OWASP ထိပ်တန်း လုံခြုံရေး အန္တရာယ် ၁၀ ခု | ခြုံငုံသုံးသပ်ချက်
မာတိကာ
OWASP ဆိုတာဘာလဲ။
OWASP သည် ဝဘ်အက်ပ်လုံခြုံရေးပညာရေးအတွက် ရည်ရွယ်ထားသော အကျိုးအမြတ်မယူသောအဖွဲ့အစည်းတစ်ခုဖြစ်သည်။
OWASP သင်ကြားရေးပစ္စည်းများကို ၎င်းတို့၏ဝဘ်ဆိုဒ်တွင် ရနိုင်သည်။ ၎င်းတို့၏ ကိရိယာများသည် ဝဘ်အက်ပလီကေးရှင်းများ၏ လုံခြုံရေးကို မြှင့်တင်ရန်အတွက် အသုံးဝင်သည်။ ၎င်းတွင် စာရွက်စာတမ်းများ၊ ကိရိယာများ၊ ဗီဒီယိုများနှင့် ဖိုရမ်များ ပါဝင်သည်။
OWASP ထိပ်တန်း 10 သည် ယနေ့ ဝဘ်အက်ပ်များအတွက် လုံခြုံရေးဆိုင်ရာ ထိပ်တန်းစိုးရိမ်မှုများကို မီးမောင်းထိုးပြသည့် စာရင်းတစ်ခုဖြစ်သည်။ လုံခြုံရေးအန္တရာယ်များကို ဖြတ်တောက်ရန် ကုမ္ပဏီအားလုံးသည် ၎င်းတို့၏ လုပ်ငန်းစဉ်များတွင် ဤအစီရင်ခံစာကို ထည့်သွင်းရန် အကြံပြုထားသည်။. အောက်တွင်ဖော်ပြထားသည်မှာ OWASP ထိပ်တန်း 10 2017 အစီရင်ခံစာတွင်ပါရှိသော လုံခြုံရေးအန္တရာယ်များစာရင်းဖြစ်သည်။
SQL Injection ပါ
အပလီကေးရှင်းရှိ ပရိုဂရမ်ကို အနှောင့်အယှက်ဖြစ်စေရန် တိုက်ခိုက်သူသည် မသင့်လျော်သောဒေတာကို ဝဘ်အက်ပ်တစ်ခုသို့ ပေးပို့သည့်အခါ SQL ထိုးခြင်းသည် ဖြစ်ပေါ်သည်။.
SQL Injection ၏ ဥပမာတစ်ခု။
တိုက်ခိုက်သူသည် အသုံးပြုသူအမည် plaintext လိုအပ်သော input form တွင် SQL query ကို ထည့်သွင်းနိုင်သည်။ ထည့်သွင်းမှုပုံစံသည် လုံခြုံမှုမရှိပါက၊ ၎င်းသည် SQL query တစ်ခုအား လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။ ဒီ ရည်ညွှန်းသည် SQL ထိုးဆေးအဖြစ်။
ဝဘ်အပလီကေးရှင်းများကို ကုဒ်ထိုးခြင်းမှ ကာကွယ်ရန်၊ သင့်ဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် အသုံးပြုသူပေးပို့သော ဒေတာတွင် ထည့်သွင်းအတည်ပြုချက်ကို အသုံးပြုကြောင်း သေချာပါစေ။. ဤနေရာတွင် အတည်ပြုခြင်းသည် မမှန်ကန်သော ထည့်သွင်းမှုများကို ငြင်းပယ်ခြင်းကို ရည်ညွှန်းသည်။ ဒေတာဘေ့စ်မန်နေဂျာတစ်ဦးသည် ပမာဏကိုလျှော့ချရန် ထိန်းချုပ်မှုများကိုလည်း သတ်မှတ်နိုင်သည်။ သတင်းအချက်အလက် ကြောင်းလုပ်နိုင်တဲ့ ထုတ်ဖော် ထိုးနှက်ချက်တစ်ခုတွင်.
