OWASP TOP 10

OWASP (Open Web Application Security Project) Top 10 — это классификация уязвимостей. Приобрела широкое использование благодаря хорошей документированности.

Рекомендуется ознакомиться со всеми ссылками, которые приведены в этом документе:

Термины:

Уязвимость — слабое место системы, воздействуя на которое реализовывается вариант использования, не предусмотренный на этапе проектирования/разработки ПО. Для уязвимостей существуют атаки.

Атака — действие, направленное на использование уязвимости в системе.

Сниффер (анализатор трафика) — программа или устройство для перехвата и анализа сетевого трафика (своего и/или чужого).

Фаззинг — техника тестирования программного обеспечения, часто автоматическая или полуавтоматическая, заключающая в передаче приложению на вход неправильных, неожиданных или случайных данных. Предметом интереса являются падения и зависания, нарушения внутренней логики и проверок в коде приложения, утечки памяти, вызванные такими данными на входе. Фаззинг является разновидностью выборочного тестирования (англ. random testing), часто используемого для проверки проблем безопасности в программном обеспечении и компьютерных системах.

Белый список — регулярное выражение, которое определяет список допустимых символов и минимальную длину. Например: ^ [А-z0-9] {3,10} $

Аутентификация — это процесс проверки того, кем является физическое лицо, организация или веб-сайт. Аутентификация в контексте веб-приложений обычно выполняется путем предоставления имени пользователя или идентификатора и одного или нескольких элементов личной информации, которые должен знать только данный пользователь.

Управление сеансами — это процесс, с помощью которого сервер поддерживает состояние объекта, взаимодействующего с ним. Это необходимо, чтобы сервер помнил, как реагировать на последующие запросы в течение транзакции. Сеансы поддерживаются на сервере идентификатором сеанса, который может передаваться между клиентом и сервером при передаче и приеме запросов. Сеансы должны быть уникальными для каждого пользователя и в вычислительном отношении очень трудно предсказать.

Man in the middle — вид атаки в криптографии, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом. Является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию.

Софт для тестирования уязвимостей, проведения атак на уязвимости:

  • OWASP Web Goat
  • bWapp
  • kali linux — дистрибутив linux для проведения тестов на безопасность
  • wireshark — сниффер
  • burpsuite — прокси сервер, позволяет изучать трафик.
  • metasploit framework — проект, посвященный компьютерной безопасности

Полезные ссылки:

List of references:

OWASP TOP10 pluralsight.com course.

Оцените статью
( Пока оценок нет )