Sikkerhetstesting med OWASP: Kom i gang nå
Open Web Application Security Project gjør sikkerheten for web-apper mindre skummelt.
Written by Morten Eriksen on
Det er komplisert å sikre digitale opplevelser og webapplikasjoner. Det digitale landskapet blir ikke enklere, så hvor begynner du for å sikre at de forretningskritiske tjenestene dine er trygge?
OWASP er et fint sted å begynne.
Hva er OWASP?
The Open Web Application Security Project (OWASP) er en ideell organisasjon som bidrar til å beskytte nettsteder, webapplikasjoner og webtjenester. Den ble grunnlagt i 2001 og har 13.000 frivillige som bidrar til bransjestandarder, konferanser og workshops.
OWASP tilbyr gratis artikler, metoder, dokumentasjon, verktøy, teknologier, opplæring, fellesskapshjelp og nettverksbygging for sikkerhet for webapplikasjoner.
Vanlige sikkerhetsbrudd
OWASP har en topp 10-liste over kritiske sikkerhetsrisikoer for webapplikasjoner. Disse inkluderer:
- Brudd på tilgangskontroll
- Kryptografiske feil
- Injeksjon
- Usikker design
- Feilkonfigurering av sikkerhet
- Sårbare og utdaterte komponenter
- Feil i identifikasjon og autentisering
- Feil i programvare- og dataintegritet
- Feil i sikkerhetslogging og -overvåking
- Serverside-forespørselsforfalskning
Brudd på tilgangskontroll er en betydelig bidragsyter til innbrudd, og noen undersøkelser antyder at det spiller en rolle i 74 % av innbruddene (Securis) og er til stede i 94 % av testede applikasjoner (SoftwareSecured). Det er ofte knyttet til misbruk av privilegier og trusler fra innsiden.
Estimater varierer, men en studie antyder at 42 % av datainnbruddene er i det minste delvis forårsaket av SQL-injeksjon (Ponemon Institute). En annen analyse fant SQL-injeksjonssårbarheter i omtrent 10 % av alle webapplikasjoner (Bank Info Security).
Forskning indikerer at 60 % av organisasjonene som opplevde et datainnbrudd, tilskrev det en kjent, ikke-oppdatert, sårbar og utdatert komponent (Foresite). En annen studie fant at 58 % av bruddene involverte en kjent og ikke-oppdatert sårbarhet (ImmuniWeb).
Eksempler på brudd inkluderer Panama Papers, VerticalScope/Techsupportforum.com og Ubuntu-foruminnbruddet. Nylige eksempler inkluderer 23andMe-datainnbruddet, der hackere fikk tilgang til sensitiv genetisk informasjon, og MOVEit Transfer-innbruddet, som rammet en rekke organisasjoner gjennom en sårbarhet i programvare for filoverføring.
Se også: Hvordan passnøkler redefinerer sikkerhet på nett »
Hvordan vi tester sikkerhet
Enonic er ISO-9001-sertifisert, og vi prioriterer kvalitet og sikkerhet. Hver kodeendring verifiseres av over 5.500 automatiserte tester. Vi bruker også sjekklister basert på OWASP Web Application Security Testing Checklist og vår erfaring med Enonic-plattformen. Alle større Enonic-utgivelser testes av et eksternt «white hat»-byrå ved hjelp av OWASP-prinsipper.
Vi administrerer også konfigurasjoner, sørger for sikker overføring, autentisering, økt-forvaltning, autorisasjon og datavalidering, og tester for tjenestenekt.
Andre områder inkluderer forretningslogikk, kryptografi, risikofunksjonalitet i filopplastinger og HTML5-spesifikke områder som webmeldinger og web-lagring SQL-injeksjon.
Se også: 6 trinn for å administrere GDPR for digitale opplevelser »
Ifølge Boye & Co «bruker Enonic herdede infrastrukturkomponenter som Jetty, og sitt eget rammeverk oppå dette». Enonic tilbyr ikke standard offentlige API-er, noe som minimerer angrepsflaten. Utviklere må legge til disse via kode eller konfigurasjon.
Boye sier at «kundene har full kontroll over angrepsflaten og kan implementere streng inputvalidering. XP tilbyr også beregninger, overvåking og logging for å oppdage og forhindre angrep. Disse tiltakene er integrert i Enonic-tjenesten.»
Lær mer: Boye & Co evaluerer Enonic »
Ressurser
Først publisert 8. april 2020, oppdatert 19. februar 2025.
