The OWASP Top 10 ความเสี่ยงบน Web Application

The OWASP Top 10 ความเสี่ยงบน Web Application

HIGHLIGHT

.

- หากคุณต้องการให้ “Web Application” ของคุณสามารถค้นหาช่องโหว่ได้อย่างถูกต้อง จะต้องอาศัยกระบวนการรวบรวมข้อมูลที่อาจจะต้องจะต้องสูญเสียเวลาของเหล่าทีมไอที ในการเดินลุยหาข้อมูลกันไปบ้าง

- และอีกหนึ่งวิธีก็คือ “ตัวคุณเองก็จะต้องเริ่มต้นตอบให้ได้ก่อนว่า “Web Application” มีความถูกต้องหรือไม่ในการตรวจค้นหาช่องโหว่ได้มากน้อยแค่ไหน ซึ่งสามารถตรวจเช็คได้จากความสามารถในการรับมือ Open Web Application Security หรือ OWASP Top 10

.

.

Open Web Application Security หรือ OWASP Top 10 Vulnerabilities ประกอบไปด้วย:

.

Injection: การโจมตีในรูปแบบที่ผู้โจมตีจะส่งข้อมูลที่ไม่น่าเชื่อถือไปยัง SQL, OS หรือ LDAP โดยสั่งการด้วยคำสั่งปลอม เพื่อเรียกใช้คำสั่งในการเข้าถึงข้อมูลที่สำคัญภายใน

Broken Authentication and Session Management: แฮกเกอร์จะใช้กระบวนการตรวจสอบสิทธิ์และการจัดการเซสชั่น เพื่อขโมยรหัสผ่านโทเค็น หรือคีย์ที่จะช่วยให้ระบุตัวตนของผู้ใช้ “จึงทำให้สามารถแฮ็กเข้าถึงเครือข่ายของคุณได้อย่างอิสระไม่แตกต่างกับบุคคลในองค์กรเลยทีเดียว”

Cross-Site Scripting: แฮ็กเกอร์จะแฮ็กผู้ใช้ให้เปลี่ยนเส้นทางไปยังเว็บไซด์ที่เป็นอันตราย หรือทำให้เกิดความผิดพลาดในเว็บไซด์ โดยอาศัยข้อบกพร่องใน XSS.

“ Application” จะใช้ข้อมูลที่ไม่น่าเชื่อถือส่งไปยัง “Web Brower” โดยไม่มีกระบวนการตรวจสอบ ทำให้ Scrip ที่ไม่พึ่งประสงค์เกิดขึ้นใน “Web Brower” ของเหยื่อ

Insecure Direct Object References: ความเสี่ยงที่เกิดจาก “นักพัฒนาซอฟต์แวร์” ในการอ้างอิงวัตถุต่างๆในลงโค้ด (เช่น ไฟล์ คีย์ฐานข้อมูลไดเรกทอรี) และหากโค้ดไม่มีการควบคุมการเข้าถึงหรือการป้องกันแฮกเกอร์ จะทำให้แฮกเกอร์เข้าถึงข้อมูลที่มีการอ้างอิงได้ไม่ยากเย็น

Security Misconfiguration: การปฏิบัติที่ดีที่สุดในการควบคุมความปลอดภัยก็คือ “การกำหนดค่าความปลอดภัยภายในแอปพลิเคชั่นและทั้งรูปแบบการทำงานของแพลตฟอร์ม ดังนั้นหากมีการกำหนดค่าที่ไม่ถูกต้อง ก็เหมือนการเปิดโอกาสให้เหล่าแฮกเกอร์สามารถเปิดฉากโจมตีเครือข่ายของคุณได้ง่ายๆ

Sensitive Data Exposure: เชื่อหรือไม่ ! “ Application” มากมายที่ถูกพัฒนาขึ้นมาและถูกใช้บนเว็บไซด์โดยทั่วไปยังสามารถป้องกันข้อมูลที่สำคัญอย่างเช่น ข้อมูลบัตรเครดิต รหัสภาษี หรือข้อมูลสำคัญๆได้อย่างถูกต้อง เหล่าแฮกเกอร์จึงมักใช้จุดอ่อนเหล่านี้ในการโจรกรรมข้อมูล

Missing Function Level Access Control: อีกหนึ่งช่องทางที่ดีที่สุดในการป้องกันการเข้าถึงของความเสี่ยงก็คือ ทั้งแอปพลิเคชั่น เว็บไซด์ และเซิร์ฟเวอร์ จะต้องเชื่อมโยงกันเพื่อขอสิทธิ์ในการเข้าถึงข้อมูล หรือยืนยันตัวตนจึงจะสามารถเข้าถึงข้อมูลสำคัญต่างๆได้ ซึ่งจะเพิ่มความยากลำบากให้กับแฮกเกอร์ในการเจาะระบบ

Cross Site Request Forgery (CSRF): แฮกเกอร์ใช้การโจมตีแบบ CSRF เพื่อบังคับให้ Web Brower ของเหยื่อส่งคำขอ HTTP ปลอม และข้อมูลมูลตรวจสอบสิทธิ์ในการเข้าถึง ไปยัง “Web Application” ที่มีช่องโหว่

Using Components with Known Vulnerabilities: Software module components มักทำงานโดยมีสิทธิ์ในส่วนต่างๆได้อย่างเต็มที่ ดังนั้นหาก Software ไม่ได้เข้าถึงส่วนต่างๆที่เกิดช่องโหว่ อาจจะทำให้เป็นโอกาสของเหล่าแฮกเกอร์ในการเจาะข้อมูลได้เช่นเดียวกัน

Unvalidated Redirects and Forwards: แม้ว่าแอปพลิเคชั่นภายในเว็บจะสามารถส่งต่อหรือเปลี่ยนเส้นทางผู้ใช้ไปยังส่วนต่างๆภายในเว็บและภายนอกเว็บไซด์ แต่หากไม่ได้รับการตรวจสอบและตั้งค่าที่ถูกต้องจะทำให้แฮกเกอร์สามารถเข้ามาเปลี่ยนเส้นทางไปยังไซต์ที่เป็นอันตรายได้

มีการทำแบบสำรวจอยู่บ่อยครั้ง (“Verizon Data Breach Detigations Report”) ในเรื่องของความปลอดภัยบนเครือข่าย โดยเฉพาะ “Web Application” ที่มักจะตกเป็นเหยื่อของภัยคุกคาม และเหล่าแฮกเกอร์อยู่เสมอ เมื่อผู้ประกอบรู้เช่นนี้แล้ว ควรจะหันมาทำความเข้าใจในเรื่องของการกำหนดค่าความปลอดภัยและเครื่องมือที่ใช้ในการสแกนช่องโหว่ได้อย่างมีประสิทธิภาพ จะสามารถลดความเสี่ยงต่อองค์กรและลูกค้าได้เป็นอย่างดีเลยทีเดียว ปรึกษาการทำ Cyber Security

.

.

.

Reference : https://www.rapid7.com/fundamentals/web-application-security/