10 مورد برتر OWASP (فارسی)
10 مورد برتر OWASP، یک سند استاندارد آگاهی برای توسعه دهندگان و امنیت برنامه های وب است. این یک توافق گسترده در مورد حیاتی ترین خطرات امنیتی برای برنامه های وب را نشان می دهد. شرکت ها باید این سند را بپذیرند و فرآیند اطمینان از اینکه برنامه های وب آنها این خطرات را به حداقل می رساند، آغاز کنند. استفاده از OWASP Top 10 شاید موثرترین قدم اول برای تغییر فرهنگ توسعه نرم افزار در سازمان شما باشد تا بتوانید کد ایمن تری تولید کنید.
سه مورد جدید، چهار مورد با تغییرات نام گذاری و محدوده، و مقداری ادغام در 10 مورد برتر برای سال 2021 وجود دارد. ما نام ها را در صورت لزوم تغییر داده ایم تا روی علت اصلی بیش از نماد تمرکز کنیم.
با صعود از جایگاه پنجم، 94% از برنامه ها برای نوعی از کنترل دسترسی خراب با میانگین نرخ بروز 3.81% آزمایش شدند و با بیش از 318 هزار مورد، بیشترین وقوع را در مجموعه داده های ارائه شده دارند. شاخص های نقاط ضعف رایج (CWEs) شامل CWE-200
: قرار گرفتن اطلاعات حساس در معرض یک کاربر غیرمجاز، CWE-201
: درج اطلاعات حساس در داده های ارسال شده، و CWE-352
: جعل درخواست های بین سایتی است.
تغییر یک موقعیت به سمت بالا، که قبلا به عنوان قرار گرفتن در معرض داده های حساس شناخته می شد، که بیشتر یک علامت گسترده است تا یک علت اصلی، تمرکز بر روی خرابی های مربوط به رمزنگاری (یا عدم وجود آن) است. که اغلب منجر به قرار گرفتن در معرض داده های حساس می شود. شاخص های نقاط ضعف رایج (CWEs) شامل CWE-259
: استفاده از گذرواژه های رمزگذاری شده (هاردکد شده)، CWE-327
: الگوریتم رمزنگاری شکسته یا مخاطره آمیز، و CWE-331
آنتروپی ناکافی است.
تزریق به موقعیت سوم تنزل کرد. 94% از برنامه ها برای نوعی از تزریق با حداکثر نرخ بروز 19%، میانگین نرخ بروز 3% و 274 هزار مورد آزمایش شدند. شاخص های نقاط ضعف رایج (CWEs) شامل CWE-79
: اسکریپت بین سایتی، CWE-89
: تزریق SQL، و CWE-73
: کنترل خارجی نام یا مسیر فایل است.
دسته بندی جدید برای سال 2021 بر خطرات مربوط به طراحی و ایرادات معماری تمرکز دارد و خواستار استفاده بیشتر از مدل سازی تهدید، الگوهای طراحی ایمن و معماری های مرجع است. به عنوان یک جامعه، ما باید در فضای کدنویسی فراتر از "shift-left" حرکت کنیم و فعالیت هایی را پیش کدگذاری کنیم که برای اصول Secure by Design حیاتی هستند. شاخص های نقاط ضعف رایج (CWEs) شامل CWE-209
: ایجاد پیام خطا حاوی اطلاعات حساس، CWE-256
: ذخیره سازی محافظت نشده اعتبارنامه ها، CWE-501
: نقض مرزهای اعتماد، و CWE-522
: اعتبارنامه های ناکافی محافظت شده است.
با حرکت به بالا از شماره 6 در نسخه قبلی، 90% از برنامه ها برای نوعی از پیکربندی نادرست، با میانگین نرخ بروز 4.5% و بیش از 208 هزار مورد از یک سرشماری نقاط ضعف رایج (CWEs) در این دسته خطر آزمایش شدند. با جابجایی بیشتر به سمت نرم افزارهای بسیار قابل تنظیم، تعجب آور نیست که ببینیم این دسته به سمت بالا حرکت می کند. CWE های قابل توجه شامل CWE-16
: پیکربندی و CWE-611
: محدودیت نادرست مرجع موجودیت خارجی XML هستند.
از نظرسنجی 10 مورد برتر انجمن، شماره 2 بود، اما همچنین دارای داده های کافی برای قرار گرفتن در 10 مورد برتر از طریق تجزیه و تحلیل داده ها بود. مؤلفه های آسیب پذیر یک مسئله شناخته شده است که ما برای آزمایش و ارزیابی ریسک آن تلاش می کنیم و تنها دسته ای است که هیچ گونه آسیب پذیری و قرار گرفتن در معرض خطر رایج (CVEs) در CWE های نگاشت شده گنجانده نشده است، بنابراین از وزن پیش فرض سواستفاده/تأثیر 5.0 استفاده می شود. CWE های قابل توجه شامل CWE-1104
: استفاده از اجزای شخص ثالث حفظ نشده و دو CWE از 10 مورد برتر 2013 و 2017 هستند.
