More Related Content
Similar to Owasp top 10 (20)
Owasp top 10
- 2. OWASPمعرفی
انجمنیو افزارها نرم نگهداری و خریداری ،توسعه اجازه ها سازمانها به که است
APIمیدهد امن صورت به را
درOWSAPدارد وجود رایگان و ازاد صورت به زیر موارد:
استانداردها و افزار نرم امنیت ابزارهای
امن کد بررسی و امن کد توسعه ، برنامه تست مورد در کامل کتابهای
ها کتابخانه و استاندارد امنیتی های کنترل
جهانی مقاالت
فناوری لبه تحقیقات
جهان سراسر در گسترده کنفرانسهای
پستی های ایمیل فهرست
- 3. Injection
مانند ،تزریق ضعفOS ,NoS,SQLوتزریقLDAPداده که دهد می رخ زمانی
شوند ارسال مفسر یک به جو و پرس یا فرمان از بخشی عنوان به نامعتبر های.داده
ب دسترسی یا غیرمنتظره دستورات اجرای به را مفسر تواند می مهاجم مخرب هایه
کند منجر مناسب مجوز بدون ها داده.
- 5. Broken Authenticatio
(احرازنقض هویتشده)
اغل نشست مدیریت و هویت احراز به مربوط درخواست توابعب
رمزهای میدهند اجازه مهاجمان به و ،شوند می اجرا اشتباه به
ض از یا بیافتد خطر به نشست های نشانه یا ها کلید ،عبورعف
دیگر های هویت از تا کنند استفاده سازی پیاده دیگر های
کنند برداری بهره دائمی یا موقت طور به کاربران.
- 6. Sensitive Data Exposure
(اطالعات افشایحساس)
بسیاریو وب کاربردی های برنامه ازAPIاز ها
اطالعاتو سالمت ،مالی مانند حساسPIIدرستی به
کنند نمی محافظت.به اطالعات این است ممکن مهاجمان
مقاص سایر برای یا سرقت ،را نشده محافظت درستید
دهند تغییر یا و ،داده قرار استفاده مورد.حساس های داده
در رمزگذاری مانند ،اضافی حفاظت بدون است ممکن
بیافتد خطر به ،حمل درحین یا استراحت حالت.
- 7. XML External Entities (XXE)
اپلودفایلxmlتوسطنفوذگر
پیکر ضعیف یا تر قدیمی های پردازنده از بسیاریبندی
شدهXMLاسناد در را بیرونی موجودیت ارجاعات
XMLارزیابیکنند می.تواند می بیرونی موجودیتبه
فایل از استفاده با داخلی های فایل افشایURL،فایل
ک اجرای ، داخلی پورت اسکن ،داخلی های فایل اشتراکد
شود منجر سرویس انکار حمات و دور راه از.
- 9. Broken Access Control
(کنترل نقضدسترسی)
هستن مجاز آن انجام به مجاز کاربران که هایی محدودیتد
شوند نمی اعمال درستی به اغلب.از میتوانند مهاجمان
مجا غیر های قابلیت به دسترسی برای ها ضعف اینو ز
،کاربران دیگر های حساب به دسترسی مانند ها داده یا
کاربران های داده دادن تغییر ،حساس های فایل مشاهده
کنن استفاده غیره و دسترسی حقوق تغییر ،دیگرد.
- 10. Security Misconfiguration
(اشتباه تنظیماتامنیتی)
امنیت مسائل ترین رایج از یکی اشتباه امنیتی تنظیماتموجود ی
است.،ناامن فرض پیش تنظیمات از ای نتیجه معموال که
هدر ،باز ابر سازی ذخیره ،مجاز غیر و ناقص های پیکربندی
هایHTTPاطالعات حاوی خطای های پیام و شده تنظیم غلط
است حساس.کتابخ ،ها چارچوب ،ها عامل سیستم تمام تنها نهانه
ش پیکربندی ایمن صورت به باید کاربردی های برنامه و ها،وند
کرد رسانی روز به و اعمال موقع به را آنها باید بلکه.
- 11. Cross-Site Scripting (XSS)
های نقصxssاطالعات شامل برنامه که دهد می رخ زمانی
اعتبارسنجی بدون جدید وب صفحه یک در اعتماد قابل غیر
شده ارائه های داده با را موجود وب صفحه یک یا باشد مناسب
یک از استفاده با کاربر توسطAPIتواند می که مرورگر
HTMLکند می روز به ،کند ایجاد جاوااسکریپت یا.XSSبه
می را قربانی مرورگر در ها اسکریپت اجرای امکان مهاجمان
خراب را ها سایت وب ،بگیرد را کاربر جلوی تواند می که دهد
کند هدایت مخرب های سایت به را کاربر یا کند.
- 13. Insecure Deserialization
درdeserializationراه از کد اجرای به منجر امن نا
شود می دور.معایب اگر حتیdeserializationباعث
انجا برای توان می آنها از ،نباشند دور راه از کد اجرایم
تش حمالت و تزریق حمات جمله از ،کرد استفاده حماتدید
امتیاز.
- 14. Using Components with Known
Vulnerabilities
(های پذیری آسیب با های مولفه از استفاده
شده شناخته)
های ماژول دیگر و ها چارچوب ،ها کتابخانه مانند اجزاء
می برنامه با مشابه هایی دسترسی دارای ،افزاری نرم
باشند.ق استفاده سوء مورد پذیر آسیب جزء یک اگررار
جد اطالعات رفتن دست از باعث تواند می حمله ،گیردی
باشد.
- 15. Insufficient Logging &
Monitoring
(ناکافی رویداد ثبت و نظارت)
صحی واکنش عدم با همراه ،ناقص وقایع ثبت و نظارتح
سیستمهای به تا دهد می اجازه مهاجمان به ،حادثه به
نابو یا و استخراج به اقدام یا ،کنند حمله بیشتریدی
کنند اطالعات.برا زمان دهد می نشان مطالعات بیشتری
از بیش آسیب تشخیص200توسط معموال که ،است روز
کشف داخلی نظارت طریق از نه ،بیرونی های شرکت
میشوند.