TOP 10 OWASP 2022, Mobile, Tryhackme, DPF như: Security Misconfiguration, XEE, Lỗ hổng XSS, Broken Authentication, …vv được các công ty kết hợp và báo cáo dưới đây sẽ giúp bạn cập nhật liên tục những nguy cơ cần bảo mật cho ứng dụng web và đáp ứng được nhu cầu mà bạn cần tìm kiếm. Những rủi ro được báo trong OWASP sẽ được triển khai rõ bên dưới, bạn có thể tham khảo ngay bài viết dưới về TOP 10 OWASP
Mục Lục
OWASP là gì
Open Web Application Security Project là một tổ chức phi lợi nhuận quốc tế chuyên về bảo mật ứng dụng web và có tên viết tắt là OWASP. Đặc điểm nổi bật của OWASP là tất cả các tài liệu của tổ chức đều miễn phí, người dùng sẽ dễ dàng tìm được tài liệu trên website với địa chỉ http://owasp.org
Tính chất của Open Web Application Security Project được viết tắt là OWSAP sẽ giúp người dùng trong việc đảm bảo được an toàn về tính bảo mật của ứng dụng web – ngành an ninh mạng là ngành cần nhất. Tin tức được cung cấp ra như Video, công cụ, diễn đàn, …vv thường sẽ chứa đựng được các tài liệu mà OWSAP cung cấp.
Giúp mọi người đặc biệt là ngành an ninh mạng có thể cải thiện tính bảo mật của ứng dụng web. Các tài liệu để nâng cao nhận thức mà OWSAP cung cấp có thể bao gồm: công cụ, video và diễn đàn. Để nắm được 10 khuyến nghị về lỗ hổng, rủi ro từ các chuyên gia bảo mật thì bạn hãy tham khảo tài liệu nâng cao nhận thức về các rủi ro bảo mật tại TOP 10 OWASP 2022 bên dưới.
TOP 10 OWASP
Security Misconfiguration
Nếu nói về lỗ hổng/ lỗi phổ biến nhất tại danh sánh thì phải nói đến lỗi Security misconfiguration hay lỗi cấu hình sai bảo mật. Việc dẫn đến lỗ hổng này thông thường là từ việc sử dụng sơ hữu quá nhiều thông in qua thông báo hiển thị lỗi và cũng có thể là từ việc dùng cấu hình mặc định
Dành cho những bạn chưa hiểu về cuộc tấn công này:
Việc hiển thị lỗi mô tả quá nhiều thông tin từ một ứng dụng có thể tiết lộ các lỗ hổng trong ứng dụng. Để giảm thiểu được lỗi/ lỗ hổng phổ biến này thì có thể thực hiện bằng cách loại bỏ bất kỳ tính năng không sử dụng nào trong code và đảm bảo rằng các thông báo lỗi sẽ mang tính khái quát hơn.
XML External Entities (XEE)
Bằng cách phân tích cú pháp đầu vào Extensible Markup Language (XML) sẽ cho phép việc đọc hiểu của người máy (tuy nhiên nhiều ứng dụng web hiện nay đang loại bỏ dần XML bởi lỗ hổng bảo mật cũng như tính chất phứt tạp) parses XML* input thì một thực thể ở phía ngoài vẫn có thể được tham chiếu (external entity được ví như ổ cứng/ đơn vị lưu trữ) trong trình phân tích cú pháp (parser) cũng đang cố gắng khai thác lỗ hổng.
Cách ngăn chặn lỗ hổng:
Việc lừa để gửi dữ liệu đến một thực thể bên ngoài của XML parser trái phép dữ liệu nhạy cảm sẽ được kẻ tấn công sở hữu từ việc chuyển trực tiếp => Biện pháp khắc phục những tấn công XEE thì có thể sử dụng những thực thể bên ngoài trong một ứng dụng XML hoặc vô hiệu hóa/ các dữ liệu ít phức tạp hơn có thể để web chấp nhận
Cross Site Scripting – Lỗ hổng XSS
Lỗi Cross-Site Scripting sẽ xuất hiện tron trường hợp những web hoặ cứng dụng để cho người dùng bổ sung code tùy chỉnh mà đối tượng khác có thể phát hiện ra vào đường dẫn url hoặc vào một trang web. Lỗ hổng này có thể bị khai thác để chạy mã JavaScript độc hại(malicious JavaScript code) của nạn nhân trên trình duyệt.