این دسته که قبلاً به عنوان احراز هویت خراب (Broken Authentication) شناخته می شد، از جایگاه دوم پایین آمد و اکنون شامل نقاط ضعف رایج (CWEs) مربوط به خرابی های شناسایی و احراز هویت می شود. CWE های قابل توجه شامل CWE-297
: اعتبار سنجی نامناسب گواهی با عدم تطابق میزبان، CWE-287
: احراز هویت نامناسب و CWE-384
: تثبیت جلسه هستند.
یک دسته بندی جدید برای سال 2021 بر ایجاد فرضیات مربوط به بروزرسانی نرم افزار، داده های حیاتی و CI/CD pipelines بدون تأیید یکپارچگی تمرکز دارد. یکی از بیشترین تاثیرات وزنی از داده های آسیب پذیری و قرار گرفتن در معرض خطر رایج / سیستم امتیازدهی آسیب پذیری رایج (CVE/CVSS) میباشد. شاخص های نقاط ضعف رایج (CWEs) شامل CWE-829
: گنجاندن عملکرد از حوزه کنترل غیرقابل اعتماد، CWE-494
: دانلود کد بدون بررسی یکپارچگی و CWE-502
: سریال زدایی از داده های غیرقابل اعتماد است.
ثبت و نظارت امنیتی از نظرسنجی 10 مورد برتر انجمن (3#) حاصل شده است که نسبت به رتبه دهم در 10 مورد برتر OWASP 2017 اندکی افزایش یافته است. ثبت و نظارت ممکن است برای آزمایش چالش برانگیز باشد، اغلب شامل مصاحبه یا پرسیدن اینکه آیا حملات در طول آزمایش نفوذ شناسایی شده اند یا خیر. داده های CVE/CVSS زیادی برای این دسته وجود ندارد، اما شناسایی و پاسخ به نقض ها حیاتی است. با این حال، می تواند برای پاسخگویی، دید، هشدار حادثه و پزشکی قانونی بسیار تاثیرگذار باشد. این دسته فراتر از CWE-778
: لاگ کردن ناکافی گسترش می یابد و CWE-117
: خنثی سازی نامناسب خروجی برای گزارش ها، CWE-223
: حذف اطلاعات مربوط به امنیت، و CWE-532
: درج اطلاعات حساس در فایل لاگ را شامل می شود.
این دسته از نظرسنجی 10 مورد برتر انجمن (1#) اضافه شده است. داده ها نرخ بروز نسبتاً پایینی را با پوشش آزمایش بالاتر از حد متوسط و رتبه بندی های بالقوه بهره برداری و تأثیر بالاتر از متوسط نشان می دهند. از آنجایی که ورودی های جدید احتمالاً یک دسته کوچک یا منفرد از نقاط ضعف رایج (CWEs) برای توجه و آگاهی هستند، امید این است که آنها در معرض تمرکز قرار گیرند و در نسخه های بعدی بتوان آنها را در یک دسته بزرگتر قرار داد.
فاکتورهای داده ای وجود دارد که برای هر یک از 10 مورد برتر فهرست شده اند، در اینجا معنای آنها آمده است:
- نقاط ضعف رایج نگاشت شده (CWEs Mapped): تعداد CWE هایی که توسط 10 تیم برتر به یک دسته نگاشت شده اند.
- نرخ بروز (Incidence Rate): نرخ بروز درصدی از برنامه های آسیب پذیر به آن CWE آزمایش شده توسط آن سازمان برای آن سال است.
- (آزمایش) پوشش ((Testing) Coverage): درصدی از برنامه هایی که توسط همه سازمان ها برای یک CWE آزمایش شده است.
- بهره برداری وزنی (Weighted Exploit): امتیاز فرعی بهره برداری از نمرات CVSSv2 و CVSSv3 اختصاص داده شده به CVE ها که به CWE ها نگاشت شده، نرمال شده و در مقیاس 10pt قرار داده شده است.
- تاثیر وزنی (Weighted Impact): امتیاز فرعی تاثیر از نمرات CVSSv2 و CVSSv3 اختصاص داده شده به CVE ها که به CWE ها نگاشت شده، نرمال شده و در مقیاس 10pt قرار داده شده است.
- مجموع رخدادها (Total Occurrences): تعداد کل برنامه هایی که CWE ها را به یک دسته نگاشت دارند.
- مجموع CVE ها (Total CVEs): تعداد کل CVE ها در NVD DB که به CWE های نگاشت شده به یک دسته نگاشت شده اند.