OWASP Top 10 — это список десяти наиболее критичных уязвимостей в веб-приложениях, составленный Open Web Application Security Project (OWASP). Каждая из этих уязвимостей представляет собой реальную угрозу, которая может привести к компрометации системы, утечке данных или нарушению работы приложения. Задача каждой команды разработчиков — знать эти уязвимости, понимать их механизмы и предпринимать шаги для защиты своих приложений.
В этой статье мы разберем основные уязвимости OWASP Top 10, покажем, как они работают на практике и какие методы защиты применяются для предотвращения таких атак.
1. Broken Access Control (Нарушение управления доступом) 
Нарушение управления доступом возникает, когда приложение позволяет пользователю выполнять операции, к которым у него нет прав. Это может привести к тому, что пользователь может получить доступ к конфиденциальной информации или изменить данные других пользователей. Типичные примеры: доступ к чужим данным по URL, использование функций с правами администратора без соответствующих разрешений.Когда приложение не проверяет, имеет ли пользователь права доступа к запрашиваемому ресурсу, злоумышленник может манипулировать запросами, чтобы получить доступ к чужим данным. Например, если в URL передается ID пользователя, злоумышленник может просто изменить этот ID и получить доступ к чужому профилю.
| Тип нарушения | Описание | Способы защиты |
|---|---|---|
| Прямой доступ по URL | Злоумышленник изменяет параметры в URL и получает доступ к чужим данным | Проверка прав доступа на сервере, использование уникальных и случайных идентификаторов |
| Применение роли для других пользователей | Использование JWT или cookie для подмены ролей | Подпись и проверка токенов, регулярное обновление сессий |
Пример атаки:
Python:
# Злоумышленник меняет параметр ID в URL
# Пример: /profile/view?id=123, злоумышленник изменяет id на 124 и получает доступ к чужому профилюКак защититься:
- Проверка прав доступа на сервере: Не полагайтесь на клиентскую сторону для проверки прав доступа. Всегда проверяйте права на сервере.
- Принцип минимальных привилегий: Пользователь должен иметь доступ только к тем данным и функциям, которые ему необходимы.
- Использование уникальных идентификаторов: Вместо числовых ID используйте уникальные и случайные идентификаторы для предотвращения угадывания.
Python:
# Реализация проверки прав доступа на сервере
@app.route('/profile/view', methods=['GET'])
def view_profile():
user_id = request.args.get('id')
if not user_id or int(user_id) != current_user.id:
abort(403) # Доступ запрещен
user_profile = get_user_profile(user_id)
return render_template('profile.html', profile=user_profile)2. Cryptographic Failures (Ошибка в криптографии) 
Ошибки в криптографии происходят, когда данные, такие как пароли или токены, хранятся или передаются ненадежным способом. Например, использование слабых или устаревших алгоритмов хэширования, таких как MD5 или SHA-1, или передача данных без шифрования.Злоумышленники могут использовать радужные таблицы или методы подбора для расшифровки слабых хешей. Также передача данных по незащищенному каналу (HTTP вместо HTTPS) может позволить злоумышленникам перехватить данные.
| Уязвимость | Описание | Способы защиты |
|---|---|---|
| Использование слабых алгоритмов | Применение MD5 или SHA-1 для хэширования паролей | Использование современных алгоритмов: bcrypt, Argon2 |
| Отсутствие шифрования данных | Отправка паролей или токенов по незащищенному каналу | Использование HTTPS для шифрования передаваемых данных |
Пример атаки:
Python:
# Устаревший способ хэширования пароля с использованием MD5
import hashlib
def hash_password(password):
return hashlib.md5(password.encode('utf-8')).hexdigest()
hashed_password = hash_password('password123')Как защититься:
- Использование сильных алгоритмов: Вместо MD5 используйте более безопасные алгоритмы, такие как bcrypt, Argon2, или PBKDF2.
- Шифрование данных: Используйте HTTPS для передачи данных и шифруйте конфиденциальные данные, такие как пароли, с использованием солей и многократных итераций.
- Регулярные обновления криптографических алгоритмов: Постоянно следите за новыми криптографическими стандартами и обновляйте их в своем приложении.