SQL ထိုးခြင်းကို ကာကွယ်ရန်၊ OWASP မှ ဒေတာများကို command များနှင့် queries များမှ သီးခြားထားရှိရန် အကြံပြုထားသည်။ ဦးစားပေးရွေးချယ်မှုမှာ လုံခြုံစိတ်ချရမှုကို အသုံးပြုရန်ဖြစ်သည်။ API ကို စကားပြန်အသုံးပြုခြင်းကို တားဆီးရန် သို့မဟုတ် Object Relational Mapping Tools (ORMs) သို့ ပြောင်းရွှေ့ရန်၊.
ကျိုးကြောင်းအထောက်အထားပြခြင်း။
အထောက်အထားစိစစ်ခြင်း အားနည်းချက်များသည် တိုက်ခိုက်သူတစ်ဦးအား အသုံးပြုသူအကောင့်များသို့ ဝင်ရောက်ရန်နှင့် စီမံခန့်ခွဲသူအကောင့်ကို အသုံးပြု၍ စနစ်တစ်ခုကို အပေးအယူလုပ်ရန် ခွင့်ပြုနိုင်သည်။. ဆိုက်ဘာရာဇ၀တ်ကောင်သည် မည်သည့်အလုပ်ဖြစ်သည်ကိုသိရန် စနစ်တစ်ခုရှိ ထောင်ပေါင်းများစွာသော စကားဝှက်ပေါင်းစပ်မှုများကို စမ်းကြည့်ရန် script တစ်ခုကို အသုံးပြုနိုင်သည်။. ဆိုက်ဘာရာဇ၀တ်မှု ကျူးလွန်ပြီးသည်နှင့်၊ ၎င်းတို့သည် သုံးစွဲသူ၏ အထောက်အထားကို အတုခိုးကာ ၎င်းတို့အား လျှို့ဝှက်အချက်အလက်များကို ရယူခွင့်ပေးသည်။.
အလိုအလျောက်ဝင်ရောက်ခြင်းကိုခွင့်ပြုသည့် ဝဘ်အက်ပ်လီကေးရှင်းများတွင် ကျိုးပဲ့နေသောအထောက်အထားစိစစ်ခြင်းအားနည်းချက်တစ်ခု ရှိနေပါသည်။ အထောက်အထားစိစစ်ခြင်း အားနည်းချက်ကို ပြင်ဆင်ရန် ရေပန်းစားသောနည်းလမ်းမှာ multifactor authentication ကိုအသုံးပြုခြင်းဖြစ်သည်။ ထို့အပြင် အကောင့်ဝင်နှုန်း ကန့်သတ်ချက်လည်း ရှိနိုင်သည်။ ပါဝင်ပါစေ။ brute force attacks ကိုကာကွယ်ရန် web app တွင်။
ထိခိုက်လွယ်သော ဒေတာ ထိတွေ့မှု
အကယ်၍ ဝဘ်အက်ပလီကေးရှင်းများက ထိခိုက်လွယ်သော တိုက်ခိုက်သူများကို အကာအကွယ်မပေးပါက ၎င်းတို့ကို ၎င်းတို့၏ အကျိုးအမြတ်အတွက် အသုံးပြုနိုင်သည်။ On-path attack သည် အရေးကြီးသော အချက်အလက်များကို ခိုးယူရန်အတွက် ရေပန်းစားသော နည်းလမ်းတစ်ခုဖြစ်သည်။ အရေးကြီးသောဒေတာအားလုံးကို ကုဒ်ဝှက်ထားသည့်အခါ ထိတွေ့နိုင်ခြေသည် အနည်းငယ်မျှသာဖြစ်သည်။ ဝဘ်ဆော့ဖ်ဝဲရေးသားသူများသည် ဘရောက်ဆာတွင် အရေးကြီးသောဒေတာကို မပေါ်စေရန် သို့မဟုတ် မလိုအပ်ဘဲ သိမ်းဆည်းထားကြောင်း သေချာစေသင့်သည်။
XML ပြင်ပအရာများ (XEE)
ဆိုက်ဘာရာဇ၀တ်ကောင်သည် XML စာရွက်စာတမ်းအတွင်း အန္တရာယ်ရှိသော XML အကြောင်းအရာ၊ ညွှန်ကြားချက်များ သို့မဟုတ် ကုဒ်များကို အပ်လုဒ်လုပ်နိုင်သည် သို့မဟုတ် ပါဝင်နိုင်သည်. ၎င်းသည် ၎င်းတို့အား အပလီကေးရှင်းဆာဗာ ဖိုင်စနစ်တွင် ဖိုင်များကို ကြည့်ရှုနိုင်စေပါသည်။ ၎င်းတို့ဝင်ရောက်ခွင့်ရပြီးသည်နှင့်၊ ၎င်းတို့သည် server-side request forgery (SSRF) တိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန် ဆာဗာနှင့် အပြန်အလှန် တုံ့ပြန်နိုင်သည်။.