Dành cho những bạn chưa hiểu về cuộc tấn công này:
Đối tượng tấn công sẽ gửi mail cho nạn nhân kèm link web đội lót vẻ bề ngoài của một ngân hàng uy tín cùng trang web của ngân hàng đấy. Tuy nhiên nếu kích vào link này thì link có chưa JavaScript độc hại được gắn thẻ vào cuối url. Nếu trang web của ngân hàng không được bảo vệ thích hợp chống lại Cross-Site Scripting, thì mã độc hại đó sẽ được chạy trong trình duyệt web của nạn nhân (nếu người đó kích vào liên kết)
Cách ngăn chặn lỗ hổng:
Để giảm được sự tấn công từ lỗ hổng lỗi Cross-Site Scripting thì cần loại bỏ những nội dung mà người dùng bổ sung hoặc yêu cầu HTTP không uy tín xác thực. Bên cạnh đó vẫn còn cách khác đó là dùng web development frameworks hiện đại như ReactJS và Ruby on Rails sẽ có tính năng bảo vệ khỏi các cuộc tấn công Cross-Site Scripting.
Kiểm tra log & giám sát không hiệu quả
Kẻ tấn công sẽ có thời gian gây ra thiệt hại trước lúc có phản ứng nào can thiệp nếu như không làm đủ những bước để phát hiện vi phạm dữ liệu trên ứng dụng web (tuy nhiên khoản thời gian phát hiện vi phạm cũng khá lâu, lên đến 200 ngày nên nếu không phát hiện và can thiệp thì sẽ nhận về thiệt hại là điều hiển nhiên)
Cách ngăn chặn lỗ hổng:
Các nhà phát triển web hãy hành động theo khuyến nghị của OWASP về việc và giám sát (monitor)/ ghi log cũng như lên các kế hoạch đối diện và xử lý sự cố để có thể tự tin về nhận thức các cuộc tấn công vào các ứng dụng.
Sensitive Data Exposure – Lỗ hổng rò rỉ dữ liệu nhạy cảm
Những cuộc tấn công on-path attack diễn ra đều từ việc những kẻ xấu dựa vào phương pháp đại trà là đánh cắp dữ liệu/ thông tin nhạy cảm. Vì thế các đối tượng được gọi là hacker sẽ có tể truy câp vào những dữ liệu đó và các việc làm bất chính có thể diễn ra vì họ đã dành được quyền truy cập vào dữ liệu đó.
Cách ngăn chặn lỗ hổng:
Các ứng dụng web cần phải bảo vệ các thông tin/ dữ liệu nhạy cảm bao gồm mật khẩu và các thông tin khác như tài chính. Ngoài ra để giảm được việc lộ giữ liệu, người dùng có thể encypt (mã hóa) các dữ liệu nhạy cảm hoặc các thông tin nhạy cảm cần tìm cách vô hiệu cache (Đây là thứ dùng để lưu trữ dữ liệu tạm thời sau đó có thể sử dụng lại mà không tốn thời gian tìm nạp lại từ đầu các web ấy)
Insecure Deserialization
Tấn công này bao gồm Serialization & Deserialization.
Serialization chính là lấy các đối tượng (object) từ mã ứng dụng (application code) đổi thành định dạng có thể được sử dụng cho mục đích khác, được ví như việc lưu trữ dữ liệu vào đĩa hoặc phát trực tuyến dữ liệu ấy. Nếu làm ngược lại thông tin của erialization thì chính là Deserialization
Serialization được ví như đóng gói đồ đạc vào các hộp trước khi chuyển đi, và deserialization giống như mở hộp và lắp ráp đồ đạc sau khi chuyển đi. Việc tấn công deserialization được hiểu là xáo trộn nội dung của các hộp trước khi chúng được giải nén trong quá trình di chuyển.
Broken Authentication
Trong TOP 10 OWASP thì đây là lỗ hổng tại hệ thống xác thực có tên là login (nguy hiểm nhất là nó có thể xâm nhập với tài khoản quản trị viên vào tất cả hệ thống và tài khoản người dùng)
Dành cho những bạn chưa hiểu về cuộc tấn công này:
Đối tượng tấn công đó sẽ tổng hợp tên người dùng trong tổ hợp cả nghìn tên cùng pass có được trong một lần vi phạm dữ liệu => Sau đó họ sẽ sử dụng tập lệnh để thử tất cả các tổ hợp đó trên hệ thống đăng nhập để xem có tổ hợp nào hoạt động không.
