search

Thang điểm đánh giá rủi ro của owasp

4 thángs trước
Trả lời: 0
Lượt xem: 95

OWASP là một trong những tiêu chuẩn pentest cho ứng dụng web hàng đầu trên thế giới. Nếu theo pentest hoặc đánh giá bảo mật cho hệ thống, chắc chắn bạn cần phải tìm hiểu về OWASP.

Show

1.OWASP là gì

OWASP là viết tắt của Open Web Application Security Project. OWASP là tiêu chuẩn để thực hiện Pentest. OWASP là một tổ chức phi lợi nhuận trên toàn cầu tập trung vào việc nâng cao tính bảo mật cho phần mềm, ứng dụng web. Từ đó giúp doanh nghiệp có thể phát triển, mua và bảo trì các ứng dụng web được an toàn hơn, tiết kiệm chi phí hơn.

Thang điểm đánh giá rủi ro của owasp

Trang web gốc về OWASP

2.OWASP cung cấp miễn phí:

– Các công cụ và những tiêu chuẩn về ATTT hàng đầu thế giới.

– Các thư viện và tiêu chuẩn trong việc kiểm soát, quản lý an ninh thông tin.

– Cung cấp những tài liệu hàng đầu về bảo mật ứng dụng, pentest, kiểm tra mã nguồn và lập trình một cách an toàn nhất.

– Ngoài ra, OWASP còn có các buổi hội thảo hay những workshop tổ chức trên toàn cầu do đó đây sẽ là cơ hội cho bạn để học hỏi, chia sẻ kiến thức và kinh nghiệm.

– Đồng thời những nghiên cứu mới nhất bảo mật cho ứng dụng web, an toàn thông tin cũng được OWASP tổ chức thường xuyên.

3.Điểm khác biệt của OWASP

– Không bị phụ thuộc vào các nhà tài trợ

– Cung cấp những thông tin một cách chính xác, khách quan.

– Các thành viên chủ chốt trong OWASP đều là những người tham gia tự nguyện

– Đưa ra những cảnh báo về rủi ro trong an ninh mạng của ứng dụng web một cách ngắn gọn giúp cá nhân và doanh nghiệp dễ hiểu và các doanh nghiệp có thể đưa ra những giải pháp bảo mật phù hợp, nâng cao sự an toàn cho hệ thống của mình.

4.Đặc điểm của tiêu chuẩn pentest OWASP:

– Tiêu chuẩn đánh giá an ninh mạng OWASP cung cấp chi tiết những kỹ thuật dánh giá giúp pentester tiết kiệm thời gian, có cách thức tiến hành kiểm tra hiệu quả.

Top 10 OWASP chỉ xuất bản vài năm một lần. Vì vậy, mặc dù hiện tại không có top 10 OWASP cho năm 2021, một danh sách có thể sẽ được công bố trong năm nay. Những người viết báo cáo không mong đợi danh sách sẽ thay đổi nhiều, nếu có, so với bảng xếp hạng hiện tại.

Nếu bạn có thể giải quyết phần lớn 10 lỗ hổng bảo mật phổ biến nhất của OWASP, thì tình hình bảo mật của bạn sẽ rất tốt. Vậy, top 10 hiện tại là gì và bạn có thể bảo vệ chúng như thế nào?

OWASP A1:2017 – Injection

Có thể bạn đã nghe nói về SQL Injection, kiểu injection phổ biến nhất. SQL Injection được tiết lộ lần đầu tiên vào năm 1998 và không khó để bảo vệ chống lại, nhưng nó vẫn còn phổ biến. Các lỗi chèn khác bao gồm NoSQL, OS và LDAP Injection. Tóm lại, việc injection xảy ra khi kẻ tấn công gửi hoặc chèn mã không đáng tin cậy vào truy vấn cơ sở dữ liệu. Trong các cuộc tấn công thành công, kẻ tấn công giành được quyền kiểm soát cơ sở dữ liệu của bạn.

A2:2017 – Broken Authentication

Khi các biện pháp kiểm soát xác thực người dùng không được thiết lập chính xác hoặc bị bỏ qua, khả năng tài khoản bị vi phạm có thể tăng vọt. Nếu những kẻ tấn công có thể xâm phạm mật khẩu, mã phiên hoặc khóa của bạn, thì sẽ không có giới hạn về loại thiệt hại mà chúng có thể gây ra. Các phương pháp được sử dụng để khai thác lỗ hổng này bao gồm nhồi nhét thông tin xác thực, truy cập bạo lực và chiếm quyền điều khiển phiên. Các phương pháp được sử dụng để khai thác lỗ hổng này bao gồm credential stuffing, brute force và session hijacking.