Python:
import bcrypt
def hash_password(password):
salt = bcrypt.gensalt()
return bcrypt.hashpw(password.encode('utf-8'), salt)
hashed_password = hash_password('password123')3. Injection (Инъекции) 
Инъекция — это когда злоумышленник может внедрить вредоносный код (например, SQL-запросы, команды оболочки, скрипты) в данные, которые приложение передает внешним сервисам, таким как базы данных или операционные системы.При отсутствии должной фильтрации входных данных злоумышленник может вставить свой код, который будет выполнен на сервере. Например, это может быть SQL-инъекция, когда злоумышленник может выполнить произвольные SQL-запросы в базе данных.
| Тип инъекции | Описание | Способы защиты |
|---|---|---|
| SQL-инъекция | Злоумышленник вставляет произвольный SQL-запрос | Подготовленные выражения (Prepared Statements), ORM |
| XSS-инъекция | Вставка JavaScript кода для выполнения на клиенте | Экранирование входных данных, использование CSP |
| Command injection | Выполнение произвольных команд на сервере через форму | Валидация и санитация данных, использование безопасных API |
Пример атаки:
SQL:
' UNION SELECT NULL, table_name, column_name, NULL FROM information_schema.columns WHERE table_schema = 'public'--Как защититься:
- Использование подготовленных выражений (Prepared Statements): Это предотвратит инъекции, так как параметры передаются отдельно от SQL-запроса.
- Валидация и фильтрация входных данных: Все входные данные должны быть проверены на соответствие ожидаемому формату.
- Использование ORM (Object-Relational Mapping): ORM помогает избежать инъекций, генерируя безопасные SQL-запросы.
Python:
import sqlite3
def get_user_data(username, password):
conn = sqlite3.connect('secure_database.db')
cursor = conn.cursor()
query = "SELECT * FROM users WHERE username = ? AND password = ?"
cursor.execute(query, (username, password))
return cursor.fetchall()4. Insecure Design (Небезопасный дизайн) 
Ошибки в дизайне системы могут привести к созданию уязвимостей на стадии проектирования. Например, система может позволять использовать слабые пароли или не проверять безопасность с самого начала.Если приложение позволяет пользователю выбирать слишком простой пароль или не учитывает безопасность на стадии проектирования, это может стать точкой входа для атакующих.
| Уязвимость | Описание | Способы защиты |
|---|---|---|
| Использование слабых паролей | Приложение не проверяет сложность паролей | Требовать сложные пароли, реализация минимальных требований |
| Неиспользование MFA | Приложение использует только одноуровневую аутентификацию | Внедрение многофакторной аутентификации (MFA) |
Пример атаки:
Использование простых паролей, таких как "12345", может позволить злоумышленникам легко взломать учетные записи с помощью атаки грубой силы.Как защититься:
- Сложные пароли: Требуйте от пользователей создавать сложные пароли.
- Многофакторная аутентификация (MFA): Внедрение MFA значительно улучшает безопасность.
- Безопасность с самого начала: Внедрение безопасности на стадии проектирования поможет избежать многих проблем в будущем.
Python:
import pyotp
def generate_otp(secret):
totp = pyotp.TOTP(secret)
return totp.now()
otp_secret = pyotp.random_base32()
otp = generate_otp(otp_secret)5. Security Misconfiguration (Неправильная конфигурация безопасности) 
Ошибка конфигурации безопасности возникает, когда серверы или приложения настроены неправильно, что позволяет злоумышленникам получить доступ к данным или сервисам.Если сервер оставляет открытые порты, ненужные сервисы или незащищенные директории, злоумышленники могут воспользоваться этими уязвимостями.
| Ошибка конфигурации | Описание | Способы защиты |
|---|---|---|
| Открытые порты и сервисы | Сервера или API с открытыми портами или небезопасными настройками | Закрытие неиспользуемых портов, регулярный аудит безопасности |
| Оставленные дефолтные пароли | Использование дефолтных паролей в системах | Регулярная смена паролей и использование сложных ключей |
Пример атаки:
Использование Shodan для поиска открытых портов и уязвимых сервисов:
Bash:
shodan search "port:8080"Как защититься:
- Регулярные аудиты безопасности: Используйте инструменты для проведения регулярных проверок, такие как Lynis.
- Отключение неиспользуемых сервисов: Убедитесь, что на сервере не работают неиспользуемые или небезопасные сервисы.
