OWASP مٿي 10 حفاظتي خطرا | اوسر
مواد جي جدول
OWASP ڇا آهي؟
OWASP ھڪڙو غير منافع بخش ادارو آھي جيڪو ويب ايپ سيڪيورٽي تعليم لاءِ وقف آھي.
OWASP سکيا وارو مواد انهن جي ويب سائيٽ تي دستياب آهي. انهن جا اوزار ويب ايپليڪيشنن جي سيڪيورٽي کي بهتر ڪرڻ لاء ڪارائتو آهن. ھن ۾ دستاويز، اوزار، وڊيوز، ۽ فورمز شامل آھن.
OWASP Top 10 هڪ فهرست آهي جيڪا اڄ جي ويب ايپس لاءِ اعليٰ حفاظتي خدشات کي نمايان ڪري ٿي. اهي سفارش ڪن ٿا ته سڀئي ڪمپنيون هن رپورٽ کي انهن جي عملن ۾ شامل ڪن ته سيڪيورٽي خطرن کي گهٽائڻ لاء. هيٺ ڏنل حفاظتي خطرن جي هڪ فهرست آهي جيڪا OWASP ٽاپ 10 2017 رپورٽ ۾ شامل آهي.
SQL انجيل
SQL انجيڪشن تڏهن ٿيندي آهي جڏهن هڪ حملو ڪندڙ ويب ايپ تي نامناسب ڊيٽا موڪليندو آهي ته جيئن ايپليڪيشن ۾ پروگرام ۾ خلل پوي.
SQL انجيل جو هڪ مثال:
حملو ڪندڙ هڪ SQL سوال داخل ڪري سگهي ٿو هڪ ان پٽ فارم ۾ جنهن لاءِ صارف نالو سادو متن جي ضرورت آهي. جيڪڏهن ان پٽ فارم محفوظ نه آهي، اهو نتيجو ٿيندو SQL سوال جي عمل ۾. هي حوالو ڏنو ويو آهي SQL انجيڪشن جي طور تي.
ويب ايپليڪيشنن کي ڪوڊ انجيڪشن کان بچائڻ لاءِ، پڪ ڪريو ته توهان جا ڊولپر استعمال ڪندڙ صارف جي جمع ڪيل ڊيٽا تي ان پٽ جي تصديق کي استعمال ڪن ٿا. هتي جي تصديق غلط ان پٽن جي رد ڪرڻ ڏانهن اشارو ڪري ٿي. هڪ ڊيٽابيس مئنيجر پڻ سيٽ ڪري سگھي ٿو ڪنٽرول جي مقدار کي گھٽائڻ لاء معلومات اهو ڪري سگهي ٿو پڌرو ڪيو وڃي هڪ انجڻ جي حملي ۾.
SQL انجيڪشن کي روڪڻ لاءِ، OWASP سفارش ڪري ٿو ڊيٽا کي حڪمن ۽ سوالن کان الڳ رکڻ. بهتر اختيار محفوظ استعمال ڪرڻ آهي API مترجم جي استعمال کي روڪڻ لاءِ، يا Object Relational Mapping Tools (ORMs) ڏانهن لڏڻ لاءِ.
ٽوڙيل تصديق
تصديق جي خطرات هڪ حملي ڪندڙ کي اجازت ڏئي سگھن ٿا صارف اڪائونٽن تائين رسائي ۽ منتظم اڪائونٽ استعمال ڪندي سسٽم کي سمجھوتو. هڪ سائبر ڪرمنل هڪ اسڪرپٽ استعمال ڪري سگهي ٿو هڪ سسٽم تي هزارين پاسورڊ گڏ ڪرڻ جي ڪوشش ڪرڻ لاءِ اهو ڏسڻ لاءِ ته ڪهڙو ڪم ڪري ٿو. هڪ دفعو سائبر ڏوهن ۾ آهي، اهي صارف جي سڃاڻپ کي جعلي ڪري سگهن ٿا، انهن کي رازداري معلومات تائين رسائي ڏئي ٿي.