XML သည် ပြင်ပ entity တိုက်ခိုက်မှုများကို ပြုလုပ်နိုင်သည်။ ဖြင့် တားဆီးခံရသည်။ JSON ကဲ့သို့သော ရှုပ်ထွေးမှုနည်းသော ဒေတာအမျိုးအစားများကို ဝဘ်အက်ပ်လီကေးရှင်းများကို လက်ခံခွင့်ပြုသည်။. XML ပြင်ပ entity processing ကိုပိတ်ထားခြင်းသည်လည်း XEE တိုက်ခိုက်မှု ဖြစ်နိုင်ချေကို လျော့နည်းစေသည်။
ချိုးဖျက်ဝင်ရောက်မှု ထိန်းချုပ်ရေး
Access Control သည် ခွင့်ပြုချက်မရှိဘဲ သုံးစွဲသူများအား အရေးကြီးသော အချက်အလက်များကို ကန့်သတ်သည့် စနစ်ပရိုတိုကောတစ်ခုဖြစ်သည်။ ဝင်ရောက်ထိန်းချုပ်မှုစနစ် ပျက်သွားပါက၊ တိုက်ခိုက်သူများသည် အထောက်အထားစိစစ်ခြင်းကို ကျော်ဖြတ်နိုင်သည်။ ၎င်းသည် ၎င်းတို့တွင် ခွင့်ပြုချက်ရှိသကဲ့သို့ အရေးကြီးသော အချက်အလက်များကို ၎င်းတို့ထံ ဝင်ရောက်ခွင့်ပေးသည်။ အသုံးပြုသူဝင်ရောက်မှုတွင် ခွင့်ပြုချက်တိုကင်များကို အကောင်အထည်ဖော်ခြင်းဖြင့် Access Control ကို လုံခြုံစေနိုင်သည်။ အသုံးပြုသူမှ စစ်မှန်ကြောင်း သက်သေပြနေစဉ် တောင်းဆိုမှုတိုင်းတွင်၊ အသုံးပြုသူနှင့် ခွင့်ပြုချက် တိုကင်ကို အတည်ပြုပြီး ၎င်းတောင်းဆိုမှုကို ပြုလုပ်ရန် အသုံးပြုသူအား ခွင့်ပြုထားကြောင်း အချက်ပြပါသည်။
လုံခြုံရေးအမှားပြင်ဆင်ချက်
လုံခြုံရေးဖွဲ့စည်းပုံ မှားယွင်းခြင်းသည် ဖြစ်ရိုးဖြစ်စဉ်တစ်ခုဖြစ်သည်။ ဆိုက်ဘာလုံခြုံရေး ဝဘ်အက်ပလီကေးရှင်းများတွင် ကျွမ်းကျင်သူများက စောင့်ကြည့်သည်။ ၎င်းသည် မှားယွင်းသတ်မှတ်ထားသော HTTP ခေါင်းစီးများ၊ ကျိုးပေါက်နေသော ဝင်ရောက်ထိန်းချုပ်မှုများနှင့် ဝဘ်အက်ပ်တစ်ခုတွင် အချက်အလက်များကို ဖော်ထုတ်သည့် အမှားအယွင်းများကို