Меню

SANS Топ 20 уязвимости в сигурността в софтуерните приложения

  • Основен
  • Други
  • SANS Топ 20 уязвимости в сигурността в софтуерните приложения

sans top 20 security vulnerabilities software applications

Опитайте Нашия Инструмент За Премахване На Проблемите

Научете и разберете най-важните 20 уязвимости на SANS в софтуерните приложения с примери в този урок:

Думата БЕЗ не е просто обикновена речникова дума, а означава SysAdmin , Одит , Мрежа , и Сигурност .

В този урок ще научим за най-добрите 20 слабости в сигурността на SANS, които можем да открием в софтуерните програми, и какво можем да направим, за да го смекчим.

SANS уязвимости в сигурността

Какво ще научите:

Въздействие на SAN върху общността за киберсигурност

Според БЕЗ , БЕЗ Институтът е създаден като изследователска и образователна организация. Различните му програми за сигурност са много изчерпателни и имат положителен ефект върху над 165 000 професионалисти по сигурността в световен мащаб.

С право можем да кажем, че с този вид покритие, идващо от SANS, и други положителни отзиви, които получават, ги прави най-доверените и най-голямата организация за обучение по InfoSec и различни сертификати за сигурност в света.

Тази статия ще се съсредоточи върху най-добрите 20 грешки на SANS, които могат да направят софтуера ви уязвим за атаки и някои от контролите за сигурност, които можете да приложите, за да смекчите тези грешки. Въпреки че можем да намерим повече от 20, но ще обсъдим първите 20 уязвимости.

Списък на SANS Топ 20 критични уязвимости в софтуера

  1. CWE-119 : Грешка в буфера на паметта
  2. CWE-79 : Скриптове между сайтове
  3. CWE-20 : Невалидирана грешка при въвеждане
  4. CWE-200 : Грешка при излагане на чувствителна информация
  5. CWE-125 : Грешка при четене извън границите
  6. CWE-89 : SQL инжекция
  7. CWE-416 : Грешка в безплатната памет
  8. CWE-190 : Целочислена грешка при препълване
  9. CWE-352 : Фалшифициране на заявки между сайтове
  10. CWE-22 : Обход на директория
  11. CWE-78 : OS Command Injection
  12. CWE-787 : Извън граница при грешка при писане
  13. CWE-287 : Грешка при неправилно удостоверяване
  14. CWE-476 : Пренасочване на NULL указател
  15. CWE-732 : Неправилно задаване на разрешение
  16. CWE-434 : Неограничено качване на файлове
  17. CWE-611 : Излагане на информация чрез XML обекти
  18. CWE-94 : Инжектиране на код
  19. CWE-798 : Твърдо кодиран ключ за достъп
  20. CWE-400 : Неконтролирано потребление на ресурси

Какво означава терминът CWE?

The Общо изброяване на слабости (CWE) е списък на обществено признатите уязвимости на софтуера и хардуера с идентификационен код, присвоен за всяка слабост. Целта е да се идентифицират различни недостатъци в софтуера и хардуера, за да може да се отстранят и смекчат всички тези недостатъци.

# 1) CWE-119: Грешка в буфера на паметта

Този недостатък обикновено се въвежда по време на етапите на архитектура и проектиране, внедряване и експлоатация на SDLC.

Това препълване на буфера се случва, когато процесът на приложение се опитва да съхранява повече данни, отколкото може да побере в паметта. Тъй като буферите могат да съхраняват само някакво ниво на данни и когато това ниво е достигнато и надвишено, данните преминават към друго място в паметта, което може да повреди данните, които вече се съдържат в този буфер.

Този инцидент понякога се случва случайно поради някаква програмна грешка, но последствията могат да бъдат пагубни, тъй като това може да изтрие данни, да открадне поверителна информация и дори цялото приложение да се срине поради това препълване на буфера.

oops концепция в c # с пример

Примерът по-долу показва буфер, разпределен с 8 байта памет. Но той се препълни с 2 байта поради повече данни, изпратени за изпълнение.