ويب ايپليڪيشنن ۾ هڪ ٽوٽل تصديق جو خطرو موجود آهي جيڪي خودڪار لاگ ان جي اجازت ڏين ٿيون. تصديق جي خطري کي درست ڪرڻ لاء هڪ مشهور طريقو آهي multifactor تصديق جو استعمال. پڻ، لاگ ان جي شرح جي حد ٿي سگھي ٿي شامل ڪيو وڃي وحشي قوتن جي حملن کي روڪڻ لاءِ ويب ايپ ۾.
حساس ڊيٽا جي نمائش
جيڪڏهن ويب ايپليڪيشنون محفوظ نه ٿيون ڪن حساس حملي ڪندڙ انهن کي رسائي ۽ انهن جي فائدي لاءِ استعمال ڪري سگهن ٿا. هڪ رستي تي حملو حساس معلومات چوري ڪرڻ لاء هڪ مشهور طريقو آهي. نمائش جو خطرو گهٽ ۾ گهٽ ٿي سگهي ٿو جڏهن سڀ حساس ڊيٽا انڪوڊ ٿيل آهي. ويب ڊولپرز کي يقيني بڻائڻ گهرجي ته ڪو به حساس ڊيٽا برائوزر تي ظاهر نه ڪيو ويو آهي يا غير ضروري طور تي ذخيرو ٿيل آهي.
ايڪس ايم ايل خارجي ادارا (XEE)
هڪ سائبر ڪرمنل شايد XML دستاويزن ۾ بدسلوڪي XML مواد، حڪم، يا ڪوڊ اپلوڊ ڪرڻ يا شامل ڪرڻ جي قابل ٿي سگھي ٿو. هي انهن کي ايپليڪيشن سرور فائل سسٽم تي فائلون ڏسڻ جي اجازت ڏئي ٿو. هڪ دفعو انهن وٽ رسائي آهي، اهي سرور سان رابطو ڪري سگهن ٿا سرور-سائڊ درخواست جعلسازي (SSRF) حملن کي انجام ڏيڻ لاءِ.
ايڪس ايم ايل خارجي ادارو حملا ڪري سگھن ٿا طرفان روڪيو وڃي ويب ايپليڪيشنن کي گهٽ پيچيده ڊيٽا جي قسمن کي قبول ڪرڻ جي اجازت ڏيڻ جهڙوڪ JSON. XML خارجي اداري جي پروسيسنگ کي غير فعال ڪرڻ پڻ XEE حملي جا موقعا گھٽائي ٿي.
ٽوڙيل رسائي ڪنٽرول
رسائي ڪنٽرول هڪ سسٽم پروٽوڪول آهي جيڪو غير مجاز استعمال ڪندڙن کي حساس معلومات تائين محدود ڪري ٿو. جيڪڏهن رسائي ڪنٽرول سسٽم ڀڄي ويو آهي، حملي ڪندڙ تصديق ڪري سگھن ٿا. هي انهن کي حساس معلومات تائين رسائي ڏئي ٿو ڄڻ ته انهن وٽ اختيار آهي. رسائي ڪنٽرول کي محفوظ ڪري سگھجي ٿو صارف جي لاگ ان تي اختيار ڏيڻ واري ٽوڪن کي لاڳو ڪرڻ سان. هر درخواست تي هڪ صارف جيڪو تصديق ڪري ٿو، صارف سان اجازت ڏيڻ واري ٽوڪن جي تصديق ڪئي وئي آهي، اهو اشارو ڏئي ٿو ته صارف اها درخواست ڪرڻ جو مجاز آهي.
سيڪيورٽي جي غلط ترتيب
سيڪيورٽي غلط ترتيب هڪ عام مسئلو آهي سائبر سيڪيورٽي ماهر ويب ايپليڪيشنن ۾ مشاهدو ڪن ٿا. اهو غلط ترتيب ڏنل HTTP هيڊرز، ٽوٽل رسائي ڪنٽرول، ۽ غلطين جي ڊسپلي جي نتيجي ۾ ٿئي ٿو جيڪي ويب ايپ ۾ معلومات کي ظاهر ڪن ٿا.. توھان غير استعمال ٿيل خصوصيتن کي ختم ڪندي ھڪڙي سيڪيورٽي غلط ترتيب کي درست ڪري سگھو ٿا. توھان کي پنھنجي سافٽ ويئر پيڪيجز کي پڻ پيچ يا اپڊيٽ ڪرڻ گھرجي.
