Open Web Application Security Project (OWASP), azərbaycanca tərcümədə Açıq Veb Tətbiq Təhlükəsizliyi Layihəsi, veb proqram təhlükəsizliyini təkmilləşdirməyə həsr olunmuş qlobal səviyyədə tanınan qeyri-kommersiya təşkilatıdır. Onun ən böyük töhfələrindən biri OWASP Top 10-dur. OWASP Top 10 veb proqramların üzləşdiyi ən kritik təhlükəsizlik risklərinin müntəzəm olaraq yenilənən siyahısıdır. Tətbiqlərini kibertəhlükələrdən qorumaq üçün tərtibatçılar, təhlükəsizlik mütəxəssisləri və bizneslər üçün bu zəiflikləri bilmək vacibdir. Bu məqaləmizdə bu zəifliklərdən danışacayıq.

1. Broken Access Control

İstifadəçilər resurslara daxil ola bildikdə və ya nəzərdə tutulmuş, icazə veriləndən kənar hərəkətlər edə bildikdə giriş nəzarəti zəifliyi yaranır. Bu hal məlumat sızmasına, imtiyazların artmasına və sistemdə icazəsiz dəyişikliklərə səbəb ola bilər.

Həll:

Düzgün rol əsaslı giriş nəzarətini (RBAC) həyata keçirin.
Ən az imtiyaz prinsiplərini tətbiq edin.
Güclü identifikasiya mexanizmlərindən istifadə edin.

2. Kriptoqrafik problemlər

Güvənli olmayan kriptoqrafik həllər parollar, bank kartı məlumatları və şəxsi məlumatlar kimi həssas məlumatların ifşası ilə nəticələnə bilər.

Həll:

Məlumatlar üçün güclü şifrələmədən istifadə edin.
Zəruri olmadıqda həssas məlumatları saxlamaqdan çəkinin.

3. İnjection hücumları

Tətbiq istifadəçinin daxil etdiyi məlumatı lazımi qaydada filtrasiya edə bilmədikdə injection zəiflikləri yaranır. Bu hal kibercinayətkarlara SQL injection, NoSQL injection və command injection kimi yollarla zərərli əmrləri yerinə yetirməyə imkan verir.

Həll:

Daxil olunan məlumatları detallı filtrasiya edin.
Veb Tətbiq Firewalllarını (WAF) tətbiq edin.

4. Güvənli olmayan dizayn

Güvənli olmayan dizayn proqramın arxitekturasındakı çatışmazlıqları ifadə edir və hətta kod düzgün tətbiq olunsa belə zəifliklər ortaya çıxır.

Həll:

Güvənli kodlaşdırma təcrübələrinə əməl edin.
Təhlükəsiz dizayn nümunələrindən istifadə edin.

5. Səhv təhlükəsizlik konfiqurasiyası

Yanlış konfiqurasiya edilmiş serverlər, verilənlər bazaları və proqramlar kibercinayətkarlar üçün təhlükəsizlik boşluqlarını açıq qoya bilər.

Həll:

Lazımsız funksiyaları və xidmətləri bağlayın.
Proqram təminatını yeniləyin.
Konfigurasiyanı müntəzəm yoxlayın.

6. Zəif və köhnəlmiş komponentlər

Köhnəlmiş proqram kitabxanaları və alətlərdən istifadə təhlükəsizlik problemləri yarada bilər.

Həll:

İstifadə olunan alətləri yeniləyin
Üçüncü tərəf komponentlərin istifadəsi zamanı diqqətli olun.
İstifadə edilməyən kitabxanaları və plaginləri silin.

7. İdentifikasiya və autentifikasiya problemləri

Zəif parollar və ya düzgün olmayan sessiya idarəsi kimi zəif identifikasiya mexanizmləri kibercinayətkarların hesabları ələ keçirməsinə imkan verə bilər.

Həll:

Çox faktorlu autentifikasiyanı (MFA) tətbiq edin.
Təhlükəsiz parollardan istifadə edin.
Təhlükəsiz sessiya idarəetmə üsullarından istifadə edin.

8. Proqram təminatı və məlumatların bütövlüyünün pozulması

Problemli proqram yeniləmələri təhlükəsizlik pozuntularına səbəb ola bilər.

Həll:

Yeniləmələr üçün rəqəmsal imza və kriptoqrafik autentifikasiya istifadə edin.
Kodun bütövlüyünün yoxlanılmasını həyata keçirin.

9. Təhlükəsizlik qeydləri və monitorinq problemləri

Yetərli olmyana qeyd və monitorinq təhlükəsizlik pozuntularının aşkarlanmasını gecikdirə bilər.

Həll:

Təhlükəsizlik qeydlərini və loqları gücləndirin.
Şübhəli fəaliyyət üçün qeydləri müntəzəm olaraq nəzərdən keçirin və təhlil edin.

10. Server-Side Request Forgery (SSRF)

SSRF hücumları həssas proqramın kibercinayətkarlara daxili resurslara icazəsiz sorğular göndərməyə imkan verdikdə baş verir.

Həll:

Veb tətbiqlərindən gələn sorğuları məhdudlaşdırın.
Girişi idarə etmək üçün icazə siyahılarından istifadə edin.
Şübhəli daxili sorğuları izləyin və qeyd edin.