1 13 Table of Contents 15 101

URN_NBN_SI_DOC-RKSH48DC

SIR * IUS, september 2020 14 11. OWASP TOP 10 OWASP Top 10 [7] je seznam desetih najpogostejših napak v spletnih aplikacijah. Ta seznam je posodobljen vsakih nekaj let in tudi za leto 2020 je bila napoved, da bo osvežen. Pomanjkljivosti na seznamu so določene glede na odkrite pomanjkljivosti, ki jih v vmesnem času odkrijejo različna podjetja, ki se ukvarjajo z varnostnimi analizami aplikacij. Nekatere pomanjkljivosti pa je tudi na seznam izglasovala skupnost OWASP na podlagi lastnih izkušenj. Zanimivo je opazovati, da velika večina ranljivosti samo menjuje mesta na lestvici, nikoli pa s seznama popolnoma ne izginejo. Tako na seznamu 10 najpogostejših napak najdemo naslednje: 1. Injection – najpogostejša ranljivost, ki je posledica pomanjkljive validacije vhodnih podatkov. Najbolj znano je SQL-vrivanje, ki ima lahko za posledico odtujitev celotne podatkovne baze. 2. Broken Authentication and Session Management – v aplikaciji se lahko zgodi, da so funkcije avtentikacije in upravljanja sej pomanjkljivo implementirane, kar omogoči napadalcem, da pridobijo gesla ali sejne piškotke in dostopajo do identitet drugih uporabnikov. Velikokrat je tudi odjava iz aplikacije pomanjkljivo implementirana. 3. Sensitive Data Exposure – velikokrat se zgodi, da aplikacije ali aplikacijski vmesniki ne zaščitijo ustrezno občutljivih podatkov, kot na primer osebnih, finančnih ali zdravstvenih. Napadalci lahko v takšnih primerih pridobijo dostop do podatkov in jih odtujijo. Zato je treba preveriti takšne vstopne točke in ustrezno zaščititi vire ter komunikacijske poti. 4. XML External Entities (XXE) – nekateri starejši in slabo konfigurirani XML- procesorji evalvirajo zunanje entitetne reference znotraj XML-dokumentov. To lahko povzroči kar nekaj varnostnih ranljivosti, kot na primer dostop in branje lokalnih datotek, dostop do deljenih map, interno skeniranje vhodov (»portov«), izvrševanje kode ali celo napad DOS (angl. Denial Of Service) 5 . Ta pomanjkljivost je nova na lestvici in je rezultat večjega števila težav pri uporabi XML-dokumentov. 5. Broken Access Control – velikokrat se zgodi, da so sicer planirane omejitve implementirane na napačen ali pomanjkljiv način, kar omogoča uporabnikom, da lahko dostopajo do podatkov ali uporabljajo metode, ki jih ne bi smeli. Tako lahko napadalci z uporabo teh napadov dostopajo do občutljivih podatkov, do podatkov drugih uporabnikov ali jih celo spreminjajo in brišejo. 5 Ohromitev storitve.

RkJQdWJsaXNoZXIy