ပြသခြင်းကြောင့် ဖြစ်ပေါ်လာသည်. အသုံးမပြုသော အင်္ဂါရပ်များကို ဖယ်ရှားခြင်းဖြင့် လုံခြုံရေး မှားယွင်းသော ဖွဲ့စည်းမှုတစ်ခုကို သင် ပြင်နိုင်သည်။ သင့်ဆော့ဖ်ဝဲလ်ပက်ကေ့ချ်များကို ဖာထေးရန် သို့မဟုတ် အဆင့်မြှင့်တင်သင့်သည်။
Cross-Site Scripting (XSS)
အသုံးပြုသူ၏ဘရောက်ဆာတွင် အန္တရာယ်ရှိသောကုဒ်ကိုလုပ်ဆောင်ရန် ယုံကြည်ရသောဝဘ်ဆိုက်တစ်ခု၏ DOM API ကို တိုက်ခိုက်သည့်အခါ XSS အားနည်းချက်ဖြစ်ပေါ်ပါသည်။. ယုံကြည်စိတ်ချရသော ဝဘ်ဆိုက်မှဖြစ်ပုံရသော လင့်ခ်ကို အသုံးပြုသူတစ်ဦးက နှိပ်သည့်အခါ ဤအန္တရာယ်ရှိသောကုဒ်ကို လုပ်ဆောင်ခြင်းသည် မကြာခဏ ဖြစ်ပေါ်တတ်သည်. အကယ်၍ ဝဘ်ဆိုက်ကို XSS အားနည်းချက်မှ ကာကွယ်မထားပါက၊ ၎င်းကို ပြုလုပ်နိုင်သည်။ အပေးအယူလုပ်ပါ။. အန္တရာယ်ရှိတဲ့ ကုဒ်ဆိုလို့ ကွပ်မျက်သည်။ တိုက်ခိုက်သူအား အသုံးပြုသူများ၏ လော့ဂ်အင်ဆက်ရှင်၊ ခရက်ဒစ်ကတ်အသေးစိတ်အချက်အလက်များနှင့် အခြားအထိခိုက်မခံသောဒေတာများသို့ ဝင်ရောက်ခွင့်ပေးသည်။.
Cross-site Scripting (XSS) ကို ကာကွယ်ရန်၊ သင်၏ HTML ကို ကောင်းမွန်စွာ သန့်စင်ထားကြောင်း သေချာပါစေ။ ဒါလုပ်နိုင်တယ် ဖြင့်အောင်မြင်မည်။ ရွေးချယ်မှုဘာသာစကားပေါ်မူတည်၍ ယုံကြည်စိတ်ချရသောဘောင်များကို ရွေးချယ်ပါ။. သင်၏ HTML ကုဒ်ကို ခွဲခြမ်းစိတ်ဖြာပြီး သန့်ရှင်းစေရန် ကူညီပေးသောကြောင့် .Net၊ Ruby on Rails နှင့် React JS ကဲ့သို့သော ဘာသာစကားများကို သင်အသုံးပြုနိုင်ပါသည်။ အထောက်အထားမခိုင်လုံသော သို့မဟုတ် အထောက်အထားမရှိသော အသုံးပြုသူများထံမှ ဒေတာအားလုံးကို ကုသခြင်းသည် XSS တိုက်ခိုက်မှုအန္တရာယ်ကို လျှော့ချနိုင်သည်.
