными, используя лучшие методы методологии OWASP. На практике использование методологии OWASP позволяет предотвратить большинство наиболее распространенных и опасных атак.

Именно, OWASP является превентивной методологией. Его применение в любом случае не должно рассматриваться как панацея от всех болезней, но оно, безусловно, очень полезно и заслуживает глубокого изучения всеми теми, кто каким-то образом участвует в разработке программного обеспечения и компьютерной безопасности. В связи с этим 20 в октябре следующего года в аудитории Инженерного и архитектурного факультета на площади Пьяцца д'Арми в Кальяри пройдет День OWASP Италии 2017. Очень интересное событие с точки зрения безопасности программного обеспечения.
Среди гостей будет вице-президент Synopsys Гэри МакГроу, всемирно признанный авторитет в области информационной безопасности.
Мы в Entando будем присутствовать, и у нас будет возможность углубить только что представленные концепции и многое другое. Мы ждем вас!

Для получения дополнительной информации:
- https://www.owasp.org/index.php/Italy_OWASP_Day_2017
- https://www.computerworld.com/article/2527185/security0/sql-injection-at...
- https://www.w3schools.com/sql/sql_injection.asp