Cùng tìm hiểu về OWASP và OWASP Top Ten trong bảo mật website

Nội dung

Cùng chủ đề

Về OWASP

OWASP là tên viết tắt của The Open Worldwide Application Security Project – một tổ chức phi lợi nhuận hoạt động với mục đích cải thiện tính bảo mật của phần mềm.

OWASP Top Ten

OWASP Top 10 là tài liệu nâng cao nhận thức tiêu chuẩn dành cho các nhà phát triển và bảo mật ứng dụng web. Nó thể hiện sự đồng thuận rộng rãi về các rủi ro bảo mật nghiêm trọng nhất đối với các ứng dụng web.

Chúng ta sẽ cùng xem xét 10 rủi ro được đề cập trong tài liệu.

Lỗi thường dẫn đến việc tiết lộ, sửa đổi hoặc phá hủy thông tin trái phép tất cả dữ liệu hoặc thực hiện chức năng kinh doanh ngoài giới hạn của người dùng.

Liên quan đến việc bảo vệ dữ liệu khi truyền và ở trạng thái nghỉ. Ví dụ: mật khẩu, số thẻ tín dụng, hồ sơ sức khỏe, thông tin cá nhân và bí mật kinh doanh

Đề cập đến việc “làm sạch” các dữ liệu đầu vào trước khi chúng được gửi về server để xử lý. Đây là lỗi phổ biến nhất và thường được các tin tặc sử dụng để tấn công website.

Đề cập đến các vấn đề cấu hình hệ thống được sử dụng để chạy ứng dụng web, ví dụ hosting, vps, server… Ứng dụng web dù có bảo mật tốt, nhưng hạ tầng bị tấn công thì cũng không có tác dụng.

Đề cập đến việc không kiểm soát các phiên bản của ứng dụng, của nền tảng phát triển, thư viện ứng dụng bên thứ ba….dẫn đến những rủi ro bị tin tặc tấn công .

Đề cập đến việc xác thực thông tin người dùng, phạm vi về quyền được cấp phép trong hệ thống để hạn chế rủi ro truy cập và tấn công qua lỗ hổng xác thực danh tính.

Đề cập đến việc sử dụng các thư viện, hạ tầng từ bên cung cấp thứ 3 mà không đáng tin cậy.

Đề cập đến việc ghi chép lịch sử truy cập hoặc thao tác trên ứng dụng để có thể kiểm soát được các nguy cơ tấn công.