မလုံခြုံသော Deserialization
Deserialization သည် server တစ်ခုမှ serialized data ကို object တစ်ခုသို့ အသွင်ပြောင်းခြင်း ဖြစ်သည်။ ဒေတာများကို ဖယ်ထုတ်ခြင်းသည် ဆော့ဖ်ဝဲလ်ဖွံ့ဖြိုးတိုးတက်မှုတွင် ဖြစ်ရိုးဖြစ်စဉ်တစ်ခုဖြစ်သည်။ Data တွေရတဲ့အခါ မလုံခြုံဘူး။ ဖယ်ထုတ်ထားသည်။ မယုံကြည်ရသော အရင်းအမြစ်မှ ဒီလိုလုပ်လို့ရတယ်။ အလားအလာ သင်၏ အက်ပ်လီကေးရှင်းကို တိုက်ခိုက်မှုများကို ဖော်ထုတ်ပါ။ မယုံကြည်ရသောရင်းမြစ်မှ ဖယ်ထုတ်ထားသောဒေတာသည် DDOS တိုက်ခိုက်မှုများ၊ အဝေးကုဒ်လုပ်ဆောင်ခြင်းတိုက်ခိုက်မှုများ သို့မဟုတ် အထောက်အထားစိစစ်ခြင်းကို ကျော်ဖြတ်သွားသည့်အခါ လုံခြုံမှုမရှိသော ဖယ်ခွာခြင်းဖြစ်ပေါ်ပါသည်။.
မလုံခြုံသော အသွင်ပြောင်းခြင်းကို ရှောင်ရှားရန် လက်မ၏ စည်းမျဉ်းသည် သုံးစွဲသူဒေတာကို ဘယ်တော့မှ မယုံကြည်ရန်ဖြစ်သည်။ အသုံးပြုသူတိုင်း ဒေတာထည့်သွင်းသင့်ပါသည်။ ကုသရမည်။ as အလားအလာ အန္တရာယ်ရှိတဲ့ မယုံကြည်ရသော အရင်းအမြစ်များမှ ဒေတာများကို ဖယ်ထုတ်ခြင်းကို ရှောင်ကြဉ်ပါ။ deserialization function ကိုသေချာအောင်လုပ်ပါ။ အသုံးပြုပါ သင့်ဝဘ်အက်ပလီကေးရှင်းတွင် ဘေးကင်းပါသည်။
သိထားသော အားနည်းချက်များဖြင့် အစိတ်အပိုင်းများကို အသုံးပြုခြင်း။
Libraries နှင့် Frameworks များသည် ဘီးကို ပြန်လည်တီထွင်ရန် မလိုအပ်ဘဲ ဝဘ်အပလီကေးရှင်းများကို တီထွင်ရန် ပိုမိုမြန်ဆန်စေသည်။. ၎င်းသည် ကုဒ်အကဲဖြတ်ခြင်းတွင် ထပ်လောင်းခြင်းကို လျှော့ချပေးသည်။ ၎င်းတို့သည် အပလီကေးရှင်းများ၏ ပိုအရေးကြီးသော ကဏ္ဍများကို အာရုံစိုက်ရန် developer များအတွက် လမ်းခင်းပေးသည်။ အကယ်၍ တိုက်ခိုက်သူများသည် ဤဘောင်များတွင် အမြတ်ထုတ်မှုများကို ရှာဖွေတွေ့ရှိပါက၊ framework ကိုအသုံးပြုထားသော codebase တိုင်းသည် ဖြစ်လိမ့်မည်။ အပေးအယူလုပ်ပါ။.