Грешка в буфера на паметта

(изображение източник )

# 2) CWE-79: Сценарии между сайтове

Cross-site Scripting (XSS) е инжекционна атака, която обикновено се случва, когато злонамерен актьор или нападател инжектира злонамерен или вреден скрипт в уеб приложение, което може да бъде изпълнено чрез уеб браузърите. След като зловредният скрипт намери пътя си в компрометираната система, той може да се използва за извършване на различни злонамерени дейности.

Някои от злонамерените дейности могат да бъдат под формата на прехвърляне на лична информация като бисквитки, които съдържат информацията за сесията от компютъра на жертвата към компютъра на нападателя.

Възникване на скриптове между сайтове:

  • Когато невалидирани и ненадеждни данни се въвеждат в уеб приложение чрез заявката за уеб формуляр.
  • Когато уеб приложението незабавно изведе уеб страница, която съдържа тези злонамерени данни.
  • По време на процеса на генериране на страница, софтуерът не успява да провери дали данните съдържат съдържанието, което може да бъде изпълнено от уеб браузър, като HTML и JavaScript.
  • Жертвата несъзнателно посещава страницата, която е генерирана чрез уеб браузър, която съдържа злонамерения скрипт, който е инжектиран чрез използването на ненадеждни данни.
  • Злонамереният скрипт идва от страница, изпратена от уеб сървъра на нападателя, а компрометираният системен уеб браузър продължава да обработва злонамерения скрипт.
  • Това действие нарушава политиката на уеб браузъра за същия произход, която предвижда, че скриптовете, идващи от един домейн, не трябва да имат достъп до ресурси или да изпълняват код в друг различен домейн, освен собствения си домейн.

Възникване на скриптове между сайтове

(изображение източник )

# 3) CWE-20: Невалидирана грешка при въвеждане

Приложението получава вход, но не успява да провери въведеното, независимо дали има всички необходими подробности, необходими за приемането му в системата за обработка.

Когато има дезинфекция на входовете, това може да се използва за проверка на потенциално опасни входове, за да се гарантира, че входовете са безопасни за обработка с изходния код или когато това е вход, необходим за комуникация с други компоненти.

Когато такива входове не са правилно хигиенизирани или валидирани, това ще проправи начин за хакер да изпрати злонамерен вход, който основното приложение щедро обработва и това ще доведе до промени в контролния поток, произволен контрол на ресурс или произволен код екзекуция.

Изображенията по-долу показват, че доброто приложение не трябва да приема скрипт или команда като вход. Ако такива входове не са правилно санирани, приложението ще го обработи, мислейки, че е валидна заявка.

вход

Невалидирана грешка при въвеждане

(изображение източник )

# 4) CWE-200: Грешка при експозиция на чувствителна информация

Това се случва, когато приложението съзнателно и несъзнателно излага информация, която е поверителна и чувствителна за нападател, който няма разрешение за достъп до тази информация.

Различни грешки водят до излагането на тази информация на нападател. Тежестта на тази грешка варира в зависимост от контекста, в който работи приложението, вида на чувствителната информация, която се разкрива, и какво актьорът може да спечели от изложената информация.

По-долу има някои чувствителна информация, която може да бъде изложена:

  • Лична информация като лични съобщения, финансови данни, записи за здравословно състояние, географско местоположение или данни за контакт
  • Детайли и среда на конфигурацията на системата, например, операционната система и инсталираните пакети
  • Бизнес записи и интелектуална собственост
  • Подробности за мрежовата конфигурация
  • Вътрешно състояние на приложението
  • Метаданни като заглавките на съобщенията

Понякога може да има технически сърбежи като грешка при свързване на база данни, грешка при изпълнение и мрежова грешка в нашите приложения или уебсайтове.

Ако такива грешки не се обработват правилно по време на разработката, т.е. когато приложението показва съобщението за грешка, то може да покаже информация на обществеността, която нападателят може да използва за злонамерени цели, като изображението по-долу.

грешка в сървъра

# 5) CWE-125: Грешка при четене извън границите

Това обикновено се случва, когато приложението чете данни след нормалното ниво, или до края, или преди началото на буфера. Това дава непривилегирован достъп на нападателя за четене на чувствителна информация от други места в паметта, което също може да доведе до срив на система или приложение.

