Notice: Undefined offset: 0 in /home/monsterconnect/webapps/monsterconnect/wp-includes/meta.php on line 636
Monster Connect | The OWASP Top 10 ความเสี่ยงบน Web Application

The OWASP Top 10 ความเสี่ยงบน Web Application

The OWASP Top 10 Web Application

The OWASP Top 10 ความเสี่ยงบน Web Application

The OWASP Top 10 ความเสี่ยงบน Web Application

HIGHLIGHT

.

– หากคุณต้องการให้ “Web Application” ของคุณสามารถค้นหาช่องโหว่ได้อย่างถูกต้อง จะต้องอาศัยกระบวนการรวบรวมข้อมูลที่อาจจะต้องจะต้องสูญเสียเวลาของเหล่าทีมไอที ในการเดินลุยหาข้อมูลกันไปบ้าง

– และอีกหนึ่งวิธีก็คือ “ตัวคุณเองก็จะต้องเริ่มต้นตอบให้ได้ก่อนว่า “Web Application” มีความถูกต้องหรือไม่ในการตรวจค้นหาช่องโหว่ได้มากน้อยแค่ไหน ซึ่งสามารถตรวจเช็คได้จากความสามารถในการรับมือ Open Web Application Security หรือ OWASP Top 10

.

.

Open Web Application Security หรือ OWASP Top 10 Vulnerabilities
ประกอบไปด้วย:

.

Injection: การโจมตีในรูปแบบที่ผู้โจมตีจะส่งข้อมูลที่ไม่น่าเชื่อถือไปยัง SQL, OS หรือ LDAP โดยสั่งการด้วยคำสั่งปลอม เพื่อเรียกใช้คำสั่งในการเข้าถึงข้อมูลที่สำคัญภายใน

Broken Authentication and Session Management: แฮกเกอร์จะใช้กระบวนการตรวจสอบสิทธิ์และการจัดการเซสชั่น เพื่อขโมยรหัสผ่านโทเค็น หรือคีย์ที่จะช่วยให้ระบุตัวตนของผู้ใช้ “จึงทำให้สามารถแฮ็กเข้าถึงเครือข่ายของคุณได้อย่างอิสระไม่แตกต่างกับบุคคลในองค์กรเลยทีเดียว”

Cross-Site Scripting: แฮ็กเกอร์จะแฮ็กผู้ใช้ให้เปลี่ยนเส้นทางไปยังเว็บไซด์ที่เป็นอันตราย หรือทำให้เกิดความผิดพลาดในเว็บไซด์ โดยอาศัยข้อบกพร่องใน XSS.

“ Application” จะใช้ข้อมูลที่ไม่น่าเชื่อถือส่งไปยัง “Web Brower” โดยไม่มีกระบวนการตรวจสอบ ทำให้ Scrip ที่ไม่พึ่งประสงค์เกิดขึ้นใน “Web Brower” ของเหยื่อ

Insecure Direct Object References: ความเสี่ยงที่เกิดจาก “นักพัฒนาซอฟต์แวร์” ในการอ้างอิงวัตถุต่างๆในลงโค้ด (เช่น ไฟล์ คีย์ฐานข้อมูลไดเรกทอรี) และหากโค้ดไม่มีการควบคุมการเข้าถึงหรือการป้องกันแฮกเกอร์ จะทำให้แฮกเกอร์เข้าถึงข้อมูลที่มีการอ้างอิงได้ไม่ยากเย็น

Security Misconfiguration: การปฏิบัติที่ดีที่สุดในการควบคุมความปลอดภัยก็คือ “การกำหนดค่าความปลอดภัยภายในแอปพลิเคชั่นและทั้งรูปแบบการทำงานของแพลตฟอร์ม ดังนั้นหากมีการกำหนดค่าที่ไม่ถูกต้อง ก็เหมือนการเปิดโอกาสให้เหล่าแฮกเกอร์สามารถเปิดฉากโจมตีเครือข่ายของคุณได้ง่ายๆ

Sensitive Data Exposure: เชื่อหรือไม่ ! “ Application” มากมายที่ถูกพัฒนาขึ้นมาและถูกใช้บนเว็บไซด์โดยทั่วไปยังสามารถป้องกันข้อมูลที่สำคัญอย่างเช่น ข้อมูลบัตรเครดิต รหัสภาษี หรือข้อมูลสำคัญๆได้อย่างถูกต้อง เหล่าแฮกเกอร์จึงมักใช้จุดอ่อนเหล่านี้ในการโจรกรรมข้อมูล

Missing Function Level Access Control: อีกหนึ่งช่องทางที่ดีที่สุดในการป้องกันการเข้าถึงของความเสี่ยงก็คือ ทั้งแอปพลิเคชั่น เว็บไซด์ และเซิร์ฟเวอร์ จะต้องเชื่อมโยงกันเพื่อขอสิทธิ์ในการเข้าถึงข้อมูล หรือยืนยันตัวตนจึงจะสามารถเข้าถึงข้อมูลสำคัญต่างๆได้ ซึ่งจะเพิ่มความยากลำบากให้กับแฮกเกอร์ในการเจาะระบบ

Cross Site Request Forgery (CSRF): แฮกเกอร์ใช้การโจมตีแบบ CSRF เพื่อบังคับให้ Web Brower ของเหยื่อส่งคำขอ HTTP ปลอม และข้อมูลมูลตรวจสอบสิทธิ์ในการเข้าถึง ไปยัง “Web Application” ที่มีช่องโหว่

Using Components with Known Vulnerabilities: Software module components มักทำงานโดยมีสิทธิ์ในส่วนต่างๆได้อย่างเต็มที่ ดังนั้นหาก Software ไม่ได้เข้าถึงส่วนต่างๆที่เกิดช่องโหว่ อาจจะทำให้เป็นโอกาสของเหล่าแฮกเกอร์ในการเจาะข้อมูลได้เช่นเดียวกัน

Unvalidated Redirects and Forwards: แม้ว่าแอปพลิเคชั่นภายในเว็บจะสามารถส่งต่อหรือเปลี่ยนเส้นทางผู้ใช้ไปยังส่วนต่างๆภายในเว็บและภายนอกเว็บไซด์ แต่หากไม่ได้รับการตรวจสอบและตั้งค่าที่ถูกต้องจะทำให้แฮกเกอร์สามารถเข้ามาเปลี่ยนเส้นทางไปยังไซต์ที่เป็นอันตรายได้

มีการทำแบบสำรวจอยู่บ่อยครั้ง (“Verizon Data Breach Detigations Report”) ในเรื่องของความปลอดภัยบนเครือข่าย โดยเฉพาะ “Web Application” ที่มักจะตกเป็นเหยื่อของภัยคุกคาม และเหล่าแฮกเกอร์อยู่เสมอ เมื่อผู้ประกอบรู้เช่นนี้แล้ว ควรจะหันมาทำความเข้าใจในเรื่องของการกำหนดค่าความปลอดภัยและเครื่องมือที่ใช้ในการสแกนช่องโหว่ได้อย่างมีประสิทธิภาพ จะสามารถลดความเสี่ยงต่อองค์กรและลูกค้าได้เป็นอย่างดีเลยทีเดียว ปรึกษาการทำ Cyber Security

.

.

.

Reference : https://www.rapid7.com/fundamentals/web-application-security/

Monster Connect
Monster Connect