OWASPはセキュアなWebアプリケーションの制作の標準であり、現在ほとんどすべてのアプリケーションがWebであると考えれば...
OWASPはまた、ソフトウェアセキュリティを向上させることを目指すグローバル組織です(V。 記事).
最も成功した取り組みの中には、 OWASPトップテン、アプリケーション開発における主要な10の主要なリスクのリスト。
2013では最後の有効なリストが公開され、次のものは11月の2017で公開されるはずです。
年初にプロセスがリストを更新し始めましたが、最初の試みは失敗し、コミュニティによって拒否されました。
議論の対象となっている2017 Top Tenの最初のドラフトは、以下の10の主要なリスクを示しています。
A1インジェクション
A2-Broken認証とセッション管理
A3-XSS(クロスサイトスクリプティング)
A4破られたアクセス制御
A5-セキュリティの誤設定
A6に敏感なデータエクスポージャー
A7-不十分な攻撃保護
A8クロスサイトリクエスト偽造(CSRF)
A9 - 既知の脆弱性を持つコンポーネントの使用
A10 - 保護されていないAPI。
情報セキュリティの分野で幅広い知識を持っていない人にとっては理解しにくいリストです。
Walter Ambu(写真)の創設者であるこれらの用語の意味を深めようとしましょう。 Entando、 起動する 安全なソフトウェア開発のためのOWASP方法論を使用しています。
技術者Ambu、彼の会社、Entandoは安全なソフトウェアを開発しています...開発の方法論についてもっと理解できるように助けてくれますか? どんな種類のソフトウェアで作業していますか? どんな顧客に連絡しますか? 研究開発にどれだけ専念していますか? そしてとりわけ、OWASPトップテンに含まれる主なリスクをよりよく理解する助けになるのでしょうか?
Entandoは、オープンソースソフトウェアプラットフォームであり、新世代のWebアプリケーションやモバイルアプリケーション、つまり「現代アプリケーション」の作成を簡素化します。
私たちはどういう意味ですか?
今日、企業と行政、特にデジタル化に向けた競争に従事している最大の行政機関には、スピードと調和というXNUMXつの問題があります。
一方では、競合他社よりも先にアプリケーションのリリース時間を短縮する必要があります。 一方で、彼らは、それらを使用する人々に問題を引き起こすすべての異なるインターフェースと一貫性のないユーザー体験を特徴とする、増え続けるアプリケーションのポートフォリオを整理する必要があります。 Entandoは、UX / UI(User eXperience / User Interface)パターンのおかげで、ユーザーエクスペリエンスの「ハーモナイザー」として機能し、コンテナー、devops、CI / CD(Continuous Integration /継続的な開発)、マイクロサービス。
Entandoはオープンソース企業として、本来、革新と研究のための強い自然の傾向を持っていなければならないことは言うまでもない。 このチームはソフトウェアエンジニア、ITスペシャリスト、PhDで構成され、「現代性」の面ではスマートな作業モードでも機能します。
安全については、EntandoはOWASPの方法論に従って開発しています...
あなたの会社はこの方法論をどのように採用しましたか? 利点は何ですか? それをソフトウェア制作に適用するのは難しいですか? スタッフはコースを受講していますか? あなたは大学と協力しますか?
企業や行政の現代的なアプリケーションの開発は、製品ソフトウェアの革新性、品質、安全性を保証することを意味します。 このため、Entandoは、OWASPのガイドラインと、コードの品質をチェックしチェックするための方法論を採用することを決定しました。
Entandoは、カリアリ大学のパターン認識とアプリケーションラボと積極的に協力しています(http://pralab.diee.unica.itそのITセキュリティ部門は教授によって率いられています。 ジョルジョ・ジャチント。 特に、彼はsTATAと呼ばれるプロジェクトの一部でした(http://stata.diee.unica.itこれは、情報セキュリティの分野における特定の高度なスキルを持つ地区の創設であり、市民や企業が現在公開しているサイバー攻撃のリスクに対応してアイデア、ソリューション、革新的な製品を開発することができます。 このプロジェクトには明らかに、プラットフォームの実装に関わるEntandoスタッフの訓練を含むいくつかの段階が含まれていました。
2017トップテンについてはまだ議論が進行中であり、公式のものを知るためにはまだ待つ必要があることはわかっています。 しかし、私たちはこれらの繊細さを材料の専門家に任せ、Top Tenがすでにリリースされたかのように推論しようとします。
上の2013にはすでに2017のドラフト提案書にも「注入」として知られているカテゴリがあります。このカテゴリには "SQL、OS、XXE、LDAPインジェクションなどのインジェクションの欠陥は、信頼できないデータがコマンドまたはクエリの一部としてインタープリターに送信されるときに発生します。 攻撃者の敵対的なデータは、通訳者をだまして意図しないコマンドを実行させたり、適切な許可なしにデータにアクセスさせたりする可能性があります"。
In貧しい言葉、非専門家のために、あなたはそれが何であるか説明できますか?