Срив със сигурност ще се случи, когато кодът чете данни и смята, че има индикатор на място, който спира операцията за четене като NULL, който се прилага към низ

В следващия код функцията извлича стойност от местоположението на индекса на масив, което от своя страна е входният параметър за функцията.

Грешка при четене извън границите

(изображение източник )

От горния код можем да видим, че функцията проверява дали даденият индекс на масив е по-малък от максималната дължина на масива, но не успява да провери минималната стойност.

Това невалидиране ще доведе до приемане на отрицателна стойност като индекс на входния масив, причинявайки четене извън границите, което от своя страна дава достъп до чувствителна памет.

Необходимо е да се провери индексът на входния масив, ако той е в рамките на максималния и минималния диапазон, необходим за масива.

Ако сега проверите примера по-долу, ще видите, че операторът IF трябва да бъде модифициран, за да включва проверка на минимален диапазон.

валидиране на минимален обхват

# 6) CWE-89: SQL инжекция

SQL инжекция е форма на уязвимост на сигурността, при която нападателят инжектира код на структуриран език за заявки (SQL) в полето за въвеждане на Webform, за да получи достъп до ресурси или да промени данни, които не са оторизирани за достъп.

Тази уязвимост може да бъде въведена в приложението по време на етапите на проектиране, внедряване и експлоатация.

Това, което прави тази SQL заявка, е да направи неоторизирана заявка към базата данни за някаква информация. При нормална операция за въвеждане, уеб формуляр се използва за удостоверяване на потребителя. Когато потребителят въведе името и паролата си в текстовите полета, тези стойности се вмъкват в заявка SELECT.

Ако входните стойности са правилни, на потребителя се предоставя достъп до приложението или заявката, но ако стойностите са неправилни, достъпът ще бъде отказан.

Някои уеб формуляри днес не разполагат с механизми за блокиране на злонамерено въвеждане, а нападателят може да използва полетата за въвеждане, за да изпраща злонамерени заявки към базата данни. Тази единична заявка може да им предостави достъп до цялата база данни, която може да съдържа чувствителна информация.

SQL инжекция

# 7) CWE-416: Преди освободена памет

Този проблем е причинен от препращането към паметта, след като е била освободена, което може сериозно да доведе до срив на програмата. Когато използвате предварително освободена памет, това може да има неблагоприятни последици, като повреждане на валидни данни, произволно изпълнение на код, което зависи от времето за дефекти.

Две често срещани причини са:

  • Условия за грешка в софтуера и в някои други изключителни случаи.
  • Няма обяснение коя част от програмата е причинила свободната памет.

В този случай паметта се разпределя към друг указател веднага след освобождаването му. Предишният указател към освободената памет се използва отново и сега сочи някъде около новото разпределение. До момента на промяна на данните това може да повреди използваната памет и да накара приложението да се държи по неопределен начин.

# 8) CWE-190: Целочислена грешка при препълване

Когато изчислението се обработва от приложение и има логично предположение, че получената стойност ще бъде по-голяма от точната стойност, се случва препълване с цяло число. Тук целочислена стойност се увеличава до стойност, която не може да се съхранява на място.

Когато това се случи, стойността обикновено се увива, за да стане много малка или отрицателна стойност. Ако се очаква опаковането, тогава е добре, но може да има последствия за сигурността, ако обвивката е неочаквана. Когато възникне този сценарий, той може да бъде наречен критичен, тъй като резултатът се използва за управление на цикли, решение за сигурност, използвано за разпределяне на паметта и много други.

Тази слабост обикновено води до непостоянно поведение и може да доведе до сривове. Ако стойността е важна за данните, отколкото за потока, тогава може да възникне проста повреда на данните. Но ако обвиването води до допълнителни условия като препълване на буфера, тогава може да се случи повреда на паметта.

Този проблем може да предизвика препълване на буфер, което може да се използва за изпълнение на произволен код от нападател. Тази грешка при препълване с цяло число обикновено се въвежда в системата по време на етапите на проектиране и внедряване на SDLC.

IntegerOverflow

# 9) CWE-352: Фалшифициране на заявки между сайтове

Това е когато уеб приложението не проверява в достатъчна степен HTTP заявката, независимо дали заявката всъщност идва от правилния потребител или не. Уеб сървърите са предназначени да приемат всички заявки и да дадат отговор на тях.