A3:2017 – Sensitive Data Exposure

Quá nhiều ứng dụng web và giao diện lập trình ứng dụng thiếu sự bảo vệ thích hợp đối với dữ liệu bí mật, chẳng hạn như chăm sóc sức khỏe, tài chính và thông tin khác. The HTTP protocol is unencrypted and can be compromised at any node along the traffic route.

A4:2017 – XML External Entities (XXE)

XML, ngôn ngữ đánh dấu eXtensible, vẫn được sử dụng để phân phối dữ liệu qua Internet. Các bộ xử lý XML cũ hơn hoặc bị định cấu hình sai có thể xử lý các tham chiếu đến các nguồn bên ngoài trong tài liệu, cho phép kẻ tấn công có quyền truy cập vào các tệp nội bộ, thực hiện thực thi mã từ xa và thậm chí khởi chạy các cuộc tấn công từ chối dịch vụ.

A5:2017 – Broken Access Control

Điều gì xảy ra khi tài khoản của người dùng của bạn có nhiều quyền truy cập hơn mức họ cần để thực hiện công việc của mình? Đối với bạn, nó có thể là một rủi ro; nhưng đối với những kẻ tấn công, đó là một mỏ vàng, OWASP nói. Khi không có giới hạn về mức độ truy cập của người dùng đã xác thực (kiểm soát truy cập), kẻ tấn công có thể tàn phá hệ thống của bạn nếu chúng xâm phạm các tài khoản đó.

A6:2017 – Security Misconfiguration

Có lẽ vấn đề phổ biến nhất trong danh sách này, cấu hình sai xảy ra khi người dùng và nhà phát triển không tuân thủ các điều khiển cơ bản như thay đổi mật khẩu mặc định, vá các hệ thống lỗi thời hoặc ứng dụng được cấu hình kém.

A7:2017 – Cross-Site Scripting (XSS)

Trong các cuộc tấn công tập lệnh xuyên trang (XSS), những kẻ tấn công inject mã vào một trang web hợp pháp. Sau đó, mã đó sẽ thực thi khi trang web tải vào trình duyệt của nạn nhân. XSS thành công vì vốn dĩ, các trình duyệt web sẽ tin tưởng rằng mã họ cần tải là an toàn. XSS có thể thay đổi trang web, chiếm quyền điều khiển phiên người dùng hoặc lừa người dùng truy cập các trang web độc hại.

A8:2017 – Insecure Deserialization

OWASP cho biết: Serialization và deserialization là phổ biến đối với nhiều ứng dụng web dựa trên các ngôn ngữ lập trình như Java và .Net. Serialization thay đổi một đối tượng thành một định dạng đĩa (disk) có thể truyền. Deserialization chuyển đổi dữ liệu được tuần tự hóa thành một đối tượng có thể sử dụng được. Lỗ hổng giải mã không an toàn xảy ra nếu quy trình không được bảo mật đúng cách. Deserialization có thể cho phép kẻ tấn công thực hiện mã từ xa, injection, replay và tấn công leo thang đặc quyền.

A9:2017 – Using Components With Known Vulnerabilities

Các thành phần của bên thứ ba hoặc mã nguồn mở như libraries, frameworks và các mô-đun phần mềm khác thường thực thi với các đặc quyền giống như ứng dụng. Nếu kẻ tấn công khai thác một trong các thành phần này, nạn nhân có thể bị mất dữ liệu nghiêm trọng hoặc bị chiếm quyền sử dụng máy chủ.

A10:2017 – Insufficient Logging & Monitoring

Bạn không thể quản lý những gì bạn không đo lường được và nếu bạn không ghi nhật ký (log) và theo dõi lưu lượng truy cập hoặc truy cập bất thường, bạn có thể không bao giờ biết mình đã bị xâm phạm. Với rất nhiều hệ thống tạo ra nhiều nhật ký, không có gì lạ khi các công ty gặp khó khăn trong việc quản lý việc này.

Cách bảo vệ chống lại OWASP Top 10

Bây giờ bạn đã biết 10 lỗ hổng bảo mật hàng đầu là gì, đã đến lúc tìm hiểu cách ngăn chặn chúng xảy ra trong doanh nghiệp của bạn.