Bash:
sudo lynis audit system6. Vulnerable and Outdated Components (Уязвимые и устаревшие компоненты) 
Использование устаревших или уязвимых компонентов может привести к тому, что злоумышленники воспользуются известными уязвимостями в библиотеке или фреймворке для атаки.Когда приложение использует устаревшие версии библиотек, такие как Apache Struts или jQuery, эти компоненты могут содержать известные уязвимости.
| Компонент | Описание | Способы защиты |
|---|---|---|
| Устаревшие библиотеки | Использование устаревших библиотек или фреймворков, содержащих уязвимости | Регулярные обновления компонентов и использование инструментов для проверки уязвимостей (Snyk, OWASP Dependency-Check) |
| Невалидные версии ПО | Использование устаревших версий программного обеспечения | Использование систем обновлений для поддержания актуальности версий |
Пример атаки:
Злоумышленник может использовать уязвимость в устаревшем Apache Struts:
Bash:
curl -X POST -d "fileName=../../../../../../etc/passwd" http://target.com/uploadКак защититься:
- Обновление компонентов: Регулярно обновляйте используемые библиотеки и фреймворки.
- Использование инструментов для проверки уязвимостей: Например, Snyk или OWASP Dependency-Check для сканирования зависимостей.
Bash:
snyk test7. Identification and Authentication Failures (Ошибки идентификации и аутентификации) 
Ошибки идентификации и аутентификации происходят, когда система не защищает должным образом процессы входа, что может привести к компрометации учетных записей пользователей. Это включает в себя слабые пароли, отсутствие защиты от атак грубой силы или ошибки при реализации многофакторной аутентификации.Злоумышленники могут воспользоваться слабой защитой паролей, используя Brute Force или Dictionary Attack, чтобы подобрать правильный пароль. Например, если приложение не блокирует учетную запись после нескольких неудачных попыток, злоумышленник может использовать автоматические инструменты для подбора паролей.
| Уязвимость | Описание | Способы защиты |
|---|---|---|
| Brute Force атаки | Атака подбора паролей с использованием словаря | Внедрение капчи, ограничение неудачных попыток входа |
| Отсутствие многофакторной аутентификации | Отсутствие второго уровня аутентификации (например, через SMS или приложения) | Реализация многофакторной аутентификации (MFA) |
Пример атаки:
Злоумышленник использует инструмент Hydra для атаки на SSH-сервер с помощью словаря паролей:
Bash:
hydra -l admin -P /path/to/password-list.txt ssh://target-serverКак защититься:
- Многофакторная аутентификация (MFA): Использование дополнительного уровня защиты, например, кода из приложения или SMS.
- Ограничение попыток входа: Ограничьте количество неудачных попыток входа с одного IP-адреса.
- Сложные пароли: Требуйте использования длинных и сложных паролей.
Python:
from time import time
MAX_ATTEMPTS = 5
attempts = 0
def check_login(username, password):
global attempts
if attempts >= MAX_ATTEMPTS:
raise Exception("Превышено количество попыток входа.")
if authenticate(username, password):
reset_attempts()
return "Успешный вход"
else:
attempts += 1
return "Неверный пароль"
def reset_attempts():
global attempts
attempts = 08. Software and Data Integrity Failures (Ошибки в целостности данных и программного обеспечения)
Ошибки в целостности данных и программного обеспечения происходят, когда система не проверяет корректность данных, поступающих извне, или целостность программного обеспечения. Злоумышленники могут внедрить вредоносный код или подменить обновления, если контроль целостности не настроен должным образом.Если приложение не проверяет целостность данных и программного обеспечения, злоумышленники могут подменить или изменить важные файлы системы, например, заменив обновления на вредоносные.
| Проблема целостности данных | Описание | Способы защиты |
|---|---|---|
| Подмена обновлений | Замена файлов с обновлениями на вредоносные | Использование цифровых подписей для проверки целостности файлов |
| Изменение данных на лету | Неавторизованное изменение данных в процессе работы | Использование хэширования и регулярных проверок целостности данных |
Пример атаки:
Злоумышленник может подменить файл обновлений на сервере, заменив его вредоносным кодом:
Bash:
# Злоумышленник может подменить обновление программы
curl -X GET "http://target-website.com/download/update.tar"Как защититься:
- Цифровые подписи: Все важные файлы, включая обновления, должны быть подписаны цифровыми подписями для проверки целостности.
- Хэширование: Используйте хэш-функции для проверки целостности файлов и данных.
- Контроль версий: Регулярно обновляйте и проверяйте программное обеспечение на наличие изменений.
