URN_NBN_SI_DOC-RKSH48DC

Kako lahko OWASP pomaga revizorjem? 15 6. Security Misconfiguration – napačna ali pomanjkljiva konfiguracija na področju varnosti je velikokrat opažena in tudi napadalci jo pogosto s pridom izkoristijo. Te pomanjkljivosti se velikokrat izražajo v privzetih nastavitvah, odprtih oblačnih prostorih za shranjevanje podatkov ali v kakšnem izdajanju občutljivih podatkov aplikacij ali sistemov. Vsi sistemi, knjižnice in aplikacije morajo biti pravilno konfigurirani in tudi redno posodobljeni, da se lahko zagotovi primeren nivo varnosti. 7. Cross-Site Scripting XSS – XSS-ranljivost se pojavi, ko aplikacija v svoje delovanje vključi nepreverjene podatke uporabnika ali drugih sistemov. Tako se lahko namesto enostavnega niza, ki ga pričakuje aplikacija, vključi in izvede HTML ali JavaScript koda. XSS-pomanjkljivost omogoča napadalcem, da izvajajo skriptno kodo v tarčnem brskalniku. Ta koda lahko prevzame uporabniško sejo, spremeni vsebino spletne strani ali preusmeri uporabnika na škodljivo spletno stran. 8. Insecure Deserialization – pomanjkljiva deserializacija objektov na strežniški strani velikokrat pripelje do oddaljenega zagona škodljive kode. Ta pomanjkljivost je nova na seznamu z zadnje posodobitve. Tako se lahko ta pomanjkljivost izkoristi v različnih programskih jezikih, ki omogočajo serializacijo, kot na primer Java ali Python. Tudi če ni možno izvajanje škodljive kode, pa se lahko izvajajo različni napadi, kot na primer napadi s ponovitvami, napadi z vrivanjem ali dvigom privilegijev. 9. Using Components with Known Vulnerabilities – različne komponente aplikacij, kot na primer knjižnice, ogrodja ali drugi programski moduli, se lahko izvajajo z istimi pravicami kot aplikacije. Če je mogoče izkoristiti kakšno ranljivost v komponenti aplikacije, lahko takšen napad povzroči izgubo vseh podatkov ali celo prevzem strežnika. Aplikacije s takšnimi ranljivimi komponentami lahko bistveno ogrozijo vse ostale zaščitne mehanizme, ki so implementirani, in dodatno omogočijo napade, ki prej niso bili mogoči. 10. Insufficient Logging & Monitoring – pomanjkljivo logiranje dogodkov in slab nadzor nad okoljem in aplikacijo lahko omogoči napadalcem, da vzpostavijo trajen dostop do sistemov, napadajo druge sisteme ali odtujijo podatke. Velika večina poročil o varnostnih incidentih kaže, da je čas od napada do njegove identifikacije še vedno okrog 150 dni, kar je zelo dolgo. V veliki večini primerov pa se varnostni incidenti odkrijejo s strani zunanjih akterjev in ne na podlagi ustreznega nadzora. Poznavanje pomanjkljivosti OWASP TOP 10 lahko revizorjem informacijskih sistemov pomaga, da lažje prepoznajo napake, priporočajo pravilen način odprave in izboljšajo proces, da se te pomanjkljivosti v prihodnje ne dogajajo več.