インジェクションとは、攻撃者が受信データをソフトウェアに渡して、予想される実行を変更できるようにする幅広いクラスの攻撃を意味します。 これは、Webアプリケーションにとって最も危険な攻撃のXNUMXつです。 その結果、データの損失からクレジットカードなどの機密データの盗難までさまざまです。
インジェクションの種類には、SQLインジェクションが最もよく知られています。
SQLインジェクションは、データベースに依存するWebアプリケーションを使用するハッキングの方法です。 この脆弱性のために、攻撃者は不正な方法でデータベース内のデータを操作し、その中のデータを読み取り、変更、または削除することができます。
このカテゴリーの攻撃が使用された実際のケースの中には、ハートランド支払いシステムに対して行われた2009年の攻撃があります。 その際、130億XNUMX万枚のクレジットカードとデビットカードの資格が盗まれました。 しかし、この脆弱性の影響を受けるシステムのセキュリティをどのように改善しますか?
受信データのコントロールの機能を検証する必要があります。これにより、受信したデータの欠落または不正確な検証を利用して、データベースに対して任意のクエリを実行することができなくなります。 さらに明確にするために、サイトのフォームでユーザーIDの挿入が必要な場合、ソフトウェアは、ユーザーが入力したデータが実際にユーザーIDの形式であることを確認し、ユーザーが別のデータを送信できないようにする必要があります。コマンドとして解釈できる文字列かもしれません。
ありがとう、今私は "注射"の意味は誰にでも明確だと思う。
おそらく誰もが攻撃の根底にあるメカニズムを完全に理解するわけではないかもしれませんが、最も重要なことは、Webツールの使用がリスクを提示できることを人々に知らせることですが、それらを最小限に抑える方法があると思います。 エンジニアアンブ、リストの2番目は 壊れた認証とセッション管理.
それは何ですか?
この場合、攻撃者は、通常、いわゆる「セッショントークン」に格納されているデータを操作することができる脆弱性を扱っています。このトークンは、Webページを閲覧し、 Webアプリケーションのクライアント側とサーバー側の間でデータを交換します。 有名なクッキーはこのメカニズムを可能にします。 この場合、攻撃者は他人の身元を奪取したり、パスワードを変更したり、システムに侵入することさえできます。 例えば、ハッカーが私たちの銀行口座に入金して被害を被ることを想像してみてください!
それは手形を空にすることができます! そして、おそらく私たちが仕事上の関係を持っている人々の経常収支に関する情報を入手してください。 潜在的にこれは私たちだけでなく私たちが取引している人々や企業も危険にさらします。
エンジニアのアンブ、私は確かにリストにあるXNUMX個の脆弱性すべてを分析するように頼むのにあまり時間をかけたくないのですが、少なくともXNUMX番目の脆弱性は注目に値すると思います:クロスサイトスクリプティング(XSS)、それは何ですか?
クロスサイトスクリプティングは、ID盗難を実行するためのかなり一般的な手法です。
実際には、アプリケーションは検証チェックを行わずに、たとえばフォームからの受信データを処理します。この観点から見ると、インジェクション技術に似ています。
悪意のあるコードは、ブラウザの悪意のあるコードコード(JavaScriptコードの例)をウェブサイトの任意の形式で注入して、人の身元を盗んだり、ウェブサイトの一部を改変したりして、ユーザーにマルウェアをダウンロードさせることもあります。
エンジニアAmbuあなたの時間をありがとう。 彼の存在と能力をさらに活用して、OWASP方法論のベストプラクティスを使用して、これらの攻撃テクニックのすべてが少なくとも部分的には不快になる可能性があることを繰り返します。 実際には、OWASP方法論の使用は、最も一般的で危険な攻撃の大部分を防ぐことを可能にします。
まさに、OWASPは予防的方法論です。 どのような場合でもその適用はすべての病気に対する万能薬とはみなされるべきではありませんが、確かに非常に有用であり、何らかの形でソフトウェア開発とコンピュータセキュリティに関わるすべての人々によって深く研究される価値があります。 これに関連して、カリアリの広場にある建築技術学部の講堂で、来年10月の20はイタリアOWASPの日2017で開催されます。 ソフトウェアのセキュリティに関して非常に興味深い出来事です。
ゲストの中には、サイバーセキュリティの分野で世界的に認められた権威であるSynopsysの副社長であるGaryMcGrawが含まれます。
私たちエンタンドが出席し、公開されたばかりの概念をさらに深める機会があります。 私達はあなたを待っている!
もっと知ることができます。
- https://www.owasp.org/index.php/Italy_OWASP_Day_2017
- https://www.computerworld.com/article/2527185/security0/sql-injection-at...
- https://www.w3schools.com/sql/sql_injection.asp
