OWASP TOP 10
Celia Catalán
Web aplikazioen segurtasuna lehentasuna da gaur egungo munduan, non ziber-mehatxuak etengabe eboluzionatzen ari diren. Garatzaileei eta segurtasun profesionalei laguntzeko, Open Web Application Security Project (OWASP) OWASP Top 10 izenez ezagutzen den zerrenda argitaratzen du, eta web aplikazioen ahultasunik larrienak nabarmentzen ditu. Zerrenda hori ezinbestekoa da mehatxu horiek arintzeko arriskuak eta beharrezko neurriak ulertzeko.
Zer da OWASP Top 10?
OWASP Top 10 web aplikazioei eragiten dieten ahultasun larrienen sailkapena da. Bere helburua teknologia-komunitateari segurtasun-akats ohikoen eta arriskutsuenei buruzko kontzientzia eta ezagutza eskaintzea da. Aldian behin eguneratuta, zerrenda honek gida praktiko bat eskaintzen du ahultasunik larrienak prebenitzeko, detektatzeko eta zuzentzeko.
OWASP Top 10eko ahultasunek aplikazio baten segurtasuna oso arriskuan jartzeko aukera dute, datu sentikorrak agerian utziz, baimenik gabeko sarbidea ahalbidetuz eta erakundeei galera handiak eraginez.
OWASP Top 10aren edizio desberdinak daude, sortu edo eguneratu zen urtearen arabera sailkatuta. Web-segurtasunaren panorama orokorraren aldaketa dela eta, OWASP Fundazioak bildutako datuen arabera, ahultasun mota batzuen maiztasuna handitu eta gutxitu egiten da denborarekin. Era berean, ahultasun mota berriak sortzen dira, beste batzuk desagertzen diren bitartean, beste izen bat jasotzen dute edo taldekatzen dira:
Blogeko argitalpen honetan OWASP TOP 10-ren bertsio berriena 2024ko urritik aurrera aurkeztea erabaki dugu, hau da, 2021eko bertsioa.
OWASP Top 10 2021
2021eko edizioan, OWASPek gaur egun web aplikazioei eragiten dieten segurtasun mehatxu nagusien zerrenda eguneratu zuen. Jarraian, 10 arrisku-kategoria garrantzitsuenak azpimarratzen dira:
A01:2021 - Sarbide-kontrola galtzea
Datu edo funtzionalitateetarako sarbide murrizketetan hutsegiteak aipatzen ditu. Horri esker, erasotzaileek baimenik gabeko ekintzak egin ditzakete, esate baterako, datu sentikorrak atzitzea edo beharrezko baimenik gabe administrazio-funtzioak egitea. Lotutako ahultasunetako batzuk:
- Pribilegioen igoera: erabiltzaile arruntek administratzaile-pribilegioak behar dituzten ekintzak lor ditzakete edo egin ditzakete.
- Alboko mugimendua: Erabiltzaileek plataformako beste erabiltzaile batzuen datuak atzi ditzakete.
- Sarbide-kontrol falta APIetan: APIek ez dituzte baliabideak behar bezala babesten.
A02:2021 - Akats kriptografikoak
Kategoria honek datu sentikorrak babesteko akatsak biltzen ditu, hala nola pasahitzak edo informazio pertsonala. Datuak behar bezala zifratzen ez badira, erasotzaileek erraz atzeman eta irakur ditzakete. Lotutako ahultasunetako batzuk:
- Enkriptatzea ahula edo existitzen ez dena: algoritmo kriptografiko zaharkituak erabiltzea edo datu sentikorren enkriptazio eza.
- Gakoen kudeaketa desegokia: gako kriptografikoen biltegiratze edo transmisio segurua.
- Datu sentikorren esposizioa: Pashitzak, txartelen zenbakiak edo zifratu gabeko datu pertsonalak.
A03:2021 - Injekzioa
Injekzio ahuleziek, hala nola SQL injekzioa, erasotzaile bati komando gaiztoak txertatzeko aukera ematen diote aplikazioaren sarreran bere funtzionamendua eteteko. Horrek datu-baseetara eta beste baliabide batzuetara baimenik gabe atzitu dezake. Lotutako ahultasunetako batzuk:
- SQL injekzioa: SQL kontsulten manipulazioa datu-base bateko datuak sartzeko edo aldatzeko.
- Komandoak sartzea: sistema eragilearen komandoak exekuzioa sarrera seguruen bidez.
- Kodearen injekzioa: kode gaiztoa aplikazioan txertatzea, adibidez, JavaScript kodea.
A04:2021 - Diseinu segurua
Aplikazioaren diseinu-prozesuan segurtasun-printzipioak kontuan hartzen ez direnean gertatzen da, inplementatu ondoren konpontzen zailak diren egitura-akatsak sortzen direlarik. Lotutako ahultasunetako batzuk:
- Sarrerako baliozkotze falta: Erabiltzaileak sartutako datuak ez dira behar bezala egiaztatu. Ahultasun mota honek beste ahultasun batzuk sor ditzake, hala nola komandoen injekzioa edo SQL injekzioa.