Да предположим, че клиент изпраща няколко HTTP заявки в рамките на една или няколко сесии. За уеб сървър е много трудно да разбере дали всички заявки са автентични или не и обикновено се обработва. Нападателят може да има начин да принуди клиента да посети специално създадена уеб страница и вече да може да изпълнява някои заявки като превод на средства, промяна на имейл адреса си и много други.

Веднага атакуващият има достъп и те ще могат да крадат данни и дори могат да ги унищожат. Те винаги могат да запазят достъпа си и когато приключат, могат да компрометират дневника на одита, за да предотвратят всякакви бъдещи съдебни експерти, които биха могли да разкрият тяхната експлоатация.

Изображението по-долу показва нападател, подтикващ потребителя да извършва действия, които не възнамерява да извърши.

CrossSite

# 10) CWE-22: Обход на директория

Обхождането на директорията или обхождането на файл е уязвимост в уеб защитата, която позволява на нападателя да чете произволни файлове на сървъра, който в момента изпълнява приложение.

Тези файлове могат да бъдат код на приложение, идентификационни данни за фонови системи и файлове на операционната система. В някой друг сценарий нападателят може да може да пише в тези произволни файлове на сървъра, което може да им позволи да променят данните или поведението на приложението и това ще им даде пълен контрол върху сървъра.

Обхождане

(изображение източник )

# 11) CWE-78: Инжектиране на командата на OS

Става въпрос за неправилно саниране на специални елементи, което може да доведе до модифициране на предвидената команда за операционна система, която се изпраща към компонент надолу по веригата. Атакуващият може да изпълнява тези зловредни команди на целевата операционна система и може да получи достъп до среда, в която не е трябвало да чете или променя.

Това неизменно би позволило на нападателя да изпълнява опасни команди директно в операционната система.

Винаги, когато тази уязвимост възникне в привилегирована програма, тя позволява на атакуващия да използва команди, които са разрешени в околната среда, или да извиква други команди с привилегии, които атакуващият няма, което може да увеличи размера на щетите, които могат да възникнат.

CommandInjection

# 12) CWE-787: Грешка при писане извън границите

Това се случва, когато приложението записва данни след края или преди началото на определения буфер.

Когато това се случи, крайният резултат обикновено е повреда на данни, срив на система или приложение. Това, което прави приложението, е някакъв вид аритметика на показалеца, която се използва при препращане към местоположение в паметта извън границите на буфера.

# 13) CWE-287: Грешка при неправилно удостоверяване

Това е, когато нападателят твърди, че има валидна самоличност, но софтуерът не е успял да провери или докаже, че твърдението е правилно.

Софтуерът валидира грешно информацията за вход на потребителя и в резултат на това нападателят може да получи определени привилегии в приложението или да разкрие чувствителна информация, която им позволява достъп до чувствителни данни и изпълнение на произволен код.

# 14) CWE-476: Пренасочване на NULL указател

Пренасочването на нулев указател е, когато приложението пренасочва указател, който трябваше да върне валиден резултат, вместо това връща NULL и това води до срив. Преориентирането на нулев указател може да се случи поради много недостатъци като състезателни условия и някои грешки в програмирането.

Процесите, които се изпълняват с помощта на показалеца NULL, обикновено водят до отказ и възможността за извършване на процеса е много малка. Това помага на нападателите да изпълняват злонамерен код.

NullPointer

(изображение източник )

# 15) CWE-732: Неправилно задаване на разрешения

Тази уязвимост се случва, когато приложение присвоява разрешения на много важен и критичен ресурс по такъв начин, че излага ресурса да бъде достъпен от злонамерен потребител.

Когато дадете разрешение на много хора за ресурс, това може да доведе до разкриване или модифициране на чувствителна информация от нападателя. Ако няма налични проверки срещу този вид подход за присвояване на разрешения на ресурси, това може да доведе до много пагубен край, ако конфигурация на програма или някои чувствителни данни попадне в грешната ръка.

какво е алфа тестване с пример

# 16) CWE-434: Неограничено качване на файлове

Тази уязвимост възниква, когато приложението не проверява типовете файлове, преди да качи файлове в приложението. Тази уязвимост не зависи от езика, но обикновено се среща в приложения, написани на ASP и PHP език.

