OWASP শীর্ষ 10 নিরাপত্তা ঝুঁকি | ওভারভিউ
সুচিপত্র
OWASP কি?
OWASP একটি অলাভজনক সংস্থা যা ওয়েব অ্যাপ নিরাপত্তা শিক্ষার জন্য নিবেদিত।
OWASP শেখার উপকরণগুলি তাদের ওয়েবসাইটে অ্যাক্সেসযোগ্য। তাদের সরঞ্জামগুলি ওয়েব অ্যাপ্লিকেশনগুলির নিরাপত্তা উন্নত করার জন্য দরকারী৷ এর মধ্যে রয়েছে নথি, টুল, ভিডিও এবং ফোরাম।
OWASP টপ 10 হল এমন একটি তালিকা যা আজকের ওয়েব অ্যাপগুলির জন্য শীর্ষ নিরাপত্তা সংক্রান্ত উদ্বেগগুলিকে হাইলাইট করে৷ তারা সুপারিশ করে যে সমস্ত কোম্পানি নিরাপত্তা ঝুঁকি কমাতে তাদের প্রক্রিয়াগুলিতে এই প্রতিবেদনটি অন্তর্ভুক্ত করে. নীচে নিরাপত্তা ঝুঁকিগুলির একটি তালিকা রয়েছে যা OWASP শীর্ষ 10 2017 রিপোর্টে অন্তর্ভুক্ত রয়েছে।
এসকিউএল ইনজেকশন
এসকিউএল ইনজেকশন ঘটে যখন একজন আক্রমণকারী একটি ওয়েব অ্যাপে অনুপযুক্ত ডেটা পাঠায় যাতে অ্যাপ্লিকেশনটিতে প্রোগ্রামটি ব্যাহত হয়.
একটি এসকিউএল ইনজেকশনের একটি উদাহরণ:
আক্রমণকারী একটি ইনপুট ফর্মে একটি এসকিউএল কোয়েরি লিখতে পারে যার জন্য একটি ব্যবহারকারীর নাম প্লেইনটেক্সট প্রয়োজন। ইনপুট ফর্ম সুরক্ষিত না থাকলে, এটি একটি SQL ক্যোয়ারী কার্যকর করবে। এই উল্লেখ করা হয় এসকিউএল ইনজেকশন হিসাবে.
কোড ইনজেকশন থেকে ওয়েব অ্যাপ্লিকেশনগুলিকে রক্ষা করতে, নিশ্চিত করুন যে আপনার বিকাশকারীরা ব্যবহারকারীর জমা দেওয়া ডেটাতে ইনপুট বৈধতা ব্যবহার করে. এখানে বৈধতা অবৈধ ইনপুট প্রত্যাখ্যান বোঝায়। একটি ডাটাবেস ম্যানেজার পরিমাণ কমাতে নিয়ন্ত্রণ সেট করতে পারে তথ্য এটা হতে পারে প্রকাশ করা ইনজেকশন আক্রমণে.
এসকিউএল ইনজেকশন প্রতিরোধ করার জন্য, OWASP কমান্ড এবং প্রশ্ন থেকে ডেটা আলাদা রাখার পরামর্শ দেয়। বাঞ্ছনীয় বিকল্প একটি নিরাপদ ব্যবহার করা হয় এপিআই দোভাষীর ব্যবহার রোধ করতে বা অবজেক্ট রিলেশনাল ম্যাপিং টুলস (ORMs) এ স্থানান্তরিত করতে.
ভাঙা প্রমাণীকরণ
প্রমাণীকরণের দুর্বলতা একজন আক্রমণকারীকে ব্যবহারকারীর অ্যাকাউন্ট অ্যাক্সেস করতে এবং অ্যাডমিন অ্যাকাউন্ট ব্যবহার করে একটি সিস্টেমের সাথে আপস করার অনুমতি দিতে পারে. কোনটি কাজ করে তা দেখতে একটি সিস্টেমে হাজার হাজার পাসওয়ার্ড সংমিশ্রণ চেষ্টা করার জন্য একটি সাইবার অপরাধী একটি স্ক্রিপ্ট ব্যবহার করতে পারে. সাইবার অপরাধী একবার প্রবেশ করলে, তারা ব্যবহারকারীর পরিচয় জাল করতে পারে, তাদের গোপনীয় তথ্যে অ্যাক্সেস দেয়.
