6 - Maʼruza: Dasturiy vositalarda zaifliklar turlari va tasnifi
Reja:
1.OWASP tashkiloti eʼlon qilgan zaifliklar tasnifi.
2.Ularga qarshi himoya choralari.
Tayanch iboralar: SQL injeksiyasi, LDAP injeksiyasi NoSQL injeksiyasi, Xavfsizlikni ziddiyat
1.OWASP tashkiloti eʼlon qilgan zaifliklar tasnifi.
OWASP (Axborot Ommalari uchun Ochilgan Dasturlar Maslahatchiligi Proyekti) bir qator xavfsizlik nusxalari va ularni oldini olish uchun xavfsiz dasturlash amaliyotlari to'plamidir. OWASP, tashqi iste'molchilarning dastur xavfsizlikini yaxshilashga yordam berish uchun ko'p qavatli resurslarni taqdim etadi.
OWASP tashkiloti jami 10 ta eng muhim xavfsizlik nusxasini tartibga solgan bo'lib, bu nusxalar har bir yil yangilanadi va jamiy mijozlar uchun xavfsiz dasturlashda keng qo'llaniladi. Eng oxirgi xavfsizlik nusxalar tasnifi, 2021 yilda yangilangan edi. Biz quyidagi OWASP Top 10 xavfsizlik nusxalarini ko'rsatamiz:
1. **Ajoyib fayl yuklash (Injection):** Bu nusxa ma'lumotlar bazasiga injeksiya qilishni (masalan, SQL injeksiyasi, NoSQL injeksiyasi, LDAP injeksiyasi) ko'rsatadi.
2. **Kimyoviy xavfsizlik (Broken Authentication):** Bu xavfsizlik nusxasi dastur kimyoviy xavfsizlik asosiy tushunchalariga, masalan, parol to'g'risida keng ko'lamli sergaklash, ushbu nusxa ma'lumotni yuborish va unga qarab ishlovchi jarayonlar bo'yicha nazorat qilish to'g'risida maslahatlar beradi.
3. **Sertifikat yoki niqob (Sensitive Data Exposure):** Bu nusxa hisob ma'lumotlari yoki shaxsiy ma'lumotlarni xavfsizlik nusxasini ko'rsatadi, misol uchun sertifikatlar, parollar, foydalanuvchi ma'lumotlari va boshqalar.
4. **Xavfsizlikni ziddiyat (XML External Entities (XXE)):** Bu nusxa injeksiya operatsiyalarini yuborish uchun XML dokumentlarini foydalanadi. XXE saldırıchilar tizimda maxfiy ma'lumotlar olishga imkoniyat yaratish uchun xavfsizlik nusxalaridan foydalanadi.
5. **Dasturchi HTTP tizimi xavfsizligi:** Bu xavfsizlik nusxasi dasturchilar uchun HTTP tizimining xavfsizligi, masalan, brauzer ustida majburiy HTTP o'zgartiruvchi (HTTP oxshab, HTTP ishlatmaslik) yoki xavfsizlik niqobi sifatida HTTPS tarmog'ini foydalanishi to'g'risidagi maslahatlar beradi.
6. **Ajoyib fayl manbalar (Security Misconfiguration):** Bu nusxa xavfsizlik konfiquratsiyasini tahlil qiladi, masalan, qolgan, aniq identifikatorlarni (session ID), fayllarni, foydalanuvchi akkuntlarini va boshqalarini belgilash orqali boshqarishni ko'rsatadi.
7. **Xavfsizlikni ziddiyat (Cross-Site Scripting (XSS)):** Bu nusxa saldırıchilar brauzerda JavaScript skriptlarini bajarishga imkon beradi, bundan tashqari, bu xavfsizlik nusxasi brauzerda ishlovchi skriptlar yaratishga yordam beradi.
8. **Xavfsizlikni ziddiyat (Insecure Deserialization):** Bu nusxa yaroqli qat'iy ma'lumotlar bilan ishlaydigan xavfsizlik nusxasini ko'rsatadi, masalan, fayl sifatida ma'lumotlarni deserializatsiyalash.
9. **Xavfsizlikni ziddiyat (Using Components with Known Vulnerabilities):** Bu nusxa brauzer va tizim komponentlarini yangilash maqsadida foydalanuvchi va dasturchilarga maslahatlar beradi.
10. **Ajoyib fayl uchun nusxalash (Insufficient Logging & Monitoring):** Bu nusxa xavfsizlikni tahlil qiladi, masalan, so'rov uchun yozilgan fayllarni nazorat qilish, to'g'ri tahlil qilish va to'g'ri tekshirishni o'z ichiga oladi.
OWASP Top 10 xavfsizlik nusxalari bu yil yangilangan edi, shuningdek, bu xavfsizlik nusxalari yangilanishlari uchun dastur ishlab chiqish yoki ishlab chiqish joriyasi xavfsizlik nusxalariga qarshi teshkilatlar uchun muhimdir.
|