Опасен тип файл е файл, който може автоматично да бъде обработен в средата на приложението.

Следващата програма показва качване на PHP файл. Типът на файла не е проверен и валидиран преди качване в директорията на webroot. В резултат на тази слабост, нападателят може да качи произволен PHP файл и да го изпълни чрез директен достъп до качения файл.

качване на PHP файл

произволен PHP файл

# 17) CWE-611: Излагане на информация чрез XML обекти

Когато XML документ се качи в приложение за обработка и този документ съдържа XML обекти с унифициран идентификатор на ресурс, който разрешава към друг документ на друго място, различно от предвиденото местоположение. Тази аномалия може да накара приложението да прикачи неправилни документи в изхода си.

XML документите понякога съдържат определение на типа документ (DTD), което се използва за дефиниране на XML обекти и други функции. Чрез DTD единният идентификатор на ресурса може да служи като форма на заместващ низ. Това, което XML парсерът ще направи, е да осъществи достъп до съдържащото се в единния идентификатор на ресурса и да въведе това съдържание обратно в XML документа за изпълнение.

InfoExposure

(изображение източник )

# 18) CWE-94: Инжектиране на код

Съществуването на синтаксис на кода в данните на потребителя увеличава възможността на нападателя да промени планираното поведение на контрол и да изпълни произволен код. Тази уязвимост се нарича „слабости на инжектирането“ и тази слабост може да накара контрола на данните да стане контролиран от потребителя.

Тази уязвимост описва сценарий, при който софтуерът позволява на ненадеждни данни в кода и не извършва проверка на специални символи, които могат да повлияят отрицателно както на поведението на кодовия сегмент, така и на синтаксиса.

Накратко, нападателят ще може да инжектира някакъв произволен код и да ги изпълнява в приложението. Следващият PHP код показва използването на функцията eval () в ненадеждни данни. В кода по-долу нападателят може да предаде в кода произволен код на параметъра „param“, който след това ще бъде изпълнен в софтуера.

Инжектиране на код

Примерът по-долу обяснява повикването към phpinfo () функция. Тази уязвимост може да бъде използвана по-нататък в други, за да изпълнява произволни команди на ОС на целевия софтуер чрез извикване на system ().

извикайте функцията phpinfo ()

# 19) CWE-798: Твърдо кодиран ключ за достъп

Това е случаят, когато паролата и ключът за достъп са трудно кодирани в приложението директно за целите на входящото удостоверяване и изходящата комуникация с някои външни компоненти и за криптиране на вътрешни данни. Твърдо кодираните данни за вход обикновено причиняват уязвимост, която проправя пътя на атакуващия да заобиколи удостоверяването, конфигурирано от администратора на софтуера.

Системният администратор винаги ще бъде много труден да открие тази уязвимост и да я поправи.

Има два основни потока към тази слабост:

  • Входящи : Приложението съдържа система за удостоверяване, която проверява входните идентификационни данни спрямо твърдо кодираните детайли.
  • Изходяща : Приложението се свързва с друга система и подробностите за свързване с другата система са кодирани твърдо в системата.

Във входящия поток винаги има създаден акаунт на администратор по подразбиране и идентификационните данни за достъп до него ще бъдат кодирани трудно в приложението и свързани с този администраторски акаунт по подразбиране.

Твърдо кодираните детайли обикновено са едно и също нещо при всяка инсталация на приложението и това не може да бъде променено или деактивирано от никого. Дори системните администратори нямат право, освен че могат ръчно да модифицират приложението. Ако паролата някога бъде разкрита на обществеността, тогава нападателят може да има достъп до цялото приложение и може да го манипулира за собствена печалба.

Тъй като всички инсталации на приложението имат една и съща парола, дори когато са инсталирани в отделни организации, това може да причини много масивни атаки през всички граници на организацията, например, инжектиране на червей в приложението, който ще се разпространи наоколо.

Изходящият поток се прилага само за предни системи, които се удостоверяват със задна услуга. Услугата отзад може да изисква твърд код или фиксирана парола, които лесно могат да бъдат открити. Това, което програмистът прави, е просто да кодира твърдо тези идентификационни данни във външния софтуер. Всеки потребител на това приложение може да може да извлече паролата.