- Segurtasun-kontrolik eza: autentifikazio edo enkriptatze falta puntu kritikoetan.
- Arkitektura eskasa: rolak bereizteko falta edo diseinu eredu seguruak erabiltzea.
A05:2021 - Segurtasun-konfigurazio okerra
Sistemen, zerbitzarien eta aplikazioen konfigurazio okerra edo lehenetsia arazo arrunta da, eta aplikazioak erasoetara zabalik uzten ditu. Arrisku hau konfigurazio egokiaren eta aldizkako berrikuspenen bidez ekidin daiteke. Lotutako ahultasunetako batzuk:
- Kredentzial lehenetsiak: Zerbitzarietan edo aplikazioetan pasahitzak edo ezarpen lehenetsiak erabiltzea.
- Fitxategien esposizio sentikorra: Konfigurazio-fitxategiak edo datu-base publikoak eskura daitezke.
- Alferrikako zerbitzuak gaituta: ustiatu daitezkeen erabiltzen ez diren zerbitzuak.
A06:2021 - Osagai zaurgarriak eta zaharkituak
Aplikazio asko hirugarrenen liburutegi edo esparruen araberakoak dira. Osagai horiek eguneratzen ez badira edo ahultasun ezagunak badituzte, erasotzaileek ustiatu ditzakete aplikazioaren segurtasuna arriskuan jartzeko. Lotutako ahultasunetako batzuk:
- Ahultasun ezagunak dituzten mendekotasunak: Segurtasun-akats ezagunak dituzten liburutegiak edo esparruak erabiltzea.
- Software zaharkitua: Segurtasun-eguneratze edo adabaki eskuragarri ez dago.
- Plugin eta modulu seguruak: Ondo ikuskatu ez diren hirugarrenen luzapenak edo moduluak erabiltzea. (Wordpress plugin zaharkituak, JavaScript liburutegi zaharkituak...)
A07:2021 - Identifikazio- eta autentifikazio-hutsegiteak
Autentifikazio txarrari esker, erasotzaileek erabiltzaileen identitatearen egiaztapena saihestu dezakete, eta ondorioz, phishing edo baimenik gabeko sarbidea dute. Lotutako ahultasunetako batzuk:
- Autentifikazio segurua: faktore anitzeko autentifikazioa (MFA) bezalako mekanismorik eza.
- Babestu gabeko saioak: ikusgai dauden saio-tokenak edo saioaren iraungitze falta da.
A08:2021 - Softwarearen eta informazioaren osotasunean akatsak
Ahultasun honek software eguneratzeen edo gordetako datuen osotasuna behar bezala egiaztatzen ez denean eragiten du. Horri esker, erasotzaileek iturburu-kodea edo datuak alda ditzakete detektatu gabe. Lotutako ahultasunetako batzuk:
- Egiaztatu gabeko eguneraketak: software eguneratzea benetakotasuna egiaztatu gabe.
- Iturburu-kodea aldatzea: kode gaiztoa txertatzea CI/CD biltegietan edo kanalizazioetan.
- Fitxategien manipulazioa kritikoa: konfigurazio fitxategiak edo datu-baseak detektatu gabe aldatzea.
A09:2021 - Segurtasun- eta monitorizazio-gertaerak erregistratzean huts egitea
Erregistro egokirik eta jarraipen aktiborik gabe, zaila da etengabeko erasoak detektatzea edo erreakzionatzea. Porrot honek segurtasun-gorabeherei erantzuteko gaitasuna mugatzen du. Lotutako ahultasunetako batzuk:
- Gertaeren erregistroen falta: Sarbideen erregistroen, erroreen edo sistemaren aldaketarik eza.
- Erregistro nahikorik ez: Erregistroek ez dute informazio nahikoa arazoak diagnostikatzeko.
- Ez da erasorik hautematen denbora errealean: ez dago intzidenteen alerta edo monitorizazio sistema aktiborik.
A10:2021 - Zerbitzariaren aldeko eskaerak behartzea (SSRF)
SSRF erasoa web aplikazio bat beste zerbitzari batzuei eskaerak egiten engainatzen dutenean gertatzen da, erasotzaileei normalean babestuta egongo liratekeen barne baliabideak sartzeko. Lotutako ahultasunetako batzuk:
- Barne baliabideetarako sarbidea: Erasotzaileak aplikazioa erabiltzen du barne zerbitzarietara edo datu-baseetara sartzeko.
- Suebakiaren saihespena: Erasotzaileak sareko segurtasun murrizketak saihesteko ahultasuna baliatzen du.
- Tokiko zerbitzuen kontsulta: erasotzaileak barne sareko zerbitzuetara sartzen du, hala nola HTTP, FTP edo SSH.
Hurrengo hilabeteetan TOP 10eko ahultasun bakoitzari buruzko sarrerak argitaratuko ditugu. Arrisku bakoitzari lotutako ahultasun mota guztiak ikertuko ditugu, baita ahultasun horiek ustiatzeko erasoak ere.
Egoitz San Martín, Pentester en Grupo Zerolynx
