Olá galerinha!
O assunto de hoje é uma 2ª parte da lista TOP 10 das vulnerabilidades.
Como prometido no último post.
A6 - Sensitive Data Exposure
Quando o sistema não está protegido eficazmente contra um acesso não autorizada, há uma alta probabilidade de que um hacker pode explorar que a vulnerabilidade e roubar informações.
Este modelo de vulnerabilidade é chamada ao pé da letra de: "sensível à exposição de dados".
Então, para todos os dados sensíveis faz-se necessário verificar alguns pontos:
- Se são usados algoritmos de criptografia fortes;
- Ele é criptografada em todos os lugares?;
- As configurações do navegador e cabeçalhos são definidos para proteger dados sigilosos fornecidos por ou enviadas para o navegador?.
A7 - Missing Function Level Access Control
Certificando-se as pessoas certas tenham acesso às funções apropriadas de seu aplicativo é uma preocupação crescente.
Escondendo essas funções não é suficiente. Você deve fazer valer os seus restrições de acesso do servidor também.
Listas de controle de acesso e mecanismos de autenticação baseadas em função são estratégias eficazes contra essa vulnerabilidade, e já tem implementações em quase todas
as plataformas. No entanto, você deve estar vigilante para manter adequadamente as suas configurações para proteger do abuso.
A8 - Cross-site Request Forgery (CSRF)
Tipo de exploração maliciosa de um website pelo qual comandos não autorizados são transmitidos de um usuário que confia no website.
O que ocorre?
O site malicioso consegue manipular a situação de forma a executar uma ação em nome do usuário.
A9 - Using Components with Known Vulnerabilities
A utilização de componentes com vulnerabilidades conhecidas, é um dos itens da lista OWASP.
Se um atacante sabe quais os componentes que você usa, ele pode recuperar essas vulnerabilidades e encontrar uma maneira de explorá-los.
As Vulnerabilidades de software conhecidas estão disponíveis para todos na Internet.
É necessário assim, ofuscar as informações relacionadas com os componentes (servidores, Sistemas operacionais, estruturas e etc. que você usa para executar o aplicativo
A10 - Unvalidated Redirects and Forwards
Este ataque é usado para redirecionar o usuário para um site malicioso através de um site com um nome de domínio de confiança (phishing) ou para acessar uma página interna não autorizado.
Assim como pode ser utilizado como uma combinação com a engenharia social para fins maliciosos
Faz-se necessário nunca redirecionar ou avançar para URL's não verificadas ou URL's modificáveis com a entrada do usuário.
Bem pessoal espero que tenham gostado desta sessão.
Até o próximo post! o/
0 comments:
Postar um comentário