ڪراس سائيٽ اسڪرپٽ (XSS)
XSS جي ڪمزوري تڏهن ٿيندي آهي جڏهن هڪ حملو ڪندڙ هڪ قابل اعتماد ويب سائيٽ جي DOM API کي استعمال ڪري ٿو ته جيئن صارف جي برائوزر ۾ بدسلوڪي ڪوڊ کي هلائڻ لاءِ. هن بدسلوڪي ڪوڊ جو عمل اڪثر تڏهن ٿيندو آهي جڏهن ڪو صارف هڪ لنڪ تي ڪلڪ ڪندو آهي جيڪو ظاهر ٿئي ٿو ڪنهن قابل اعتماد ويب سائيٽ تان. جيڪڏهن ويب سائيٽ XSS جي نقصان کان محفوظ نه آهي، اهو ڪري سگهي ٿو سمجهوتو ڪيو وڃي. خراب ڪوڊ جيڪو عمل ڪيو وڃي ٿو هڪ حملي ڪندڙ کي صارفين جي لاگ ان سيشن، ڪريڊٽ ڪارڊ تفصيلات، ۽ ٻين حساس ڊيٽا تائين رسائي ڏئي ٿي.
Cross-site Scripting (XSS) کي روڪڻ لاءِ، پڪ ڪريو ته توهان جو HTML چڱي طرح صاف ٿيل آهي. هي ڪري سگهي ٿو ذريعي حاصل ڪيو وڃي قابل اعتماد فريم ورڪ چونڊڻ جي ٻولي جي بنياد تي. توھان .Net، Ruby on Rails، ۽ React JS جھڙيون ٻوليون استعمال ڪري سگھو ٿا جيئن اھي توھان جي HTML ڪوڊ کي پارس ڪرڻ ۽ صاف ڪرڻ ۾ مدد ڏين. تصديق ٿيل يا غير تصديق ٿيل استعمال ڪندڙن جي سڀني ڊيٽا کي ناقابل اعتبار طور علاج ڪرڻ سان XSS حملن جي خطري کي گھٽائي سگھي ٿو.
غير محفوظ Deserialization
Deserialization هڪ سرور کان هڪ اعتراض کي سيريل ٿيل ڊيٽا جي تبديلي آهي. سافٽ ويئر ڊولپمينٽ ۾ ڊيٽا جي ترتيب ڏيڻ هڪ عام واقعو آهي. اهو غير محفوظ آهي جڏهن ڊيٽا deserialized آهي هڪ ناقابل اعتبار ذريعن کان. هي ڪري سگهي ٿو ممڪن آهي توهان جي ايپليڪيشن کي حملن ڏانهن وڌايو. غير محفوظ ڊيسيريلائيزيشن تڏهن ٿيندي آهي جڏهن بي ترتيب ڪيل ڊيٽا هڪ غير معتبر ماخذ کان ڊي ڊي او ايس حملن، ريموٽ ڪوڊ جي عمل جي حملن، يا تصديق جي بائي پاسز ڏانهن ويندي آهي..
غير محفوظ ڊيسيريلائيزيشن کان بچڻ لاءِ، انگن جو قاعدو اهو آهي ته ڪڏهن به صارف جي ڊيٽا تي ڀروسو نه ڪجي. هر صارف ان پٽ ڊيٽا کي گهرجي علاج ڪيو وڃي as ممڪن آهي خراب. ناقابل اعتبار ذريعن کان ڊيٽا کي ختم ڪرڻ کان پاسو ڪريو. يقيني بڻائڻ ته deserialization فعل ڪرڻ لاء استعمال ڪيو وڃي توهان جي ويب ايپليڪيشن ۾ محفوظ آهي.