Всеки софтуер от страна на клиента, в който паролата и ключът за достъп са кодирани твърдо в него, обикновено представлява по-голяма заплаха от тези, които не са кодирани твърдо, тъй като извличането на парола от двоичен файл обикновено е много лесно за изпълнение.

# 20) CWE-400: Неконтролирано потребление на ресурси

Тази уязвимост се случва, когато приложението не контролира правилно разпределението и поддръжката на ограничен ресурс, това позволява на атакуващия да може да влияе върху количеството консумирани ресурси, което в крайна сметка ще доведе до изчерпване на наличните ресурси.

Част от ограничените ресурси включва памет, съхранение на файлова система, записи в пула за връзка с база данни и процесор.

Да предположим, че нападателят може да задейства разпределението на тези ограничени ресурси и броят или размерът на ресурсите не се контролира, тогава нападателят може да причини хаос чрез отказ от услуга, който консумира всички налични ресурси.

Когато това се случи, това ще попречи на валидните потребители да имат достъп до приложението, което неизменно ще има отрицателно въздействие върху околната среда. Например, когато паметта на приложението преминава през атака на изтощение, това може да забави цялото приложение, както и операционната система на хоста.

Трите различни случая, които могат да доведат до изчерпване на ресурсите, са:

  • Недостиг на регулиране за броя на разпределените ресурси
  • Загуба на всички препратки към ресурс, преди да се стигне до етапа на изключване
  • Неуспешно затваряне / връщане на ресурс след обработка

Въпросът за изчерпването на ресурсите обикновено е резултат от неправилно изпълнение на следните сценарии:

  • Условия за грешка и други изключителни обстоятелства.
  • Има смесена реакция относно това коя част от програмата освобождава ресурса.

Следващият пример помага да се демонстрира естеството на тази уязвимост и да се опишат методи, които могат да се използват за намаляване на риска.

Следният пример обяснява уязвимостта:

Неконтролирано потребление на ресурси

java интервю програми и отговори за опитни

(изображение източник )

Тази програма не проследява колко са осъществени връзки и не ограничава броя на наличните връзки. Форкингът е само един от начините, използвани от нападателя, за да накара системата да изчерпи процесора, процесите или паметта, като направи голям брой връзки.

Това, което атакуващият прави, е да консумира всички налични връзки, като предотвратява дистанционния достъп на другите до системата.

често задавани въпроси

В # 1) Какво означава SANS?

Отговор: SANS означава SysAdmin, Audit, Network и Security.

В # 2) Избройте няколко примера за уязвимости.

Отговор: Примерите са както следва:

  • Софтуерни уязвимости
  • Уязвимости на защитната стена
  • Мрежови уязвимости
  • Уязвимости на операционната система
  • Уязвимости на уеб сървъра
  • Уязвимости на базата данни

В # 3) Каква е разликата между заплахите и уязвимостите?

Отговор: Заплаха е възможността за извършване на злонамерен или нежелан акт в опит да се повреди компютърна система или приложение чрез съществуващи уязвимости в системата. Пример: ransomware.

Уязвимости са слабости, които съществуват в системата, които биха могли да позволят нежелан или неоторизиран достъп на нападателя, за да проникне в вреда на организация. Пример: Неправилна конфигурация на защитната стена.

В # 4) Кои са най-често срещаните уязвимости?

Отговор: Това са както следва:

  • SQL инжекция
  • Cross-Site Scripting
  • Неправилна конфигурация на сигурността
  • Излагане на чувствителни данни
  • Счупено удостоверяване
  • Управление на сесията

Заключение

Този списък с най-добрите 20 уязвимости на SANS не е правило или политика, а ръководство, което да ни помогне как да избегнем уязвимостите на софтуера. Независимо дали сме разработчик или експерт по сигурността, сега е оставено да следваме това ръководство за това какво може да се направи, за да се избегне всяка грешка, която може да доведе до уязвимости в нашето приложение, които могат да създадат задната врата за даден актьор да извърши злонамерен акт.

Препоръчително четене

^