Introduksjon av OWASP for sikkerhetstesting
Vi tar sikkerhet på alvor med Open Web Application Security Project.
Written by Morten Eriksen on
Å opprettholde sikkerheten for digitale opplevelser og webapplikasjoner er ingen enkel oppgave, som kan overlates til automatiske rutiner eller overfladiske handlinger. Verdenen av digitale plattformer og CMS blir ikke enklere eller mindre kompleks, så hvor starter du for å sikre sikkerheten til dine kritiske tjenester og tilbud?
OWASP kan være et utmerket utgangspunkt.
Hva er OWASP?
OWASP, en forkortelse for "Open Web Application Security Project," er en av de sterkeste måtene å sikre stabilitet og sikkerhet for nettsteder, webapplikasjoner og webtjenester. Den ideelle organisasjonen ble grunnlagt i 2001 av Mark Curphey og har en frivilligbase på omtrent 13.000 individer – som alle bidrar til industristandarder, konferanser og workshops.
OWASP er i hovedsak et online fellesskap som tilbyr artikler, metodologier, dokumentasjon, verktøy, teknologier, utdanning, opplæring, samfunnshjelp og generell nettverksbygging for webapplikasjonssikkerhet – alt fritt tilgjengelig.
Mest utbredte sikkerhetsbrudd
OWASP vedlikeholder en topp 10-liste over de mest kritiske sikkerhetsrisikoene for webapplikasjoner, inkludert injeksjon, ødelagt autentisering, eksponering av sensitive data, XML eksterne enheter, ødelagt tilgangskontroll, sikkerhetsfeilkonfigurasjon, cross-site-scripting (XSS), usikker deserialisering, bruk av komponenter med kjente sårbarheter og utilstrekkelig logging og overvåking.
Snyk har gjort en fantastisk jobb med å se nærmere på hvor ofte de listede sårbarhetene har blitt utnyttet av cyberkriminelle for å bryte seg inn i organisasjoner. Snyk fant at mens OWASP topp 10 er en god liste over årsakene til sikkerhetsbrudd, er rekkefølgen ikke korrekt i virkeligheten. De to vanligste årsakene var bruk av komponenter med sikkerhetssårbarheter (nr. 9) og eksponering av sensitive data (nr. 6). Bruk av komponenter med kjente sikkerhetssårbarheter var roten og ofte den eneste årsaken til 24 % av bruddene, mens eksponering av sensitive data sjelden var en rotårsak i seg selv, men var til stede som en av flere årsaker i 52 % av tilfellene.
Blant målene for injeksjoner var Panama Papers-bruddet, VerticalScope/Techsupportforum.com-bruddet og Ubuntu-forumene-bruddet. For flere detaljer og eksempler, besøk Snyk.io.
Se også: Administrer GDPR for digitale opplevelser »
Hvordan tester vi sikkerhet?
Enonic er ISO-9001-sertifisert, og vi tar kvalitetsstyring og sikkerhet på alvor. Hver endring i koden blir verifisert av mer enn 5500 automatiske tester, noe som gjør at vi kan oppdage mange feil så snart de er opprettet. Hver utgivelse gjennomgår spesialtester ved hjelp av omfattende sjekklister som er basert på prinsippene i OWASP Web Application Security Testing Checklist og vår egen erfaring med Enonic XP.
Disse sjekklistene krever en grundig innsamling av data om systemets oppførsel og danner grunnlaget for godkjenning eller avvisning av de nye endringene. Til slutt blir alle våre hovedutgivelser av Enonic XP testet av et eksternt "white hat"-byrå som følger OWASP-prinsippene.
Vi utfører også konfigurasjonsstyring, sikrer sikker overføring, autentisering, øktforvaltning, autorisasjon og datavalidering, samt testing for tjenestenekt. Andre emner inkluderer forretningslogikk, kryptografi og risikofunksjonalitet innen filopplastinger. Og vi tester selvfølgelig HTML5-spesifikke områder som webmeldinger og web-lagring SQL-injeksjon.
Se også: Forbedre dine digitale opplevelser med Siteimprove »
Ifølge en rapport fra Boye & Co bruker Enonic "herdede infrastrukturkomponenter som Jetty, og deres eget rammeverk på toppen av dette." For å minimere angrepsflaten gir ikke Enonic XP noen standard offentlig tilgjengelige API-er, og disse må legges til av utviklerne gjennom kode eller konfigurasjon.
"På denne måten," fortsetter Boye, "har kundene full kontroll over angrepsflaten og kan for eksempel implementere stram validering av enhver input. XP tilbyr også en rik metrikk- og overvåkings-API og loggefunksjoner som kan brukes til å oppdage og forhindre ondsinnede angrep. Med Enonic er disse tiltakene en integrert del av tjenesten."
Lær mer: Boye & Co evaluerer Enonic »
