|
These days, even simple websites such as personal blogs have a lot of dependencies.
We can all agree that failing to update every piece of software on the backend and frontend of a website will, without a doubt, introduce heavy security risks sooner rather than later.
For example, in 2019, 56% of all CMS applications were out of date at the point of infection.
Ishonchsiz deserializatsiya Eslatma: OWASP Top 10 taʼkidlashicha, ushbu xavfsizlik xavfi sanoat soʻrovi orqali qoʻshilgan va miqdoriy maʼlumotlar tadqiqotiga asoslanmagan. Har bir veb-ishlab chiquvchi tajovuzkorlar/xavfsizlik tadqiqotchilari o'zlarining ilovalari bilan o'zaro aloqada bo'lgan barcha narsalar bilan o'ynashga harakat qilishlari bilan tinchlik o'rnatishi kerak - URL manzillaridan tortib ketma-ketlashtirilgan ob'ektlargacha. Informatikada ob'ekt ma'lumotlar strukturasidir; boshqacha qilib aytganda, ma'lumotlarni tuzish usuli. Ba'zi asosiy tushunchalarni tushunishni osonlashtirish uchun: Seriyalashtirish jarayoni ob'ektlarni bayt satrlariga aylantirishdir. Seriyadan chiqarish jarayoni bayt satrlarini ob'ektlarga aylantirishdir. Ishonchsiz deserializatsiya hujumi stsenariylariga misollar OWASP ko'rsatmalariga ko'ra, hujum stsenariylarining ba'zi misollari: Stsenariy №1: React ilovasi Spring Boot mikroxizmatlari to‘plamini chaqiradi. Funktsional dasturchilar bo'lib, ular o'zlarining kodlari o'zgarmasligini ta'minlashga harakat qilishdi. Ularning yechimi foydalanuvchi holatini ketma-ketlashtirish va uni har bir so'rov bilan oldinga va orqaga o'tkazishdir. Buzg'unchi "R00" Java ob'ekt imzosini payqaydi va dastur serverida masofaviy kodni bajarish uchun Java Serial Killer vositasidan foydalanadi. Stsenariy №2: PHP forumi foydalanuvchi identifikatori, roli, parol xeshi va boshqa holatlarni o'z ichiga olgan “super” cookie faylini saqlash uchun PHP obyektini ketma-ketlashtirishdan foydalanadi: a:4:{i:0;i:132;i:1;s:7:”Mallory”;i:2;s:4:”foydalanuvchi”; i:3;s:32:”b6a8b3bea87fe0e05022f8f3c88bc960″;} Buzg'unchi o'zlariga administrator huquqlarini berish uchun ketma-ketlashtirilgan ob'ektni o'zgartiradi: a:4:{i:0;i:1;i:1;s:5:”Alis”;i:2;s:5:”admin”; i:3;s:32:”b6a8b3bea87fe0e05022f8f3c88bc960″;} OWASP tomonidan ushbu xavfsizlik xavfi bo'yicha taqdim etilgan hujum vektorlaridan biri tizimga kirgan foydalanuvchi haqida ketma-ketlashtirilgan ma'lumotlarni o'z ichiga olgan super cookie edi. Ushbu cookie faylida foydalanuvchining roli ko'rsatilgan. Agar tajovuzkor ob'ektni muvaffaqiyatli seriyadan chiqarishga qodir bo'lsa, o'ziga administrator rolini berish uchun ob'ektni o'zgartiring, uni qayta seriyalashtiring. Ushbu harakatlar to'plami butun veb-ilovani buzishi mumkin. Ishonchsiz deserializatsiyani qanday oldini olish mumkin Veb-ilovangizni ushbu turdagi xavfdan himoya qilishning eng yaxshi usuli bu ishonchsiz manbalardan ketma-ketlashtirilgan ob'ektlarni qabul qilmaslikdir. Agar buni qila olmasangiz, OWASP xavfsizligi siz (yoki ishlab chiquvchilaringiz) amalga oshirishga harakat qilishingiz mumkin bo'lgan ko'proq texnik tavsiyalarni taqdim etadi: Dushmanlik ob'ektlarini yaratish yoki ma'lumotlarni buzishning oldini olish uchun har qanday ketma-ketlashtirilgan ob'ektlarda raqamli imzolar kabi yaxlitlik tekshiruvlarini amalga oshirish. Ob'ektni yaratishdan oldin seriyasizlashtirish vaqtida qattiq turdagi cheklovlarni qo'llash, chunki kod odatda aniqlangan sinflar to'plamini kutadi. Ushbu texnikani chetlab o'tish yo'llari ko'rsatilgan, shuning uchun faqat bunga tayanish tavsiya etilmaydi. Iloji bo'lsa, past imtiyozli muhitlarda seriyani yo'qotadigan kodni izolyatsiya qilish va ishga tushirish. Kiruvchi tur kutilgan tur boʻlmasa yoki seriyani bekor qilish istisno holatlarini keltirib chiqaradigan kabi ketma-ketlikni bekor qilish holatlari va nosozliklarni qayd qilish. Seriyadan chiqarilgan konteynerlar yoki serverlardan kiruvchi va chiquvchi tarmoq ulanishini cheklash yoki nazorat qilish. Deserializatsiya monitoringi, agar foydalanuvchi doimiy ravishda seriyani bekor qilsa, ogohlantirish. Zaifliklari ma'lum bo'lgan komponentlardan foydalanish Bugungi kunda shaxsiy bloglar kabi oddiy veb-saytlar ham juda ko'p bog'liqliklarga ega. Biz hammamiz rozi bo'lishimiz mumkinki, veb-saytning backend va frontend qismidagi har bir dasturiy ta'minotni yangilamaslik, shubhasiz, ertaroq emas, balki jiddiy xavfsizlik xavflarini keltirib chiqaradi. Misol uchun, 2019 yilda barcha CMS ilovalarining 56 foizi infektsiya nuqtasida eskirgan.
The question is, why aren’t we updating our software on time? Why is this still such a huge problem today?
There are some possibilities, such as:
Do'stlaringiz bilan baham: |
