About Teletype
Join
Black and white
@balackandwhitehat
November 2, 2023

Зачем мне знать OWASP Top 10?

Всем привет! Я снова на связи.


Что это такое?

OWASP Top 10 - это список наиболее критических уязвимостей веб-приложений, составленный открытым проектом по безопасности веб-приложений (OWASP). Этот список периодически обновляется и включает в себя наиболее актуальные угрозы для веб-приложений.

Такой список позволяет разработчикам, администраторам и тестировщикам веб-приложений оценивать и улучшать безопасность своих проектов, уделяя приоритет важным аспектам. Он также помогает образовывать и информировать людей о существующих угрозах и методах их предотвращения. И конечно же он будет полезен и нам, как атакующей стороне.

Важно также знать, что OWASP это не только про веб-приложения. Вот полный список:

  1. OWASP Mobile Top 10: Этот список ориентирован на угрозы, связанные с мобильными приложениями. Он включает в себя наиболее критические уязвимости и угрозы, специфичные для мобильных платформ.
  2. OWASP API Security Top 10: Этот список фокусируется на безопасности API (интерфейсов прикладного программирования), что становится все более важным с ростом использования API в разработке.
  3. OWASP IoT Top Ten: Этот список охватывает угрозы в области Интернета вещей (IoT) и безопасность устройств, подключенных к сети.
  4. OWASP Cloud-Native Application Security Top 10: Этот список описывает угрозы и рекомендации по безопасности для облачных приложений и инфраструктуры.
  5. OWASP Serverless Top 10: Этот список фокусируется на безопасности приложений, основанных на сервере без серверов, таких как AWS Lambda.

Касаться данных направлений на данный момент времени я не планирую. Мы будем говорить с вами про уязвимости веб-приложений.

Давайте посмотри на топ 10 уязвимостей

  • A01:2021 - Broken Access Control (Нарушенный контроль доступа)
  • A02:2021 - Cryptographic Failures (Криптографические сбои)
  • A03:2021 - Injection (Инъекция)
  • A04:2021 - Insecure Design (Небезопасный дизайн)
  • A05:2021 - Security Misconfiguration (Неправильная конфигурация системы безопасности)
  • A06:2021 - Vulnerable and Outdated Components (Уязвимые и устаревшие компоненты)
  • A07:2021 - Identification and Authentication Failures (Сбои идентификации и аутентификации)
  • A08:2021 - Software and Data Integrity Failures (Нарушения целостности программного обеспечения и данных)
  • A09:2021 - Security Logging and Monitoring Failures (Сбои в регистрации и мониторинге безопасности)
  • A10:2021 - Server-Side Request Forgery (Подделка запросов на стороне сервера)

Источник

Сегодня я не планирую погружаться вглубь данных уязвимостей, мы обязательно это сделаем, но чуть позже. Я хочу донести до тебя, почему тебе нужно знать эти уязвимости и разбираться в них.

Когда я задаюсь этим вопросом, то понимаю, что ответ на поставленный вопрос можно рассмотреть с разных сторон. Как мы знаем существует 2 команды, красные (хакеры) и синие (безопасники).

Красная команда

Почему важно знать эти уязвимости белым шляпам?

  1. Ориентир для тестирования безопасности: Список OWASP Top 10 определяет наиболее распространенные уязвимости, с которыми сталкиваются веб-приложения. Зная эти уязвимости, вы можете провести более целенаправленное и эффективное тестирование безопасности.
  2. Понимание точек уязвимости: Знание OWASP Top 10 позволяет вам лучше понимать, где находятся наиболее вероятные точки уязвимости в веб-приложениях. Это поможет вам сосредоточить усилия на наиболее критических областях.
  3. Советы по устранению уязвимостей: OWASP также предоставляет рекомендации по устранению каждой уязвимости из списка. Это полезно для вас, так как вы можете не только обнаруживать проблемы, но и предлагать пути их решения.
  4. Образовательные цели: Знание OWASP Top 10 помогает вам собирать информацию и образовывать клиентов или команду относительно рисков и методов их уменьшения.

Почему важно знать эти уязвимости чёрным шляпам?

  1. Знание обороны: Знание наиболее распространенных уязвимостей и способов их устранения позволяет хакерам лучше понимать, как защищены веб-приложения. Это может помочь им искать слабые места в системах и понимать, какие меры предосторожности применяются.
  2. Эффективность атак: Зная уязвимости из OWASP Top 10, хакеры могут целенаправленно использовать эти знания для проведения атак на веб-приложения. Они могут анализировать приложения на предмет наличия этих уязвимостей и использовать их для вторжения.
  3. Противодействие детекции: Понимание того, какие уязвимости могут быть использованы хакерами, помогает администраторам безопасности разрабатывать средства обнаружения и предотвращения атак, что также может быть полезно хакерам для разработки более утонченных методов обхода защиты.
  4. Образование и исследование: Для некоторых хакеров знание OWASP Top 10 может служить образовательной целью и помогать им лучше понимать безопасность веб-приложений. Оно также может быть полезным для проведения исследований и экспериментов в области безопасности.
Вы спросите, почему я разделил белые шляпы от черных? Всё просто, у них отличаются намерения. Хотя цель и тех и других найти и эксплуатировать уязвимость, но намерения их сильно рознятся.

Синяя команда

Почему важно знать эти уязвимости специалистам по информационной безопасности?

  1. Определение приоритетов: Этот список помогает вам и вашей команде определить, на какие уязвимости следует обратить внимание в первую очередь. Это позволяет сосредотачивать ресурсы на самых критических областях.
  2. Аудит безопасности: Знание OWASP Top 10 может использоваться при аудите безопасности веб-приложений. Вы можете оценить, насколько хорошо приложение защищено от этих распространенных угроз.
  3. Советы по решению: Список также предоставляет советы по устранению каждой уязвимости. Это помогает вам разрабатывать стратегии и рекомендации по улучшению безопасности.
  4. Осведомленность и образование: Знание OWASP Top 10 помогает вам быть осведомленным о текущих угрозах в области веб-приложений и способах их предотвращения. Вы можете использовать это знание для образования сотрудников и клиентов о важности безопасности.
  5. Реагирование на инциденты: При возникновении инцидентов связанных с уязвимостями, список OWASP Top 10 может помочь вам быстрее идентифицировать и реагировать на атаки.

Надеюсь у вас появилось представление о том, что это такое и для чего. В следующей статье мы подробно рассмотрим первую уязвимость в списке, скажу даже больше, мы на практике пройдемся по ней. Спасибо за внимание!

November 2, 2023, 14:02
0 views
0 reposts