InfoTech Umeå

hacker

Internets 10 största säkerhetsrisker

Tips från experten: Nu släpps topplistan över säkerhetsrisker alla utvecklare bör känna till för att göra företag och organisationer säkrare.

Vare sig du arbetar med ett startup, ett större företag eller en organisation måste du ha koll på säkerheten om du är utvecklare. Attacker kommer ingen undan. Vid OWASP North Swedens möte i Umeå i förra veckan, där närmare 50 utvecklare samlades, berättade Magnus Hultdin, säkerhetsarkitekt vid Swedbank IT, om ett säkerhetstest han utfört för att undersöka hur en sårbar server angrips. Det tog sju minuter från driftsättning till första attacken och på bara några få månader har drygt en miljon försök att angripa servern skett.

Om säkerheten brister i programvara som ett startup, ett företag eller en organisation använder kan det ställa till med stor oreda. Vid träffen med OWASP Norths Sweden berättade Magnus Hultdin och Markus Örebrand, utvecklare på Omegapoint, om den tio i topp-lista över säkerhetsrisker som OWASP, Open Web Application Security Project, släpper nu under sommaren 2017.

Här är deras kommentarer till tio i topp-listan:

10 största säkerhetsriskerna
1 Injektionssårbarheter
Genom sårbarheter i olika ”tolkare” kan angriparen lura applikationen att utföra kommandon. Det kan till exempel användas för att manipulera eller stjäla data från databaser eller för att exekvera skadlig kod på en server.

2 Bristande identitetskontroll och sessionshantering
Misstag som gjorts i till exempel kontoregistrering, ”glömt lösenordet”, in- och utloggning mm kan användas av en angripare för att få information om användare i ett system eller kapa andra användares sessioner.

3 Cross-site Scripting (XSS)
En angripare kan använda en sårbar applikation för att exekvera Javascript i en annan användares browser. Attacken kan användas för sessionskapning, spioneri eller att installera skadlig kod på offrets dator.

4 Bristande behörighetskontroll
Felaktigt utförda begränsningar av vad autentiserade användare får göra. Angripare kan utnyttja dessa brister för att exempelvis komma åt data, andra användares konton, ändra behörighetsrättigheter, etc.

5 Osäkra konfigurationer
Bra säkerhet kräver att konfiguration för applikationer, frameworks och servrar är riktigt utförd.

6 Brister i krypto och transportlagerskydd
Sajter som har dåligt transportlagerskydd är bland annat sårbara för ”man-in-the-middle”-attacker där en angripare kan manipulera eller läsa datatrafiken mellan användaren och servern. Felanvända eller svaga kryptolösningar riskerar att röja skyddsvärd information.

7 Otillräckligt skydd mot angrepp
De flesta applikationer och API:er brister i förmåga att upptäcka, förhindra och svara på såväl manuella som automatiska attacker. Patchar måste också snabbt kunna distribueras för skydd mot attacker. Omdiskuterad eftersom lösningsförslaget tenderar att rekommendera inköp av dyra produkter som ger detta skydd – ett beslut som ofta hamnar hos inköp snarare än utvecklare (listans målgrupp). OWASP har som målsättning att kunna tillhandahålla eller rekommendera lösningar som bygger på öppen källkod, men frågan är ännu inte löst.

8 Cross-site Request Forgery (CSRF)
En CSRF-attack tvingar en inloggad användares webbläsare att skicka en falsk felaktig HTTP-begäran tillsammans med användarens autentiseringsinformation till en sårbar webbapplikation.

9 Användande av komponenter med kända sårbarheter
Systemen vi bygger använder ofta tiotals eller hundratals komponenter eller ramverk som tillverkas av tredjepart vilket innebär en svagaste länken-beroende. Trots att kända säkerhetsproblem och -fixar finns tillgängliga är det en stor utmaning för projekten att hålla sig uppdaterade.

10 Dåligt skyddade API:er
Team som bygger både backend och frontend (webb eller app) glömmer ofta att API:er blir publika och att det är mycket enkelt för en angripare att manipulera trafiken. Med det här tillägget vill OWASP uppmärksamma utvecklare på att det är ett väldigt vanligt misstag, men kritiker anser att det är för ospecifikt och vagt.

Läs mer om topplistan från OWASP.


Markus Örebrand och Magnus Hultdin berättade på OWASP North Swedens möte om säkerhetsrisker alla utvecklare bör känna till. 

Text avMikael Hansson
Foto avistockphoto/xijian
Publicerad

Fler nyheter om Omegapoint, OWASP och Swedbank IT

Se alla relaterade nyheter