স্বয়ংক্রিয় লগইন করার অনুমতি দেয় এমন ওয়েব অ্যাপ্লিকেশনগুলিতে একটি ভাঙা প্রমাণীকরণ দুর্বলতা বিদ্যমান। প্রমাণীকরণ দুর্বলতা সংশোধন করার একটি জনপ্রিয় উপায় হল মাল্টিফ্যাক্টর প্রমাণীকরণের ব্যবহার। এছাড়াও, একটি লগইন হার সীমা পারে অন্তর্ভুক্ত করা নৃশংস শক্তি আক্রমণ প্রতিরোধ করতে ওয়েব অ্যাপে।
সংবেদনশীল ডেটা এক্সপোজার
যদি ওয়েব অ্যাপ্লিকেশনগুলি সংবেদনশীল আক্রমণকারীদের সুরক্ষা না দেয় তবে তারা তাদের লাভের জন্য সেগুলি অ্যাক্সেস করতে এবং ব্যবহার করতে পারে। একটি অন-পাথ আক্রমণ সংবেদনশীল তথ্য চুরি করার জন্য একটি জনপ্রিয় পদ্ধতি। সমস্ত সংবেদনশীল ডেটা এনক্রিপ্ট করা থাকলে এক্সপোজারের ঝুঁকি ন্যূনতম হতে পারে। ওয়েব ডেভেলপারদের নিশ্চিত করা উচিত যে ব্রাউজারে কোনো সংবেদনশীল তথ্য প্রকাশ না করা বা অপ্রয়োজনীয়ভাবে সংরক্ষণ করা না হয়।
XML বাহ্যিক সত্তা (XEE)
একটি সাইবার অপরাধী একটি XML নথির মধ্যে দূষিত XML সামগ্রী, কমান্ড বা কোড আপলোড করতে বা অন্তর্ভুক্ত করতে সক্ষম হতে পারে. এটি তাদের অ্যাপ্লিকেশন সার্ভার ফাইল সিস্টেমে ফাইল দেখতে দেয়। একবার তাদের অ্যাক্সেস পাওয়া গেলে, তারা সার্ভার-সাইড অনুরোধ জালিয়াতি (SSRF) আক্রমণগুলি সম্পাদন করতে সার্ভারের সাথে যোগাযোগ করতে পারে.
এক্সএমএল বাহ্যিক সত্তা আক্রমণ করতে পারে দ্বারা প্রতিরোধ করা ওয়েব অ্যাপ্লিকেশানগুলিকে কম জটিল ডেটা টাইপ গ্রহণ করার অনুমতি দেয় যেমন JSON. XML বাহ্যিক সত্তা প্রক্রিয়াকরণ নিষ্ক্রিয় করা XEE আক্রমণের সম্ভাবনাও হ্রাস করে।
ভাঙা অ্যাক্সেস নিয়ন্ত্রণ
অ্যাক্সেস কন্ট্রোল হল একটি সিস্টেম প্রোটোকল যা অননুমোদিত ব্যবহারকারীদের সংবেদনশীল তথ্যে সীমাবদ্ধ করে। যদি একটি অ্যাক্সেস কন্ট্রোল সিস্টেম ভাঙ্গা হয়, আক্রমণকারীরা প্রমাণীকরণ বাইপাস করতে পারে। এটি তাদের সংবেদনশীল তথ্যে অ্যাক্সেস দেয় যেন তাদের অনুমোদন রয়েছে। ব্যবহারকারী লগইনে অনুমোদন টোকেন প্রয়োগ করে অ্যাক্সেস কন্ট্রোল সুরক্ষিত করা যেতে পারে। প্রমাণীকরণের সময় ব্যবহারকারীর প্রতিটি অনুরোধে, ব্যবহারকারীর সাথে অনুমোদনের টোকেন যাচাই করা হয়, এটি সংকেত দেয় যে ব্যবহারকারী সেই অনুরোধ করার জন্য অনুমোদিত।
সুরক্ষা ভুল কনফিগারেশন