Python:
import hashlib
def verify_file_integrity(file_path, expected_hash):
sha256_hash = hashlib.sha256()
with open(file_path, "rb") as f:
for byte_block in iter(lambda: f.read(4096), b""):
sha256_hash.update(byte_block)
return sha256_hash.hexdigest() == expected_hash9. Security Logging and Monitoring Failures (Ошибки в логировании и мониторинге безопасности) 
Ошибка в логировании и мониторинге безопасности возникает, когда приложение или система не отслеживает критически важные события, такие как неудачные попытки входа, изменения данных или подозрительные действия. Без должного мониторинга атаки могут остаться незамеченными.Без системы логирования и мониторинга злоумышленники могут легко провести атаки, не оставив следов. Например, попытки взлома учетной записи могут не быть зафиксированы, если не ведется должное логирование.
| Ошибка логирования | Описание | Способы защиты |
|---|---|---|
| Недостаточное логирование | Отсутствие логирования неудачных попыток входа или подозрительных операций | Включение логирования всех критичных действий и интеграция с SIEM-системами |
| Пропуск информации | Логи не содержат всей необходимой информации для анализа инцидентов | Обеспечение полноты данных в логах, включая IP-адреса, User-Agent и прочее |
Пример атаки:
Злоумышленник пытается войти в систему с использованием неправильного пароля, но эта попытка не регистрируется, так как система не ведет логи.
Python:
import logging
logging.basicConfig(filename='security.log', level=logging.INFO)
def log_failed_login_attempt(user_id):
logging.info(f"Неудачная попытка входа для пользователя {user_id}")Как защититься:
- Логирование всех важных событий безопасности: Введите детальное логирование для всех критичных операций, включая неудачные попытки входа, изменения данных и доступ к защищенным ресурсам.
- Интеграция с SIEM-системами: Используйте системы мониторинга в реальном времени для анализа и предупреждения о возможных угрозах.
- Регулярный анализ логов: Проводите регулярный анализ логов на наличие аномалий.
10. Server-Side Request Forgery (SSRF) (Серверная подделка запросов) 
SSRF — это атака, при которой злоумышленник может заставить сервер отправить запросы на внутренние ресурсы, которые должны быть недоступны из внешней сети. Это может привести к утечке конфиденциальных данных или атаке на внутренние сервисы.Злоумышленник может отправить запрос на внутренний API, который доступен только в пределах корпоративной сети, используя сервер как посредника.
| Проблема SSRF | Описание | Способы защиты |
|---|---|---|
| Запросы на локальные сервисы | Злоумышленник заставляет сервер отправить запросы на внутренние API | Ограничение возможности отправки запросов на локальные ресурсы, фильтрация URL |
| Недостаточная фильтрация URL | Сервер отправляет запросы на URL, предоставленный пользователем | Использование белых списков для разрешенных URL, блокировка запросов к локальным адресам |
Пример атаки:
Злоумышленник может заставить сервер обратиться к внутреннему API, который предоставляет конфиденциальную информацию, такой как данные о пользователях.
Bash:
curl -X GET "http://internal-api.local/getData"Как защититься:
- Проверка и фильтрация URL: Ограничьте возможность отправки запросов на локальные ресурсы, добавив проверку, чтобы запросы не шли на 127.0.0.1 или внутренние IP-адреса.
- Блокировка запросов на локальные сервисы: Используйте белый список URL и запрещайте доступ к локальным сервисам.
Python:
from urllib.parse import urlparse
def is_safe_url(url):
parsed_url = urlparse(url)
return parsed_url.scheme in ['http', 'https'] and not parsed_url.hostname.startswith('127.0.0.')Заключение 
Знание OWASP Top 10 и эффективное применение соответствующих методов защиты на практике поможет вам построить безопасные веб-приложения. Соблюдение этих рекомендаций позволит вам снизить риски и защитить систему от большинства современных угроз.Часто задаваемые вопросы 
1. Как эффективно тестировать на OWASP Top 10?Используйте автоматические инструменты для тестирования на уязвимости и проводите регулярные аудиты безопасности с акцентом на уязвимости из OWASP Top 10.
2. Почему важно следить за уязвимостями в сторонних компонентах?
Сторонние компоненты могут содержать известные уязвимости, которые могут быть использованы злоумышленниками. Регулярное обновление и сканирование компонентов помогает избежать таких рисков.
3. Как повысить уровень безопасности паролей?
Используйте сложные пароли, внедряйте двухфакторную аутентификацию и защищайте пароли с помощью современных алгоритмов хэширования.
Последнее редактирование:
