Owasp och Owasp Top Ten

OWASP står för Open Web Application Security Project och är en ideell organisation som startades 2001 och består framförallt av säkerhetsexperter från hela världen. De finns refererade i flera standarder och är en bra måttstock för säkra applikationer på nätet. OWASP håller seminarium inom IT-säkerhet över hela världen och på sin hemsida redogör de för de flesta säkerhetsbrister och har även tips hur dessa testas och åtgärdas.

2003 släppte de något som de kallar för OWASP Top ten. Top ten är en samling av de vanligaste säkerhetsbristerna som finns på nätet och om OWASPs-standard följs säkras webbapplikationen mot upp till 95% av kända säkerhetshål på nätet. Top ten 2013 baseras på över 500.000 sårbarheter som samlats in från tusentals olika webapplikationer och utifrån dessa vägs sedan omfattning, hur lätta sårbarheterna är att upptäcka och skadan de kan åstadkomma in.

OWASPs mål med Top 10 är att utbilda allt från utvecklare till systemägare och organisationer om konsekvenserna av de största webapplikationssäkerhetsbristerna. Top ten ger även en grundläggande metodik för att skydda sig ifrån dessa problemområden och hur ett generellt säkerhetsarbete kan läggas upp.

För att få en uppfattning om hur stort OWASP är så har de över 42 000 volontärer, 200 lokala avdelningar och finns i sex olika världsdelar i över 75 länder.

Kort sammanfattning om Top ten:

A1 – Injektion

Sårbarheter uppstår vid hantering av indata. Injektionsbrister, såsom SQL, OS och LDAP-injektion uppstår när opålitlig data skickas till en metod som del av ett kommando eller fråga. Angriparens fientliga data kan lura metoden att utföra oönskade kommandon, kringgå inloggningssystem eller komma åt och kunna manipulera data utan tillstånd.

A2 – Brusten autentisering och sessionshantering

Applikationsfunktioner som rör autentisering och sessionshantering är ofta inte implementerade korrekt. Detta gör att angripare kan komma över lösenord, nycklar, sessionstokens eller utnyttja andra brister genomförande att anta andra användares identitet.

A3 – Cross-Site Scripting (XSS)

XSS-brister uppstår när en applikation tar skadlig data och skickar det till en webbläsare utan ordentlig validering eller escape-sekvenser. XSS låter angripare köra skript i offers webbläsare som kan kapa användarsessioner, vanställa webbplatser eller omdirigera användare till skadliga webbplatser

A4 - Osäker direkt objektreferens

En direkt objektreferens inträffar när en utvecklare exponerar en referens till ett internt implementationsobjekt, till exempel en fil, katalog eller databasnyckel. Utan åtkomstkontroll eller annat skydd kan angripare manipulera dessa referenser för att få tillgång till känsliga uppgifter.

A5 – Felaktig säkerhetskonfiguration

Bra säkerhet kräver att en säker konfiguration är definierad och driftsatt för applikationen, ramverk, applikationsserver, webbserver, databasserver och plattform. Säkra inställningar bör definieras, implementeras och underhållas eftersom standardinställningar ofta är osäkra. Dessutom bör programvara hållas uppdaterad.

A6- Känslig dataexponering

Många webbapplikationer skyddar inte känslig data på ett korrekt sätt, såsom kreditkort och autentiseringsuppgifter. Angripare kan stjäla eller ändra sådana svagt skyddade uppgifter för att genomföra kreditkortsbedrägerier, identitetsstöld eller andra brott. Känsliga uppgifter förtjänar extra skydd som kryptering i vila eller under transport, liksom särskilda försiktighetsåtgärder vid utbyte med webbläsaren.

A7- Saknad åtkomstkontroll på funktionsnivå

De flesta webbapplikationer kontrollerar funktionsrättigheter innan funktionen syns i användargränssnittet. Men program behöver utföra samma åtkomstkontroller på servern när varje funktion anropas. Om anrop inte verifieras kommer angripare kunna skapa egna anrop för att få tillgång till funktionalitet utan korrekt auktorisering.

A8-Cross-Site Request Forgery (CSRF)

En CSRF-attack tvingar ett inloggat offers webbläsare att skicka HTTP-anrop, inklusive offrets sessionscookie och andra typer av automatiskt inkluderad autentiseringsinformation, till en sårbar webbapplikation. Detta gör det möjligt för angripare att tvinga offrets webbläsare att generera anrop som den sårbara applikationen anser är giltiga anrop från offret.

A9- Använda komponenter med kända sårbarheter

Komponenter, såsom bibliotek, ramverk och andra programvarumoduler, körs nästan alltid med fullständiga rättigheter. Om en sårbar komponent utnyttjas kan en sådan attack underlätta allvarlig dataförlust eller serverövertagande. Program som använder komponenter med kända sårbarheter kan undergräva applikationens försvar och göra det möjligt för en rad möjliga attacker.

A10- Icke validerade omdirigeringar och forwards

Webbapplikationer omdirigerar ofta och skickar användare till andra sidor och webbplatser. Ibland används otillförlitlig data för att bestämma destinationssidorna. Utan ordentlig validering, kan angripare omdirigera offer för nätfiske, skadliga webbplatser eller använda forwards för att få tillgång till obehöriga sidor.

Kontakta oss

Har ni frågor om säkerheten på er hemsida eller webbapplikation är ni alltid välkomna att kontakta oss.

Testa själv:

Vill du lära dig mer om webbapplikationssäkerhet finns det mycket läsning på Owasps egen hemsida. Om du vill prova på att pentesta webbapplikationer i en säker miljö kan du använda dig av DVWA, WebGoat eller Mutillidae som är sårbara hemsidor redo att testas.

FRA, Försvarets radioanstalt, släpper även mer generella utmaningar inom IT-säkerhet för att testa kunskaper hos potentiella rekryter. Dessa utmaningar är oftast väldigt välgjorda och kan verkligen rekommenderas.

http://challenge.fra.se/

En virtuell maskin som innehåller flera sårbarheter samt DVWA och Mutillidae är Metasploitable2. För en användare som vill komma igång fort kan denna starkt rekommenderas.

http://sourceforge.net/projects/metasploitable/

046-590 08 80