নিরাপত্তা ভুল কনফিগারেশন একটি সাধারণ সমস্যা যে সাইবার নিরাপত্তা বিশেষজ্ঞরা ওয়েব অ্যাপ্লিকেশনগুলিতে পর্যবেক্ষণ করেন। এটি ভুল কনফিগার করা HTTP শিরোনাম, ভাঙা অ্যাক্সেস নিয়ন্ত্রণ এবং একটি ওয়েব অ্যাপে তথ্য প্রকাশ করে এমন ত্রুটির প্রদর্শনের ফলে ঘটে. আপনি অব্যবহৃত বৈশিষ্ট্যগুলি সরিয়ে একটি নিরাপত্তা ভুল কনফিগারেশন সংশোধন করতে পারেন৷ আপনার সফ্টওয়্যার প্যাকেজগুলিও প্যাচ বা আপগ্রেড করা উচিত।
ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস)
XSS দুর্বলতা ঘটে যখন একজন আক্রমণকারী ব্যবহারকারীর ব্রাউজারে দূষিত কোড চালানোর জন্য একটি বিশ্বস্ত ওয়েবসাইটের DOM API ব্যবহার করে. এই দূষিত কোডের প্রয়োগ প্রায়ই ঘটে যখন একজন ব্যবহারকারী এমন একটি লিঙ্কে ক্লিক করে যা একটি বিশ্বস্ত ওয়েবসাইট থেকে বলে মনে হয়. ওয়েবসাইটটি XSS দুর্বলতা থেকে সুরক্ষিত না থাকলে, এটি করতে পারে আপস করা. দূষিত কোড যে মৃত্যুদন্ড কার্যকর করা হয় ব্যবহারকারীদের লগইন সেশন, ক্রেডিট কার্ডের বিবরণ এবং অন্যান্য সংবেদনশীল ডেটাতে আক্রমণকারীকে অ্যাক্সেস দেয়.
ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) প্রতিরোধ করতে, নিশ্চিত করুন যে আপনার HTML ভালভাবে স্যানিটাইজ করা হয়েছে। এটা পারে দ্বারা অর্জন করা পছন্দের ভাষার উপর নির্ভর করে বিশ্বস্ত ফ্রেমওয়ার্ক নির্বাচন করা. আপনি .Net, Ruby on Rails এবং React JS-এর মতো ভাষা ব্যবহার করতে পারেন কারণ এগুলো আপনার HTML কোড পার্স ও পরিষ্কার করতে সাহায্য করবে। প্রমাণিত বা অপ্রমাণিত ব্যবহারকারীদের থেকে সমস্ত ডেটা অবিশ্বস্ত হিসাবে বিবেচনা করা XSS আক্রমণের ঝুঁকি কমাতে পারে.
অনিরাপদ ডিসিরিয়ালাইজেশন
ডিসিরিয়ালাইজেশন হল একটি সার্ভার থেকে একটি অবজেক্টে সিরিয়ালাইজড ডেটার রূপান্তর। সফ্টওয়্যার বিকাশে ডেটার ডিসিরিয়ালাইজেশন একটি সাধারণ ঘটনা। এটা অনিরাপদ যখন তথ্য deserialized হয় একটি অবিশ্বস্ত উৎস থেকে। এটা পারে সম্ভাব্য আক্রমণে আপনার আবেদন প্রকাশ করুন. অনিরাপদ ডিসিরিয়ালাইজেশন ঘটে যখন একটি অবিশ্বস্ত উৎস থেকে ডিসিরিয়ালাইজড ডেটা DDOS আক্রমণ, দূরবর্তী কোড কার্যকর করার আক্রমণ বা প্রমাণীকরণ বাইপাসের দিকে নিয়ে যায়.
অনিরাপদ ডিসিরিয়ালাইজেশন এড়াতে, থাম্বের নিয়ম হল ব্যবহারকারীর ডেটাকে কখনই বিশ্বাস করবেন না। প্রতিটি ব্যবহারকারীর তথ্য ইনপুট করা উচিত চিকিত্সা করা as সম্ভাব্য দূষিত অবিশ্বস্ত উৎস থেকে ডেটা ডিসিরিয়ালাইজেশন এড়িয়ে চলুন। ডিসিরিয়ালাইজেশন ফাংশন নিশ্চিত করুন ব্যবহার করা আপনার ওয়েব অ্যাপ্লিকেশন নিরাপদ.
পরিচিত দুর্বলতা সহ উপাদান ব্যবহার করা
লাইব্রেরি এবং ফ্রেমওয়ার্কগুলি চাকাকে পুনরায় উদ্ভাবনের প্রয়োজন ছাড়াই ওয়েব অ্যাপ্লিকেশনগুলি বিকাশ করা আরও দ্রুত করেছে. এটি কোড মূল্যায়নে অপ্রয়োজনীয়তা হ্রাস করে। তারা বিকাশকারীদের অ্যাপ্লিকেশনের আরও গুরুত্বপূর্ণ দিকগুলিতে ফোকাস করার পথ তৈরি করে। আক্রমণকারীরা যদি এই ফ্রেমওয়ার্কগুলিতে শোষণগুলি আবিষ্কার করে, তবে প্রতিটি কোডবেস ফ্রেমওয়ার্ক ব্যবহার করবে আপস করা.
কম্পোনেন্ট ডেভেলপাররা প্রায়ই কম্পোনেন্ট লাইব্রেরির জন্য সিকিউরিটি প্যাচ এবং আপডেট অফার করে। উপাদান দুর্বলতা এড়াতে, আপনাকে সর্বশেষ নিরাপত্তা প্যাচ এবং আপগ্রেডের সাথে আপনার অ্যাপ্লিকেশনগুলিকে আপ টু ডেট রাখতে শিখতে হবে. অব্যবহৃত উপাদান উচিত অপসারণ করা আক্রমণ ভেক্টর কাটা অ্যাপ্লিকেশন থেকে.
অপর্যাপ্ত লগিং এবং মনিটরিং
আপনার ওয়েব অ্যাপ্লিকেশনে ক্রিয়াকলাপ দেখানোর জন্য লগিং এবং পর্যবেক্ষণ গুরুত্বপূর্ণ। লগিং ত্রুটিগুলি ট্রেস করা সহজ করে তোলে, মনিটর ব্যবহারকারী লগইন, এবং কার্যকলাপ.
নিরাপত্তা-সমালোচনামূলক ইভেন্টগুলি লগ করা না হলে অপর্যাপ্ত লগিং এবং পর্যবেক্ষণ ঘটে সঠিকভাবে. আক্রমণকারীরা এটিকে পুঁজি করে আপনার অ্যাপ্লিকেশনে কোনো লক্ষণীয় প্রতিক্রিয়া পাওয়ার আগে আক্রমণ চালায়.
লগিং আপনার কোম্পানিকে অর্থ এবং সময় বাঁচাতে সাহায্য করতে পারে কারণ আপনার বিকাশকারীরা পারেন সহজে বাগ খুঁজুন. এটি তাদের অনুসন্ধান করার চেয়ে বাগগুলি সমাধানের দিকে আরও বেশি ফোকাস করতে দেয়৷ প্রকৃতপক্ষে, লগিং আপনার সাইট এবং সার্ভারগুলিকে কোনো ডাউনটাইম অনুভব না করে প্রতিবার চালু রাখতে সাহায্য করতে পারে.
উপসংহার
ভাল কোড না মাত্র কার্যকারিতা সম্পর্কে, এটি আপনার ব্যবহারকারী এবং অ্যাপ্লিকেশন নিরাপদ রাখার বিষয়ে. OWASP টপ 10 হল সবচেয়ে গুরুত্বপূর্ণ অ্যাপ্লিকেশন নিরাপত্তা ঝুঁকির একটি তালিকা যা ডেভেলপারদের নিরাপদ ওয়েব এবং মোবাইল অ্যাপ লেখার জন্য একটি দুর্দান্ত বিনামূল্যের সম্পদ।. ঝুঁকিগুলি মূল্যায়ন এবং লগ করার জন্য আপনার দলের বিকাশকারীদের প্রশিক্ষণ দীর্ঘমেয়াদে আপনার দলের সময় এবং অর্থ বাঁচাতে পারে। আপনি যদি চান কিভাবে OWASP শীর্ষ 10 এ আপনার দলকে প্রশিক্ষণ দিতে হয় সে সম্পর্কে আরও জানুন এখানে ক্লিক করুন।