Cách ngăn chặn lỗ hổng:
Để có thể ngăn chặn được lỗ hổng xác thực này thì hiện nay đã có một số chuyên gia đưa ra chiến lược bao gồm: two-factor authentication được viết tắt là 2FA. Đây được cho là 2 yếu tố hãm bớt những nỗ lực đăng nhập lại thông qua việc dùng giới hạn số lần đăng nhập cùng với khoản cách thời gian qui định giữa các lần nhập không đúng.
Sử dụng các thành phần có lỗ hổng đã biết
Hầu hết các nhà phát triển web hiện nay đều tránh công việc thừa và cung cấp chức năng cần thiết qua những thành phần của các phần mềm như thư viện (libraries) và framework trong các ứng dụng web của họ
Dành cho những bạn chưa hiểu về cuộc tấn công này:
+ Để thêm các biểu tượng chia sẻ hoặc a/b testing thì thường sẽ bao gồm các framework front-end như React và các thư viện nhỏ hơn
+ Việc tìm kiếm các lỗ hổng trong các thành phần trên mà chúng có thể sử dụng để điều phối các cuộc tấn công các số kẻ tấn công
+ K tấn công tìm thấy lỗ hổng bảo mật trong những thành phần này có thể khiến hàng trăm nghìn trang web bị khai thác. Vẫn có một số thành phần phổ biến hơn được sử dụng trên hàng trăm nghìn trang web
Cách để giảm được rủi ro từ các lỗ hổng trên:
+ Nên xóa các thành phần không sử dụng khỏi dự án
+ Hãy đảm bảo đang nhận các thành phần từ một nguồn đáng tin cậy và đảm bảo chúng được cập nhật.
Injection – Lỗi chèn mã độc
Injection sẽ xuất hiện khi có thông báo nhận được dữ liệu không uy tín với tên đầy đủ là Injection attack thông qua code interpreter (trình thông dịch mã) và còn diễn ra tại những biểu mẫu điền vào và cũng có thể là ứng dụng web sẽ nhận được các dữ liệu khác.
Nếu vẫn chưa hiểu thì bạn có thể tưởng tượng qua tình tiết sau:
SQL database code sẽ được đối tượng xấu đó nhập vào một fom (biểu mẫu) sau đó nó sẽ yêu cầu username ở dạng plaintext – Trường hợp fom đó không được điền và bảo đảm an ninh đúng phương pháp thì SQL code đó sẽ được thực thi. Cuộc tấn công SQL injection bắt nguồn từ đây.
Cách ngăn chặn lỗ hổng:
Nếu gặp phải vấn đề này người dùng vẫn có thể ngăn được thông qua việc xác thực tài liệu của đối tượng gửi là người dùng. Vì thế trong quá trình xác thực thì người dùng không được chấp nhận các dữ liệu không tin tưởng và các dữ liệu này phải được làm sạch. Bên cạnh đó để có thể giảm được các thông tin lộ ra bên ngoài qua cuộc tấn công injection thì những quản trị viên kiểm soát vấn có thể thiết lập ra các biện pháp kiểm soát.
Broken Access Control
Việc nắm giữ quyền truy cập các chức năng/ thông tin từ Access Control hay kiểm soát truy cập đề cập đến sẽ có lỗ hổng mà đối tượng tấn công có thể loại khỏi mục ủy quyền (authorization) sau đó sở hữu như một đối tượng đặc quyền còn coi như admin (quản trị viên)
Dành cho những bạn chưa hiểu về cuộc tấn công này:
Người dùng có thể thay đổi tài khoản mà họ đã đăng nhập nhờ sự cho phép của ứng dụng web thông qua việc đổi một phần của url (kể cả một xác minh cũng không cần đến)
Cách ngăn chặn lỗ hổng:
Bảo mật thông qua việc bảo mật kiểm soát truy cập sẽ đảm bảo cho việc sử dụng authorization tokens mà một số người dùng khi đăng nhập (Mọi yêu cầu đặc quyền mà người dùng đưa ra sẽ yêu cầu phải có authorization tokens). Đảm bảo an toàn rằng đúng người dùng với đúng đặc quyền thì việc kiểm soát truy cập có thể được bảo mật bằng cách đảm bảo rằng ứng dụng web sử dụng authorization tokens
Trên đây là TOP 10 OWASP 2022 Mobile Tryhackme DPF mà tricksgame.net đã tổng hợp và đánh giá dựa trên internet. Hi vọng có thể giúp bạn cập nhật được 10 thông tin về lỗ hổng quan trọng nhất về những nguy cơ bảo mật với ứng dụng web nhằm nâng cao nhận thức bản thân mà chúng tôi đã đưa ra bên trên như kết quả mà bạn đang tìm kiếm.
Xem thêm:
