OWASP ਸਿਖਰ ਦੇ 10 ਸੁਰੱਖਿਆ ਜੋਖਮ | ਸੰਖੇਪ ਜਾਣਕਾਰੀ
ਵਿਸ਼ਾ - ਸੂਚੀ
OWASP ਕੀ ਹੈ?
OWASP ਇੱਕ ਗੈਰ-ਮੁਨਾਫ਼ਾ ਸੰਸਥਾ ਹੈ ਜੋ ਵੈੱਬ ਐਪ ਸੁਰੱਖਿਆ ਸਿੱਖਿਆ ਨੂੰ ਸਮਰਪਿਤ ਹੈ।
OWASP ਸਿੱਖਣ ਸਮੱਗਰੀ ਉਹਨਾਂ ਦੀ ਵੈੱਬਸਾਈਟ 'ਤੇ ਪਹੁੰਚਯੋਗ ਹੈ। ਉਹਨਾਂ ਦੇ ਟੂਲ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਲਈ ਉਪਯੋਗੀ ਹਨ। ਇਸ ਵਿੱਚ ਦਸਤਾਵੇਜ਼, ਟੂਲ, ਵੀਡੀਓ ਅਤੇ ਫੋਰਮ ਸ਼ਾਮਲ ਹਨ।
OWASP ਸਿਖਰ 10 ਇੱਕ ਸੂਚੀ ਹੈ ਜੋ ਅੱਜ ਵੈੱਬ ਐਪਾਂ ਲਈ ਪ੍ਰਮੁੱਖ ਸੁਰੱਖਿਆ ਚਿੰਤਾਵਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਉਹ ਸਿਫ਼ਾਰਿਸ਼ ਕਰਦੇ ਹਨ ਕਿ ਸਾਰੀਆਂ ਕੰਪਨੀਆਂ ਸੁਰੱਖਿਆ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਇਸ ਰਿਪੋਰਟ ਨੂੰ ਆਪਣੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨ. ਹੇਠਾਂ OWASP ਸਿਖਰ 10 2017 ਦੀ ਰਿਪੋਰਟ ਵਿੱਚ ਸ਼ਾਮਲ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਦੀ ਇੱਕ ਸੂਚੀ ਹੈ।
SQL ਟੀਕਾ
SQL ਇੰਜੈਕਸ਼ਨ ਉਦੋਂ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਇੱਕ ਹਮਲਾਵਰ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਪ੍ਰੋਗਰਾਮ ਵਿੱਚ ਵਿਘਨ ਪਾਉਣ ਲਈ ਇੱਕ ਵੈਬ ਐਪ ਨੂੰ ਅਣਉਚਿਤ ਡੇਟਾ ਭੇਜਦਾ ਹੈ.
ਇੱਕ SQL ਇੰਜੈਕਸ਼ਨ ਦੀ ਇੱਕ ਉਦਾਹਰਨ:
ਹਮਲਾਵਰ ਇੱਕ ਇਨਪੁਟ ਫਾਰਮ ਵਿੱਚ ਇੱਕ SQL ਪੁੱਛਗਿੱਛ ਦਾਖਲ ਕਰ ਸਕਦਾ ਹੈ ਜਿਸ ਲਈ ਇੱਕ ਉਪਭੋਗਤਾ ਨਾਮ ਪਲੇਨ ਟੈਕਸਟ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਜੇਕਰ ਇਨਪੁਟ ਫਾਰਮ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਹੈ, ਤਾਂ ਇਸਦਾ ਨਤੀਜਾ ਇੱਕ SQL ਪੁੱਛਗਿੱਛ ਨੂੰ ਲਾਗੂ ਕੀਤਾ ਜਾਵੇਗਾ। ਇਹ ਦੱਸਿਆ ਜਾਂਦਾ ਹੈ SQL ਇੰਜੈਕਸ਼ਨ ਦੇ ਰੂਪ ਵਿੱਚ.
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਕੋਡ ਇੰਜੈਕਸ਼ਨ ਤੋਂ ਬਚਾਉਣ ਲਈ, ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਹਾਡੇ ਡਿਵੈਲਪਰ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਸਪੁਰਦ ਕੀਤੇ ਡੇਟਾ 'ਤੇ ਇਨਪੁਟ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ. ਇੱਥੇ ਪ੍ਰਮਾਣਿਕਤਾ ਅਵੈਧ ਇਨਪੁਟਸ ਨੂੰ ਅਸਵੀਕਾਰ ਕਰਨ ਦਾ ਹਵਾਲਾ ਦਿੰਦੀ ਹੈ। ਦੀ ਮਾਤਰਾ ਨੂੰ ਘਟਾਉਣ ਲਈ ਇੱਕ ਡੇਟਾਬੇਸ ਮੈਨੇਜਰ ਨਿਯੰਤਰਣ ਵੀ ਸੈੱਟ ਕਰ ਸਕਦਾ ਹੈ ਜਾਣਕਾਰੀ ਜੋ ਕਰ ਸਕਦਾ ਹੈ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਜਾਵੇ ਇੱਕ ਟੀਕੇ ਦੇ ਹਮਲੇ ਵਿੱਚ.
SQL ਇੰਜੈਕਸ਼ਨ ਨੂੰ ਰੋਕਣ ਲਈ, OWASP ਡਾਟਾ ਨੂੰ ਕਮਾਂਡਾਂ ਅਤੇ ਸਵਾਲਾਂ ਤੋਂ ਵੱਖ ਰੱਖਣ ਦੀ ਸਿਫ਼ਾਰਸ਼ ਕਰਦਾ ਹੈ। ਤਰਜੀਹੀ ਵਿਕਲਪ ਇੱਕ ਸੁਰੱਖਿਅਤ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਹੈ API ਕਿਸੇ ਦੁਭਾਸ਼ੀਏ ਦੀ ਵਰਤੋਂ ਨੂੰ ਰੋਕਣ ਲਈ, ਜਾਂ ਆਬਜੈਕਟ ਰਿਲੇਸ਼ਨਲ ਮੈਪਿੰਗ ਟੂਲਸ (ORMs) 'ਤੇ ਮਾਈਗ੍ਰੇਟ ਕਰਨ ਲਈ.
ਟੁੱਟੀ ਹੋਈ ਪ੍ਰਮਾਣਿਕਤਾ
ਪ੍ਰਮਾਣਿਕਤਾ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਹਮਲਾਵਰ ਨੂੰ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਅਤੇ ਪ੍ਰਬੰਧਕ ਖਾਤੇ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਸਿਸਟਮ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਆਗਿਆ ਦੇ ਸਕਦੀਆਂ ਹਨ. ਇੱਕ ਸਾਈਬਰ ਅਪਰਾਧੀ ਇੱਕ ਸਿਸਟਮ 'ਤੇ ਹਜ਼ਾਰਾਂ ਪਾਸਵਰਡ ਸੰਜੋਗਾਂ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਲਈ ਇੱਕ ਸਕ੍ਰਿਪਟ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦਾ ਹੈ ਇਹ ਦੇਖਣ ਲਈ ਕਿ ਕਿਹੜਾ ਕੰਮ ਕਰਦਾ ਹੈ. ਇੱਕ ਵਾਰ ਸਾਈਬਰ ਅਪਰਾਧੀ ਦੇ ਅੰਦਰ ਆਉਣ ਤੋਂ ਬਾਅਦ, ਉਹ ਉਪਭੋਗਤਾ ਦੀ ਪਛਾਣ ਨੂੰ ਜਾਅਲੀ ਬਣਾ ਸਕਦੇ ਹਨ, ਉਹਨਾਂ ਨੂੰ ਗੁਪਤ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦੇ ਹਨ.
ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਇੱਕ ਟੁੱਟੀ ਪ੍ਰਮਾਣਿਕਤਾ ਕਮਜ਼ੋਰੀ ਮੌਜੂਦ ਹੈ ਜੋ ਸਵੈਚਲਿਤ ਲੌਗਿਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ। ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਕਮਜ਼ੋਰੀ ਨੂੰ ਠੀਕ ਕਰਨ ਦਾ ਇੱਕ ਪ੍ਰਸਿੱਧ ਤਰੀਕਾ ਮਲਟੀਫੈਕਟਰ ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਵਰਤੋਂ ਹੈ। ਨਾਲ ਹੀ, ਇੱਕ ਲੌਗਇਨ ਦਰ ਸੀਮਾ ਹੋ ਸਕਦੀ ਹੈ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾਵੇ ਵਹਿਸ਼ੀ ਤਾਕਤ ਦੇ ਹਮਲਿਆਂ ਨੂੰ ਰੋਕਣ ਲਈ ਵੈੱਬ ਐਪ ਵਿੱਚ।
ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਐਕਸਪੋਜ਼ਰ
ਜੇਕਰ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਹਮਲਾਵਰਾਂ ਦੀ ਸੁਰੱਖਿਆ ਨਹੀਂ ਕਰਦੀਆਂ ਹਨ ਤਾਂ ਉਹ ਉਹਨਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਦੇ ਲਾਭ ਲਈ ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ। ਆਨ-ਪਾਥ ਹਮਲਾ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਦਾ ਇੱਕ ਪ੍ਰਸਿੱਧ ਤਰੀਕਾ ਹੈ। ਜਦੋਂ ਸਾਰੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਤਾਂ ਐਕਸਪੋਜਰ ਦਾ ਜੋਖਮ ਘੱਟ ਹੋ ਸਕਦਾ ਹੈ। ਵੈੱਬ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਬ੍ਰਾਊਜ਼ਰ 'ਤੇ ਕੋਈ ਵੀ ਸੰਵੇਦਨਸ਼ੀਲ ਡਾਟਾ ਸਾਹਮਣੇ ਨਾ ਆਵੇ ਜਾਂ ਬੇਲੋੜਾ ਸਟੋਰ ਨਾ ਕੀਤਾ ਜਾਵੇ।
XML ਬਾਹਰੀ ਇਕਾਈਆਂ (XEE)
ਇੱਕ ਸਾਈਬਰ ਅਪਰਾਧੀ ਇੱਕ XML ਦਸਤਾਵੇਜ਼ ਵਿੱਚ ਖਤਰਨਾਕ XML ਸਮੱਗਰੀ, ਕਮਾਂਡਾਂ ਜਾਂ ਕੋਡ ਨੂੰ ਅੱਪਲੋਡ ਕਰਨ ਜਾਂ ਸ਼ਾਮਲ ਕਰਨ ਦੇ ਯੋਗ ਹੋ ਸਕਦਾ ਹੈ. ਇਹ ਉਹਨਾਂ ਨੂੰ ਐਪਲੀਕੇਸ਼ਨ ਸਰਵਰ ਫਾਈਲ ਸਿਸਟਮ ਤੇ ਫਾਈਲਾਂ ਦੇਖਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਉਹਨਾਂ ਕੋਲ ਪਹੁੰਚ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਉਹ ਸਰਵਰ-ਸਾਈਡ ਬੇਨਤੀ ਜਾਅਲਸਾਜ਼ੀ (SSRF) ਹਮਲੇ ਕਰਨ ਲਈ ਸਰਵਰ ਨਾਲ ਗੱਲਬਾਤ ਕਰ ਸਕਦੇ ਹਨ।.
XML ਬਾਹਰੀ ਹਸਤੀ ਹਮਲੇ ਕਰ ਸਕਦੇ ਹਨ ਦੁਆਰਾ ਰੋਕਿਆ ਜਾਵੇ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਘੱਟ ਗੁੰਝਲਦਾਰ ਡੇਟਾ ਕਿਸਮਾਂ ਜਿਵੇਂ ਕਿ JSON ਨੂੰ ਸਵੀਕਾਰ ਕਰਨ ਦੀ ਆਗਿਆ ਦੇਣਾ. XML ਬਾਹਰੀ ਇਕਾਈ ਪ੍ਰੋਸੈਸਿੰਗ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣਾ XEE ਹਮਲੇ ਦੀਆਂ ਸੰਭਾਵਨਾਵਾਂ ਨੂੰ ਵੀ ਘਟਾਉਂਦਾ ਹੈ।
ਟੁੱਟਿਆ ਐਕਸੈਸ ਕੰਟਰੋਲ
ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਇੱਕ ਸਿਸਟਮ ਪ੍ਰੋਟੋਕੋਲ ਹੈ ਜੋ ਅਣਅਧਿਕਾਰਤ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੱਕ ਸੀਮਤ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਇੱਕ ਐਕਸੈਸ ਕੰਟਰੋਲ ਸਿਸਟਮ ਟੁੱਟ ਗਿਆ ਹੈ, ਤਾਂ ਹਮਲਾਵਰ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਉਹਨਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਦਿੰਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਉਹਨਾਂ ਕੋਲ ਅਧਿਕਾਰ ਹੈ। ਉਪਭੋਗਤਾ ਲੌਗਇਨ 'ਤੇ ਅਧਿਕਾਰ ਟੋਕਨਾਂ ਨੂੰ ਲਾਗੂ ਕਰਕੇ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਪ੍ਰਮਾਣਿਤ ਹੋਣ ਦੇ ਦੌਰਾਨ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਹਰ ਬੇਨਤੀ 'ਤੇ, ਉਪਭੋਗਤਾ ਨਾਲ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਇਹ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਉਸ ਬੇਨਤੀ ਨੂੰ ਕਰਨ ਲਈ ਅਧਿਕਾਰਤ ਹੈ।
ਸੁਰੱਖਿਆ ਗਲਤ ਸੰਰਚਨਾ
ਸੁਰੱਖਿਆ ਗਲਤ ਸੰਰਚਨਾ ਇੱਕ ਆਮ ਸਮੱਸਿਆ ਹੈ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਦੇਖਦੇ ਹਨ। ਇਹ ਗਲਤ ਸੰਰਚਨਾ ਕੀਤੇ HTTP ਸਿਰਲੇਖਾਂ, ਟੁੱਟੇ ਹੋਏ ਪਹੁੰਚ ਨਿਯੰਤਰਣ, ਅਤੇ ਕਿਸੇ ਵੈੱਬ ਐਪ ਵਿੱਚ ਜਾਣਕਾਰੀ ਨੂੰ ਉਜਾਗਰ ਕਰਨ ਵਾਲੀਆਂ ਗਲਤੀਆਂ ਦੇ ਪ੍ਰਦਰਸ਼ਨ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਵਾਪਰਦਾ ਹੈ. ਤੁਸੀਂ ਅਣਵਰਤੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਹਟਾ ਕੇ ਇੱਕ ਸੁਰੱਖਿਆ ਗਲਤ ਸੰਰਚਨਾ ਨੂੰ ਠੀਕ ਕਰ ਸਕਦੇ ਹੋ। ਤੁਹਾਨੂੰ ਆਪਣੇ ਸੌਫਟਵੇਅਰ ਪੈਕੇਜਾਂ ਨੂੰ ਪੈਚ ਜਾਂ ਅਪਗ੍ਰੇਡ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS)
XSS ਕਮਜ਼ੋਰੀ ਉਦੋਂ ਵਾਪਰਦੀ ਹੈ ਜਦੋਂ ਇੱਕ ਹਮਲਾਵਰ ਇੱਕ ਉਪਭੋਗਤਾ ਦੇ ਬ੍ਰਾਉਜ਼ਰ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਇੱਕ ਭਰੋਸੇਯੋਗ ਵੈਬਸਾਈਟ ਦੇ DOM API ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਦਾ ਹੈ. ਇਸ ਖਤਰਨਾਕ ਕੋਡ ਦਾ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਅਕਸਰ ਉਦੋਂ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਕੋਈ ਯੂਜ਼ਰ ਕਿਸੇ ਭਰੋਸੇਯੋਗ ਵੈੱਬਸਾਈਟ ਤੋਂ ਜਾਪਦਾ ਹੈ ਕਿ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਦਾ ਹੈ।. ਜੇਕਰ ਵੈੱਬਸਾਈਟ XSS ਕਮਜ਼ੋਰੀ ਤੋਂ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਹੈ, ਤਾਂ ਇਹ ਕਰ ਸਕਦੀ ਹੈ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਵੇ. ਖਤਰਨਾਕ ਕੋਡ ਹੈ, ਜੋ ਕਿ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ ਇੱਕ ਹਮਲਾਵਰ ਨੂੰ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਲੌਗਇਨ ਸੈਸ਼ਨ, ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਵੇਰਵਿਆਂ, ਅਤੇ ਹੋਰ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਦਿੰਦਾ ਹੈ.
ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS) ਨੂੰ ਰੋਕਣ ਲਈ, ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਹਾਡਾ HTML ਚੰਗੀ ਤਰ੍ਹਾਂ ਰੋਗਾਣੂ-ਮੁਕਤ ਹੈ। ਇਹ ਕਰ ਸਕਦਾ ਹੈ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਪਸੰਦ ਦੀ ਭਾਸ਼ਾ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ ਭਰੋਸੇਯੋਗ ਫਰੇਮਵਰਕ ਦੀ ਚੋਣ ਕਰਨਾ. ਤੁਸੀਂ .Net, Ruby on Rails, ਅਤੇ React JS ਵਰਗੀਆਂ ਭਾਸ਼ਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ ਕਿਉਂਕਿ ਉਹ ਤੁਹਾਡੇ HTML ਕੋਡ ਨੂੰ ਪਾਰਸ ਕਰਨ ਅਤੇ ਸਾਫ਼ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਨਗੇ। ਪ੍ਰਮਾਣਿਤ ਜਾਂ ਗੈਰ-ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਸਾਰੇ ਡੇਟਾ ਨੂੰ ਅਵਿਸ਼ਵਾਸ ਦੇ ਤੌਰ 'ਤੇ ਮੰਨਣਾ XSS ਹਮਲਿਆਂ ਦੇ ਜੋਖਮ ਨੂੰ ਘਟਾ ਸਕਦਾ ਹੈ.
ਅਸੁਰੱਖਿਅਤ ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ
ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਇੱਕ ਸਰਵਰ ਤੋਂ ਇੱਕ ਵਸਤੂ ਵਿੱਚ ਲੜੀਬੱਧ ਡੇਟਾ ਦਾ ਪਰਿਵਰਤਨ ਹੈ। ਸਾੱਫਟਵੇਅਰ ਵਿਕਾਸ ਵਿੱਚ ਡੇਟਾ ਦਾ ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਇੱਕ ਆਮ ਘਟਨਾ ਹੈ। ਇਹ ਅਸੁਰੱਖਿਅਤ ਹੈ ਜਦੋਂ ਡੇਟਾ ਡੀਸੀਰੀਅਲਾਈਜ਼ਡ ਹੈ ਇੱਕ ਭਰੋਸੇਮੰਦ ਸਰੋਤ ਤੋਂ। ਇਹ ਕਰ ਸਕਦਾ ਹੈ ਸੰਭਾਵੀ ਤੌਰ ਤੇ ਤੁਹਾਡੀ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਹਮਲਿਆਂ ਲਈ ਬੇਨਕਾਬ ਕਰੋ। ਅਸੁਰੱਖਿਅਤ ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਉਦੋਂ ਵਾਪਰਦੀ ਹੈ ਜਦੋਂ ਇੱਕ ਅਵਿਸ਼ਵਾਸੀ ਸਰੋਤ ਤੋਂ ਡੀਸੀਰੀਅਲਾਈਜ਼ਡ ਡੇਟਾ DDOS ਹਮਲਿਆਂ, ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹਮਲੇ, ਜਾਂ ਪ੍ਰਮਾਣੀਕਰਨ ਬਾਈਪਾਸ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ.
ਅਸੁਰੱਖਿਅਤ ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਤੋਂ ਬਚਣ ਲਈ, ਅੰਗੂਠੇ ਦਾ ਨਿਯਮ ਇਹ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਡੇਟਾ 'ਤੇ ਕਦੇ ਭਰੋਸਾ ਨਾ ਕਰੋ। ਹਰੇਕ ਉਪਭੋਗਤਾ ਇਨਪੁਟ ਡੇਟਾ ਚਾਹੀਦਾ ਹੈ ਇਲਾਜ ਕੀਤਾ ਜਾਵੇ as ਸੰਭਾਵੀ ਤੌਰ ਤੇ ਖਤਰਨਾਕ. ਅਵਿਸ਼ਵਾਸੀ ਸਰੋਤਾਂ ਤੋਂ ਡੇਟਾ ਦੇ ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਤੋਂ ਬਚੋ। ਇਹ ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਫੰਕਸ਼ਨ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾ ਤੁਹਾਡੀ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਹੈ।
ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਨਾਲ ਕੰਪੋਨੈਂਟਸ ਦੀ ਵਰਤੋਂ ਕਰਨਾ
ਲਾਇਬ੍ਰੇਰੀਆਂ ਅਤੇ ਫਰੇਮਵਰਕ ਨੇ ਪਹੀਏ ਨੂੰ ਮੁੜ ਖੋਜਣ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਵਿਕਸਤ ਕਰਨਾ ਬਹੁਤ ਤੇਜ਼ ਕਰ ਦਿੱਤਾ ਹੈ. ਇਹ ਕੋਡ ਮੁਲਾਂਕਣ ਵਿੱਚ ਰਿਡੰਡੈਂਸੀ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ। ਉਹ ਡਿਵੈਲਪਰਾਂ ਲਈ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਪਹਿਲੂਆਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦਾ ਰਸਤਾ ਤਿਆਰ ਕਰਦੇ ਹਨ। ਜੇਕਰ ਹਮਲਾਵਰ ਇਹਨਾਂ ਫਰੇਮਵਰਕ ਵਿੱਚ ਕਾਰਨਾਮੇ ਲੱਭਦੇ ਹਨ, ਤਾਂ ਫਰੇਮਵਰਕ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲਾ ਹਰ ਕੋਡਬੇਸ ਹੋਵੇਗਾ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਵੇ.
ਕੰਪੋਨੈਂਟ ਡਿਵੈਲਪਰ ਅਕਸਰ ਕੰਪੋਨੈਂਟ ਲਾਇਬ੍ਰੇਰੀਆਂ ਲਈ ਸੁਰੱਖਿਆ ਪੈਚ ਅਤੇ ਅੱਪਡੇਟ ਪੇਸ਼ ਕਰਦੇ ਹਨ। ਕੰਪੋਨੈਂਟ ਕਮਜ਼ੋਰੀਆਂ ਤੋਂ ਬਚਣ ਲਈ, ਤੁਹਾਨੂੰ ਨਵੀਨਤਮ ਸੁਰੱਖਿਆ ਪੈਚਾਂ ਅਤੇ ਅੱਪਗਰੇਡਾਂ ਨਾਲ ਆਪਣੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਅੱਪ ਟੂ ਡੇਟ ਰੱਖਣਾ ਸਿੱਖਣਾ ਚਾਹੀਦਾ ਹੈ. ਨਾ ਵਰਤੇ ਹਿੱਸੇ ਚਾਹੀਦੇ ਹਨ ਹਟਾਇਆ ਜਾਵੇ ਹਮਲੇ ਦੇ ਵੈਕਟਰਾਂ ਨੂੰ ਕੱਟਣ ਲਈ ਐਪਲੀਕੇਸ਼ਨ ਤੋਂ.
ਨਾਕਾਫ਼ੀ ਲਾਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ
ਤੁਹਾਡੀ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਗਤੀਵਿਧੀਆਂ ਦਿਖਾਉਣ ਲਈ ਲੌਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ ਮਹੱਤਵਪੂਰਨ ਹਨ। ਲੌਗਿੰਗ ਗਲਤੀਆਂ ਨੂੰ ਟਰੇਸ ਕਰਨਾ ਆਸਾਨ ਬਣਾਉਂਦਾ ਹੈ, ਮਾਨੀਟਰ ਉਪਭੋਗਤਾ ਲੌਗਇਨ, ਅਤੇ ਗਤੀਵਿਧੀਆਂ।
ਨਾਕਾਫ਼ੀ ਲੌਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ ਉਦੋਂ ਵਾਪਰਦੀ ਹੈ ਜਦੋਂ ਸੁਰੱਖਿਆ-ਨਾਜ਼ੁਕ ਘਟਨਾਵਾਂ ਨੂੰ ਲੌਗ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਠੀਕ. ਹਮਲਾਵਰ ਕੋਈ ਵੀ ਧਿਆਨ ਦੇਣ ਯੋਗ ਜਵਾਬ ਮਿਲਣ ਤੋਂ ਪਹਿਲਾਂ ਤੁਹਾਡੀ ਅਰਜ਼ੀ 'ਤੇ ਹਮਲੇ ਕਰਨ ਲਈ ਇਸਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹਨ.
ਲੌਗਿੰਗ ਤੁਹਾਡੀ ਕੰਪਨੀ ਨੂੰ ਪੈਸਾ ਅਤੇ ਸਮਾਂ ਬਚਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦੀ ਹੈ ਕਿਉਂਕਿ ਤੁਹਾਡੇ ਡਿਵੈਲਪਰ ਕਰ ਸਕਦੇ ਹਨ ਆਸਾਨੀ ਨਾਲ ਬੱਗ ਲੱਭੋ. ਇਹ ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀ ਖੋਜ ਕਰਨ ਨਾਲੋਂ ਬੱਗਾਂ ਨੂੰ ਹੱਲ ਕਰਨ 'ਤੇ ਜ਼ਿਆਦਾ ਧਿਆਨ ਦੇਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਅਸਲ ਵਿੱਚ, ਲੌਗਿੰਗ ਤੁਹਾਡੀਆਂ ਸਾਈਟਾਂ ਅਤੇ ਸਰਵਰਾਂ ਨੂੰ ਬਿਨਾਂ ਕਿਸੇ ਡਾਊਨਟਾਈਮ ਦਾ ਅਨੁਭਵ ਕੀਤੇ ਹਰ ਵਾਰ ਚਾਲੂ ਰੱਖਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦੀ ਹੈ।.
ਸਿੱਟਾ
ਚੰਗਾ ਕੋਡ ਨਹੀਂ ਹੈ ਹੁਣੇ ਕਾਰਜਕੁਸ਼ਲਤਾ ਬਾਰੇ, ਇਹ ਤੁਹਾਡੇ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖਣ ਬਾਰੇ ਹੈ. OWASP ਟੌਪ 10 ਸਭ ਤੋਂ ਨਾਜ਼ੁਕ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਦੀ ਇੱਕ ਸੂਚੀ ਹੈ, ਡਿਵੈਲਪਰਾਂ ਲਈ ਸੁਰੱਖਿਅਤ ਵੈੱਬ ਅਤੇ ਮੋਬਾਈਲ ਐਪਸ ਲਿਖਣ ਲਈ ਇੱਕ ਵਧੀਆ ਮੁਫ਼ਤ ਸਰੋਤ ਹੈ।. ਜੋਖਮਾਂ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨ ਅਤੇ ਲੌਗ ਕਰਨ ਲਈ ਤੁਹਾਡੀ ਟੀਮ ਦੇ ਵਿਕਾਸਕਾਰਾਂ ਨੂੰ ਸਿਖਲਾਈ ਦੇਣਾ ਤੁਹਾਡੀ ਟੀਮ ਦੇ ਸਮੇਂ ਅਤੇ ਪੈਸੇ ਨੂੰ ਲੰਬੇ ਸਮੇਂ ਵਿੱਚ ਬਚਾ ਸਕਦਾ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ OWASP Top 10 'ਤੇ ਆਪਣੀ ਟੀਮ ਨੂੰ ਸਿਖਲਾਈ ਕਿਵੇਂ ਦੇਣੀ ਹੈ ਇਸ ਬਾਰੇ ਹੋਰ ਜਾਣੋ ਇੱਥੇ ਕਲਿੱਕ ਕਰੋ।
