OWASP TOP 10 2021 թարմացում

OWASP TOP 10 2021 թարմացում

L3v0n

Ողջույն ընկեր
Մինչ ներկայացնելը OWASP 2021 նոր տեղափոխությունները կարող ես ծանոթանալ իմ նախկին գրառմաը OWASP - ի շուրջ , որը ակտուալ էր մինչև նոր թարամցումը ՝
https://telegra.ph/OWASP-TOP-10-%D4%BF%D4%B1%D5%84-%D4%BB%D5%86%D5%89%D5%8A%D4%B5%D5%8D-%D5%8A%D4%B5%D5%8F%D5%94-%D4%B7-%D4%B1%D5%86%D5%8E%D5%8F%D4%B1%D5%86%D4%B3-%D4%BB%D5%84%D5%8A%D4%BC%D4%B5%D5%84%D4%B5%D5%86%D5%8F%D4%B1%D5%91%D5%86%D4%B5%D4%BC-%D4%B3%D5%88%D4%BE%D5%88%D5%82%D5%88%D5%92%D4%B9%D5%85%D5%88%D5%92%D5%86%D5%86%D4%B5%D5%90%D4%BB-%D5%80%D4%B1%D5%8B%D5%88%D5%90%D4%B4%D4%B1%D4%BF%D4%B1%D5%86%D5%88%D5%92%D4%B9%D5%85%D5%88%D5%92%D5%86%D4%B8-07-03

Նախաբան

Ներկայացվող փոփոխությունը դեռ գտնվում է մշակման փուլում և միգուցե շուտով սա կհաստատվի և պաշտոնապես կհայտատարարվի փոփոխության մասին ։ Մինչ անդրադառնալը մանրամասն նյութին նշեմ , որ փոփոխության հիմք են հանդիսանում հարձակման վեկտորի փոփոխությունները , որի աղբյուր են հանդիսանում MITRE ATT&CK, STRIDE մոդելները ։

Նախատեսվող փոփոխություն

  1. A01:2021-Broken Access Control

Տվյալ բաժինը հայտնվել է առաջին տեղում, քանի որ ըստ վիճակարության ամենաշատ դեպքերը գրանցվել են CWE սիմպտոմների հիման վրա ։ Ի տարբերություն CVE - ից , CWE - ին նկարագրում է սիմպտոմ կամ կախվաշություն , իսկ CVE - ին բուն գործընթացն է, որը ներկայանում է ինստրուկացիաների հաջորդականության տեսքով (for example C code instruction) : Պատճառը, որը ստիպել այն ներառել առաջին տեղում։ Գալիս է նրանից , որ տվյալ խմբի ենթախմբերը ավելի հեշտ են իմպլեմենտացվում և բացի դա ներկա դեպքերը ցույց են տալիս, որ ցանկացած մեշ հարձակման դեպքում , սա հանդիսանում Mitre փուլերի առաջին փուլի Reconnaissance ֊ ի մի մաս ։ Տվյալ BAC խմբի CWE է հանդիսանում օրինակ ՝ path traversal, missing authorization, IDOR, Improper Access to Sensitive Information Using Debug and Test Interfaces :

2. A02:2021-Cryptographic Failures

Նախկինում այն անվանել են Sensitive Data Exposure : Եվ նրա CWE ներից է եղել TLS attack, encryption attack, Weak Encoding for Password, Cryptographic Issues, Cleartext Transmission of Sensitive Information, Use of a One-Way Hash without a Salt և այլն ։

3. A03:2021-Injection

Սա պայմանավորված է նրանով , որ աճել է պատևաստի գրադարանների օգտագործումը, ոչ ճիշտ մեթոդներով ։

