Milan Kryl

Kryl Blog - RSS

TOP 10 chyb webových aplikací

07. 02. 2005 - 06:07

Na stránkách organizace OWASP můžete najít seznam deseti nejzávažnějších bezpečnostních problémů za rok 2004, které se vyskytují v internetových aplikacích.

1. Nekontrolovaný vstup dat #

Informace, které aplikace získá z HTTP požadavku nejsou kontrolovány před použitím v aplikaci. Útočník může využít této chyby k útoku na webovou aplikaci. (více o Unvalidated Input)

2. Narušená kontrola přístupu #

Omezení, co vše je povoleno autentizovanému uživateli, není správně zajištěno. Útočník může této chyby využít k přístupu na účty ostatních uživatelů, zobrazovat citlivé soubory nebo použít nepovolené funkce. (více o Broken Access Control)

3. Narušená autentikace a správa session #

Pověření k účtu a informace o přihlášení nejsou řádně chráněna. Útočník může kompromitovat hesla, klíče, session cookies nebo další tokeny. Může narušit bezpečnostní omezení a zjistit identity ostatních uživatelů. (více o Broken Authentication and Session Management)

4. Cross Site Scripting (XSS) chyba #

Webová aplikace může být použita jako mechanismus pro přenesení útoku přímo do internetového prohlížeče připojeného uživatele. Úspěšný útok může odhalit přihlašovací údaje uživatele, umožnit útok na uživatelův počítač nebo podvrhnout obsah stránky k oklamání uživatele. (více o Cross Site Scripting (XSS) Flaws)

5. Přetečení vyrovnávací paměti (Buffer Overflow) #

Komponenty webových aplikací v některých jazycích nekorektně kontrolují vstupní data. Může dojít k jejímu zhroucení a někdy i následné kontrole běžícího procesu. Tyto komponenty mohou zahrnovat CGI, knihovny, ovladače a komponenty webového serveru, na kterém běží aplikace. (více o Buffer Overflows)

6. Chyba umožňující vkládání kódu #

Webová aplikace používá zasílané parametry k přístupu na externí systémy nebo k operačnímu systému. Pokud útočník dokáže tyto parametry pozměnit a připojit vlastní kód, externí systém tyto příkazy spustí s oprávněními serveru. (více o Injection Flaws)

7. Nesprávné ošetřování chyb #

Chybové podmínky, které nastanou za běhu aplikace, nejsou korektně ošetřeny. Pokud může útočník vyvolat nějaké chyby, které aplikace neošetřuje korektně, může se dostat k detailním informacím o celém systému, zakázat celou službu, obejít bezpečnostní mechanismus nebo způsobit pád serveru. (více o Improper Error Handling)

8. Nezabezpečené úložiště dat #

Webové aplikace často používají kryptografické funkce k ochraně informací nebo přihlašovacích údajů. Správná implementace je poměrně složitá, proto většinou dochází k oslabení této ochrany díky nesprávnému použití. (více o Insecure Storage)

9. DOS útok (Denial of Service) #

Útočník může spotřebovávat aplikační zdroje, aby další oprávnění uživatelé nemohli službu nadále používat nebo k ní přistupovat. Útočník může uživatelům dokonce zamezit přístup k jejich účtům a nebo zavinit selhání celé aplikace. (více o Denial of Service )

10. Nezabezpečená konfigurační správa #

Velké konfigurační nároky na server mohou mít špatný vliv na zabezpečení webové aplikace. Mnoho konfiguračních možností ovlivňuje i bezpečnost aplikace v případě špatného nastavení. (více o Insecure Configuration Management)

Prameny: OWASP Top Ten

 

Tip: Nevíte čím obdarovat nejbližší? Nechte je napsat Ježíškovi.

Související