Open Web Application Security Project (OWASP) – открытый проект по обеспечению безопасности приложений, все материалы которого доступны бесплатно на веб-сайте некоммерческой организации OWASP Foundation. Поставляемые материалы включают документацию, мероприятия, форумы, проекты, инструменты и видео, такие как OWASP Top 10, веб-протоколы OWASP CLASP и OWASP ZAP, а также сканер веб-приложений с открытым исходным кодом.
OWASP важен для организаций, потому что его рекомендации высоко ценятся проверяющими безопасность корпоративных систем аудиторами. Рекомендации проекта по защите приложений необходимо включить в жизненный цикл разработки программного обеспечения и использовать для формирования политик безопасности.
OWASP Top 10 – это отчет или информационный документ, в котором перечислены основные проблемы, связанные с безопасностью веб-приложений. Он регулярно обновляется, чтобы постоянно отображать 10 наиболее серьезных рисков, с которыми сталкиваются организации. OWASP рекомендует всем компаниям учитывать выводы документа при построении корпоративных процессов, чтобы минимизировать и смягчить актуальные риски безопасности.
Отчет об уязвимостях OWASP формируется на основе консенсуса мнений экспертов по безопасности со всего мира. Он ранжирует риски на основе частоты дефектов, серьезности уязвимостей и их потенциального воздействия. Это дает разработчикам и специалистам по безопасности понимание наиболее серьезных рисков и позволяет им минимизировать возможные последствия эксплуатации уязвимостей злоумышленниками.
Ниже представлено распределение уязвимостей по категориям OWASP Top 10 — 2021 (доля приложений):
Уязвимости, связанные с нарушениями контроля доступа, стали наиболее актуальными за прошедшие два года — их прирост составил 63 п. п. по сравнению с 2019 годом. Более подробно об этих уязвимостях вы можете прочитать здесь.
Результаты анализа защищенности веб-приложений показали, что 83% из них имеют уязвимости, связанные с неправильной конфигурацией механизмов защиты (security misconfiguration). В 48% исследованных приложений было обнаружено отсутствие заголовка Strict-Transport-Security (CWE-523), который обязывает браузер пользователя использовать протокол HTTPS для безопасной передачи данных. Наличие настроенного заголовка обеспечивает защищенную передачу данных, в том числе конфиденциальных, что, в свою очередь, позволяет избежать атак типа man in the middle. В 34% приложений неправильно сконфигурирован заголовок X-Content-Type-Options (CWE-16), что делает их уязвимыми для атак с подменой контента, например для межсайтового выполнения сценариев.
Среди уязвимостей, не входящих в OWASP Top 10 — 2021, наибольшее распространение получила уязвимость неконтролируемого использования вычислительных ресурсов (CWE-400), позволяющая злоумышленникам проводить DoS-атаки на приложение. В процессе анализа одного из приложений специалистам удалось эксплуатировать такую уязвимость, отправляя запросы на формирование большого количества объемных отчетов в формате PDF. Это, в свою очередь, вызвало увеличение количества потребляемых ресурсов и задержки в доступе к приложению.
Вторую позицию занимает уязвимость некорректной проверки наличия нестандартных условий (CWE-754), когда веб-приложение принимает параметры, значения которых не являются для него стандартными. В одном из исследованных приложений эта уязвимость привела к продлению пробного периода пользования. Для этого был сформирован запрос к сценарию активации пробного периода с измененным тарифом — подобные действия позволили продлить бесплатный период еще на один месяц. Эта же уязвимость могла быть использована для массовой рассылки электронных писем с вредоносным вложением от имени службы поддержки приложения: в шаблоне HTTP-запроса значение поля полезной нагрузки было заменено на файл с расширением .pdf и были указаны адреса электронной почты.
Уязвимость раскрытия конфиденциальной информации в отладочном коде приложения (CWE-215) вошла в тройку наиболее часто встречающихся уязвимостей не из списка OWASP Top 10. Раскрытие информации в отладочном коде может предоставить злоумышленнику больше сведений о системе, которые могут быть использованы для подбора методов и инструментария планируемых атак.