سڃاتل ڪمزورين سان اجزاء استعمال ڪرڻ
لائبريريون ۽ فريم ورڪ ان کي تيز ڪري ڇڏيو آهي ويب ايپليڪيشنن کي ڊولپ ڪرڻ لاءِ ان کي ٻيهر ايجاد ڪرڻ جي بغير. هي ڪوڊ جي تشخيص ۾ بيڪار گھٽائي ٿو. اهي ڊولپرز کي ايپليڪيشنن جي وڌيڪ اهم پهلوئن تي ڌيان ڏيڻ لاءِ رستو هموار ڪن ٿا. جيڪڏهن حملو ڪندڙ انهن فريم ورڪ ۾ استحصال ڳوليندا آهن، هر ڪوڊ بيس فريم ورڪ استعمال ڪندي سمجهوتو ڪيو وڃي.
اجزاء ڊولپر اڪثر ڪري سيڪيورٽي پيچ ۽ تازه ڪاريون جزو لائبريرين لاء پيش ڪن ٿا. اجزاء جي ڪمزورين کان بچڻ لاء، توهان کي سکڻ گهرجي ته توهان جي ايپليڪيشنن کي تازه ترين حفاظتي پيچ ۽ اپ گريڊ سان تازه ڪاري ڪرڻ. غير استعمال ٿيل اجزاء گهرجي هٽايو وي حملي واري ویکٹر کي ڪٽڻ لاءِ ايپليڪيشن کان.
ناکافي لاگنگ ۽ نگراني
توهان جي ويب ايپليڪيشن ۾ سرگرميون ڏيکارڻ لاءِ لاگنگ ۽ نگراني اهم آهن. لاگنگ ان کي آسان بڻائي ٿو غلطين جو پتو لڳائڻ، مانيٽر استعمال ڪندڙ لاگ ان، ۽ سرگرميون.
ناکافي لاگنگ ۽ نگراني ٿيندي آهي جڏهن سيڪيورٽي-نازڪ واقعا لاگ ان نه هوندا آهن ٺيڪ آ. حملو ڪندڙ ان تي سرمائيداري ڪن ٿا ته توهان جي درخواست تي حملا ڪرڻ کان اڳ ڪو به قابل ذڪر جواب آهي.
لاگنگ توهان جي ڪمپني کي پئسا ۽ وقت بچائڻ ۾ مدد ڪري سگهي ٿي ڇو ته توهان جا ڊولپر ڪري سگهن ٿا آساني سان بگ ڳوليو. هي انهن کي وڌيڪ ڌيان ڏيڻ جي اجازت ڏئي ٿو انهن کي ڳولڻ جي بجاءِ بگ کي حل ڪرڻ تي. حقيقت ۾، لاگنگ توهان جي سائيٽن ۽ سرورز کي هر وقت اپ ۽ هلائڻ ۾ مدد ڪري سگهي ٿي بغير ڪنهن به وقت جي تڪليف جي..
ٿڪل
سٺو ڪوڊ نه آهي بس ڪارڪردگي بابت، اهو توهان جي استعمال ڪندڙن ۽ ايپليڪيشن کي محفوظ رکڻ بابت آهي. OWASP Top 10 انتهائي نازڪ ايپليڪيشن سيڪيورٽي خطرن جي فهرست آهي ڊولپرز لاءِ محفوظ ويب ۽ موبائل ايپس لکڻ لاءِ هڪ بهترين مفت وسيلو آهي.. ٽريننگ ڊولپرز کي توهان جي ٽيم تي خطرن جو جائزو وٺڻ ۽ لاگ ان ڪرڻ لاءِ توهان جي ٽيم جو وقت ۽ پئسا بچائي سگهي ٿو ڊگهي عرصي ۾. جيڪڏھن توھان چاھيو ٿا OWASP Top 10 تي پنهنجي ٽيم کي ڪيئن تربيت ڏيڻ بابت وڌيڪ سکو هتي ڪلڪ ڪريو.