Dưới đây là 10 gợi ý và chiến lược hàng đầu:

Nắm bắt và áp dụng Zero Trust

Zero trust framework chạy trên nguyên tắc ít đặc quyền nhất. Về bản chất, zero trust có tên vì nó không tin tưởng ai hoặc không có gì theo mặc định – trừ khi và cho đến khi chúng được xác minh. Mặc dù zero trust có thể không phải là một giải pháp đơn giản, nhưng nó là một yếu tố quan trọng để bảo vệ chống lại nhiều lỗ hổng hàng đầu trong 10 lỗ hổng OWASP.

MFA và chính sách mật khẩu mạnh mẽ

Điều tạo nên một mật khẩu mạnh là liên tục thay đổi, nhưng các chính sách mật khẩu nên khuyến khích hoặc thực thi sự kết hợp của số, chữ cái và các ký tự đặc biệt. Độ dài mật khẩu tối thiểu phải là 10 ký tự, vì tám ký tự quá dễ bị bẻ khóa. Không lưu trữ cục bộ mật khẩu và đảm bảo mã hóa chúng. Xác thực đa yếu tố có thể hiệu quả trong việc giảm thiểu các lỗ hổng xác thực bị hỏng.

Tường lửa ứng dụng web (WAF) hoặc tường lửa thế hệ tiếp theo (Next-Gen Firewalls)

Tường lửa ứng dụng web (WAF) hoạt động ở lớp ứng dụng (lớp 7), giám sát lưu lượng đến và chặn lưu lượng độc hại, hoạt động như một cổng chống lại các cuộc tấn công ứng dụng. WAF có thể định cấu hình để tìm kiếm các mối đe dọa mới nổi hoặc những mối đe dọa đã được thiết lập, chẳng hạn như những mối đe dọa trong danh sách OWASP và có thể được điều chỉnh cho phù hợp với hồ sơ rủi ro cụ thể của bạn. Tường lửa thế hệ tiếp theo (NGFW) hoạt động ở lớp mạng (lớp 3 và 4), đại diện cho một tuyến phòng thủ chống lại việc truy cập mạng không mong muốn và bảo vệ mạng nội bộ. NGFW thậm chí có thể thúc đẩy zero trust.

Kiểm soát truy cập thích hợp

Kiểm soát truy cập nên tiến gần tới zero trust nhất có thể. Có thể bạn không đạt được full zero trust, nhưng các chuyên gia khuyên bạn nên sử dụng ít nhất cách tiếp cận dựa trên vai trò và ít đặc quyền nhất để truy cập. Chỉ giới hạn quyền truy cập vào những gì ai đó cần để thực hiện công việc của họ. Các tài khoản, điểm truy cập và dịch vụ không được sử dụng nên bị xóa.

Xác thực đầu vào

Rất đơn giản: khi người dùng hoặc ứng dụng gửi truy vấn, tải lên hoặc thông tin đầu vào khác, nó phải được xác thực. Khi đầu vào được xác thực, các cuộc tấn công như injections và cross-site scripting có xác suất thành công thấp hơn nhiều.

Mã hóa bất cứ khi nào có thể

Một vài quy tắc ở đây, đầu tiên, nếu dữ liệu của bạn là nhạy cảm, thì dữ liệu đó phải được mã hóa. Mã hóa mật khẩu với quyền truy cập vào dữ liệu bí mật. Cuối cùng, khi chuyển tiếp, dữ liệu phải được mã hóa bằng SSL.

Ghi nhật ký (log) và giám sát

Ghi nhật ký có thể tẻ nhạt, nhưng phần mềm ghi nhật ký và kiểm tra có thể đơn giản hóa quy trình. Thường xuyên phân tích nhật ký của bạn và giám sát lưu lượng, dữ liệu và quyền truy cập có thể ngăn chặn các cuộc tấn công trong tương lai và giúp thiết lập chính sách bảo mật.

Kiểm tra, quét lỗ hổng bảo mật và kiểm thử thâm nhập

Biết được vị trí các lỗ hổng bảo mật là rất quan trọng trong việc duy trì tư thế tốt trong bối cảnh các mối đe dọa đang phát triển ngày nay. Đánh giá lỗ hổng và quét, kiểm tra và kiểm tra thâm nhập là cách tốt nhất để thực hiện điều này. Tiến hành chúng thường xuyên nhất có thể và sắp xếp rủi ro theo tác động có thể xảy ra.

Thực hành mã hóa an toàn chống lại các mối đe dọa hàng đầu của OWASP

Nếu mã của bạn không an toàn, thì các ứng dụng của bạn cũng vậy. Tuân theo các phương pháp mã hóa an toàn là rất quan trọng. Các nhà phát triển và nhóm bảo mật nên làm việc cùng nhau để thiết lập các nguyên tắc và mục tiêu có thể đạt được và công bằng.