အစိတ်အပိုင်း ဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် အစိတ်အပိုင်းစာကြည့်တိုက်များအတွက် လုံခြုံရေးဆိုင်ရာ ပြင်ဆင်မှုများနှင့် အပ်ဒိတ်များကို ပေးလေ့ရှိသည်။ အစိတ်အပိုင်း အားနည်းချက်များကို ရှောင်ရှားရန်၊ သင်၏ အပလီကေးရှင်းများအား နောက်ဆုံးပေါ် လုံခြုံရေး ပက်ခ်များနှင့် အဆင့်မြှင့်တင်မှုများဖြင့် အပ်ဒိတ်ဖြစ်အောင် လေ့လာထားသင့်သည်. အသုံးမပြုသော အစိတ်အပိုင်းများ ဖြစ်သင့်သည်။ ဖယ်ရှားပစ်ရမည် တိုက်ခိုက်ရေး vector များကိုဖြတ်ရန် application မှ။
စာရင်းသွင်းခြင်းနှင့် စောင့်ကြည့်စစ်ဆေးခြင်း မလုံလောက်ခြင်း။
သင်၏ဝဘ်အပလီကေးရှင်းတွင် လှုပ်ရှားမှုများကိုပြသရန် လော့ဂ်တင်ခြင်းနှင့် စောင့်ကြည့်ခြင်းတို့သည် အရေးကြီးပါသည်။ သစ်ခုတ်ခြင်းသည် အမှားများကို ခြေရာခံရန် လွယ်ကူစေသည်၊ စောငျ့ရှောကျ အသုံးပြုသူ လော့ဂ်အင်များနှင့် လှုပ်ရှားမှုများ။
လုံခြုံရေးအရ အရေးပါသော ဖြစ်ရပ်များကို မှတ်တမ်းမတင်သည့်အခါ မှတ်တမ်းနှင့် စောင့်ကြည့်မှု မလုံလောက်ပါ။ စနစ်တကျ. တိုက်ခိုက်သူများသည် သိသာထင်ရှားသောတုံ့ပြန်မှုမရရှိမီ သင့်အက်ပ်လီကေးရှင်းပေါ်တွင် တိုက်ခိုက်မှုများပြုလုပ်ရန် ယင်းကို အသုံးချသည်။.
သင်၏ ဆော့ဖ်ဝဲအင်ဂျင်နီယာများ တတ်နိုင်သောကြောင့် သင့်ကုမ္ပဏီအား ငွေနှင့်အချိန်ကုန်သက်သာစေရန် မှတ်တမ်းရေးသွင်းခြင်းဖြင့် ကူညီနိုင်ပါသည်။ အလွယ်တကူ bugs ရှာပါ။. ၎င်းသည် ၎င်းတို့ကို ရှာဖွေခြင်းထက် ချို့ယွင်းချက်များကို ဖြေရှင်းရန် ပိုမိုအာရုံစိုက်နိုင်စေပါသည်။ အမှန်မှာ၊ လော့ဂ်လုပ်ခြင်းသည် သင့်ဆိုက်များနှင့် ဆာဗာများကို အချိန်တိုင်းတွင် ရပ်တန့်နေခြင်းမရှိပဲ အချိန်တိုင်းတွင် လည်ပတ်နေစေရန် ကူညီပေးနိုင်ပါသည်။.
ကောက်ချက်
ကုဒ်ကောင်းကောင်းတော့ မဟုတ်ဘူး။ ရုံ လုပ်ဆောင်နိုင်စွမ်းအကြောင်း၊ ၎င်းသည် သင်၏အသုံးပြုသူများနှင့် အပလီကေးရှင်းများကို လုံခြုံအောင်ပြုလုပ်ခြင်းအကြောင်းဖြစ်သည်။. OWASP ထိပ်တန်း 10 သည် လုံခြုံသော ဝဘ်နှင့် မိုဘိုင်းအက်ပ်များကို ရေးသားရန် developer များအတွက် အလွန်အရေးကြီးသော လုံခြုံရေးအန္တရာယ်များစာရင်းတစ်ခုဖြစ်သည်။. အန္တရာယ်များကို အကဲဖြတ်ရန်နှင့် စာရင်းသွင်းရန် သင့်အဖွဲ့ရှိ ဆော့ဖ်ဝဲရေးဆွဲသူများအား လေ့ကျင့်ပေးခြင်းသည် သင့်အဖွဲ့အတွက် အချိန်နှင့်ငွေကို ရေရှည်တွင် သက်သာစေနိုင်သည်။ လိုချင်ရင် OWASP Top 10 တွင် သင့်အဖွဲ့အား လေ့ကျင့်နည်းအကြောင်း ပိုမိုလေ့လာရန် ဤနေရာကိုနှိပ်ပါ။