Ըստ Stackoverflow վիճակագրության


4. A04:2021-Insecure Design


Տվյալ խումբը ավելի շատ պատկանում է սխալներին, որոնք չի կարելի թույլ տալ լուծման ճարտարապետության նախագծման ժամանակ ։ Ժամանակին տվյալ ճյուղը ներառված էր, security misconfiguration ենթաբաժնի մեջ ։ Եվ ներկա պահին այն դարձել է նոր առանձին ճյուղ ։ Հիմնականում իր մեջ ներառված է այնպիսի ենթախմբեր կամ CWE - ներ , որոնց միջոցով հնարավոր է կատարել Reconnaissance բաժնի մեջ մտնող գործողություն ։ Օրինակ ՝ Business Logic Errors, Improper Use of Validation Framework, Trusting HTTP Permission Methods on the Server Side

5. A05:2021-Security Misconfiguration

Ժամանակին կար առանձին բաժին XML EXTERNAL ENTITES ։ Ներկա պահին այն ներառված այս խմբի մեջ, որպես ենթաբաժին : Սրա մեջ են ներառվում այնպիսի CWE ներ, որոնք են օրինակ այնպիսի կոմպոնենտների միացված պահելը կամ տեղադրելը ձեր միջավայրի մեջ , որոնք երբևիցե չեն օգտագործվելու ։

6. A06:2021-Vulnerable and Outdated Components

Արդեն անունից պարզ է , թե այն ինչ է ներառում իր մեջ ։ Նախկինում այն կոչվում էր Կոմպոնենտների օգատագործում հայտնի խոցելիություններով ։

7. A07:2021-Identification and Authentication Failures
Այն նախկինում կոչվում էր Broken Authentication : Ինչպես գիտենք այն նրա մեջ է մտնում session missconfiguration , url rewriting, permit brutforce attack and so on :

8. A08:2021-Software and Data Integrity Failures
Նախկինում կար insecure deserialization, որը կազմում էր առանձին բաժին ։ Ներկա պահին այն մտնում տվյալ բաժնի մեջ , որպես ենթախումբ ։ Սա վելի շատ օգատգործվում է ավելի լուրջ հարձակումների դեպքում , որը կապվաշ է CI/CD, pipeline և data get from verificated source (NPM, NUGET and so on) : Քանի որ արդեն կա supply chain վեկտոր և այդ պատճառով կարող են տուժել շատ շատերը , ապա այն դարձել է առանձին ճյուղ ։ Պարզ օրինակ է solarwind հարձակումը ։

9.A09:2021-Security Logging and Monitoring Failures
Այստեղ ոչ մի հետքրէիր փոփոխություն չի կատարվել այլ նախկինում հայտնի Insufficient Logging & Monitoring վերանվանվել է նոր ավելի հասկանալի անունով ։

10.A10:2021-Server-Side Request Forgery
Ինչպես գիտենք սա հարձակման վեկտոր է , որը թույլ է տալիս ներազդել սերեվերային մասին և օրինակ հատուկ http header ի միջոցով ներթափանցել , ձեր ենթակառուցվաշ անցնելով անկիզապատի(firewall) կանոնները(rules):


Եզրակացություն
Տվյալ կետերը հարկավոր է տիրապետի ցանկացաշ անձ , ով առչություն ունի թվային տեխնոլոգիաների հետ ։ Քանի որ այն իր մեջ ներառում է այնպիսի աբստրակտ մեթոդիկաներ , որոնք կիջեցնեն ձեր թվային միջավայրի ռիսկերը , երրորդ կողմի ներազդեցություն ։


Հարգանքներով L3vOn


Հղումներ:
https://cwe.mitre.org/data/definitions/1031.html

https://owasp.org/Top10/A01_2021-Broken_Access_Control/

https://owasp.org/Top10/A02_2021-Cryptographic_Failures/
https://owasp.org/Top10/A04_2021-Insecure_Design/
https://owasp.org/Top10/A05_2021-Security_Misconfiguration/
https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/
https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/
https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/
https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/
https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/


































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































Refference:
https://cwe.mitre.org/data/definitions/1031.html


https://owasp.org/Top10/A00_2021_Introduction/


https://owasp.org/Top10/A02_2021-Cryptographic_Failures/

https://owasp.org/Top10/A04_2021-Insecure_Design/