Thực hành tốt vệ sinh mạng (Cyber Hygiene)

Các phương pháp hay – như vá lỗi và cập nhật thường xuyên, chỉ sử dụng phần mềm đáng tin cậy, giảm thiểu shadow IT và nâng cao nhận thức về bảo mật – đều có thể giúp bạn giảm thiểu rủi ro một cách lâu dài. Cuối cùng, các tổ chức có tư thế an ninh mạng tốt nhất cần nuôi dưỡng một nền văn hóa an ninh mạng mạnh mẽ và có được sự ủng hộ từ tất cả các bộ phận, nhân viên và quản lý cấp cao. Bằng cách đó, bạn sẽ sẵn sàng chống lại các mối đe dọa mà OWASP cảnh báo và những mối đe dọa khác có thể xảy ra.

đánh giá Cryto Giá Review Tiêu chuẩn OWASP Broken access control Insecure design

Bài Viết Liên Quan

Phương pháp tự đánh giá bản thân của
Phương pháp tự đánh giá bản thân của

Nồi uma 5 lò xo ex 150 giá bao nhiêu
Nồi uma 5 lò xo ex 150 giá bao nhiêu

Bài tập so sánh kép có đáp án
Bài tập so sánh kép có đáp án

Tiếng anh 8 unit 1 review
Tiếng anh 8 unit 1 review

Xe vision màu xanh lục giá bao nhiêu
Xe vision màu xanh lục giá bao nhiêu

So sánh windows 7 home basic vs windows 7 thinpc
So sánh windows 7 home basic vs windows 7 thinpc

Đánh giá lens tamron 85f1 8 vc
Đánh giá lens tamron 85f1 8 vc

Top điện thoại tốt trong tầm giá 4 triệu
Top điện thoại tốt trong tầm giá 4 triệu

Sạc không dây iphone 8 giá bao nhiêu
Sạc không dây iphone 8 giá bao nhiêu

Đánh giá man made 18.21
Đánh giá man made 18.21

MỚI CẬP NHẬP

Bài 14 trang 9 sgk toán 7 tập 1 năm 2024
25 phúts trước . bởi FlutedFixing
Top phim tam ly toi pham han quoc năm 2024
2 giờs trước . bởi WeirdAttacker
Đề cương ôn tập toán 8 học kì 2 năm 2024
4 giờs trước . bởi StandardizedIndicator
Đầu số 0168 đổi là gì năm 2024
4 giờs trước . bởi EnormousInflux
Phát sinh nợ và phát sinh có là gì năm 2024
4 giờs trước . bởi VoluptuousAuspices
Di sản văn hóa thế giới ở campuchia năm 2024
6 giờs trước . bởi GlowingBrightness
Ngày 1 tháng 7 là ngày gì năm 2024
7 giờs trước . bởi PennilessStairway
Máy tính báo lỗi unable to locate component năm 2024
10 giờs trước . bởi State-ownedWarmth
Chồng đinh dậu vợ kỉ hợi bep xa huong nào năm 2024
10 giờs trước . bởi BereftPlaza
How do you do are you do là gì năm 2024
11 giờs trước . bởi DisappointingCoconut

Xem Nhiều

Dầu gió xanh tiếng anh là gì năm 2024
4 ngàys trước . bởi CorrectionalCollaborator
Khắc phục lỗi đăng xuất zalo nhiều lần năm 2024
3 ngàys trước . bởi ClimaticKingdom
Không có hạn mức trong ngân hàng là gì năm 2024
5 ngàys trước . bởi ScantDucking
Đáp án toán thpt quốc gia 2023 đề 113 năm 2024
1 ngàys trước . bởi OminousSnead
Download bài tập luyện nghe tiếng anh trình độ a2 năm 2024
3 ngàys trước . bởi CharacteristicNervousness
Công ty kiểm toán toàn cầu tuyển thực tập sinh năm 2024
3 ngàys trước . bởi MilitantBattery
1993 nên kết hợp làm ăn với tuổi nào năm 2024
5 ngàys trước . bởi UptownIllustrator
Bài tập săn cơ mông hiệu quả nhất năm 2024
6 ngàys trước . bởi BarbarianProminence
Lỗi không đọc được hết dữ liệu chấm công năm 2024
3 ngàys trước . bởi UnsympatheticAssociation
Tên hàn quốc của bạn là gì năm 2024
2 ngàys trước . bởi AccidentalRalph

Chúng tôi

Điều khoản

Trợ giúp

Mạng xã hội

Bản quyền © 2024 Inc.