Zece riscuri de securitate critice pentru aplicațiile web
Restricțiile privind acțiunile utilizatorilor nu sunt aplicate corespunzător. Atacatorii pot exploata aceste defecte pentru a accesa neautorizat funcționalități, date, conturi sau pentru a modifica drepturile de acces.
Configurări implicite nesigure, configurări incomplete, stocarea în cloud deschisă, mesaje de eroare că expun informații și lipsa patch-urilor de securitate. 100% din aplicațiile testate aveau o formă de misconfigurare.
Compromiterea componentelor, a proceselor de build, a surselor de distribuție și a infrastructurii dependențelor. Include vulnerabilități în biblioteci și componente neactualizate.
Eșecuri legate de criptografie care duc la expunerea datelor sensibile. Include algoritmi slabi, chei compromise și implementări deficiente ale criptografiei.
Datele ostile sunt trimise către un interpretor ca parte a unei comenzi sau interogări. Include SQL Injection, Command Injection, XSS și alte vulnerabilități de injectare.
Defecte de design la nivel strategic. Se concentrează pe riscurile legate de lipsa modelării amenințelor, a modelării securității și a implementării controalelor de securitate.
Confirmarea incorectă a identității utilizatorului. Permite atacatorilor să compromită parole, chei, token-uri de sesiune sau să exploateze alte defecte de autentificare.
Aplicațiile nu protejează integritatea software-ului și a datelor. Include actualizări nesemnate, injecții de cod și manipularea metadatelor de acces.
Jurnalizarea și monitorizarea insuficiente, fără alertare efectivă. Permite atacatorilor să rămână nedetectați. Acum se pune accent și pe alertare, nu doar pe înregistrare.