Təsəvvür edin: saytınızı hazırlamağa aylarca vaxt sərf etdiniz. Gözəl dizayn, rahat interfeys, minlərlə istifadəçi. Və bir gün səhər oyanırsınız — müştərilərinizin bütün məlumatları artıq darknетdə satılır.

Kabusmu səslənir? Minlərlə şirkət üçün bu reallıqdır. Və əksər hallarda səbəb birdir — OWASP Top 10 siyahısındakı zəifliklər.

OWASP nədir və bu niyə hər kəs üçün vacibdir?

OWASP (Open Worldwide Application Security Project) — kibertəhdidləri öyrənən və veb tətbiqlərinin ən kritik 10 zəifliyinin siyahısını dərc edən qeyri-kommersiya təşkilatıdır. Bu siyahı sadəcə nəzəriyyə deyil. Minlərlə sındırma hadisəsindən toplanmış real hücum statistikasıdır.

Əgər siz developer, biznes sahibi, İT mütəxəssisi və ya sadəcə informasiya təhlükəsizliyi ilə maraqlanırsınızsa — bu siyahı divarınızda olmalıdır. Çünki hakerlər hər gün məhz bu boşluqlardan sistemlərə daxil olurlar.

#1 — Broken Access Control | Giriş Nəzarətinin Pozulması

Açar sözlər: giriş nəzarəti, avtorizasiya, istifadəçi məlumatlarının qorunması

Təsəvvür edin ki, bir oteldə hər qonaq öz kartındakı rəqəmi dəyişdirərək istənilən otağa girə bilir. Bu zəiflik məhz belə görünür.

İstifadəçi ünvan çubuğunda user?id=123-ü user?id=124-ə dəyişir — və başqasının profilini, məlumatlarını, sifarişlərini görür. Heç bir sındırma yoxdur, heç bir haker aləti yoxdur. Sadəcə bir rəqəm.

Tətbiqlərin 94%-ində giriş nəzarəti ilə bağlı ən azı bir problem var. Bu, OWASP 2023 məlumatlarına görə ən geniş yayılmış zəiflikdir.

#2 — Cryptographic Failures | Kriptoqrafik Uğursuzluqlar

Açar sözlər: məlumatların şifrlənməsi, HTTPS, parol sızması, parolların saxlanması

Parollarınız açıq mətnlə saxlanılır? Məlumatlar HTTPS olmadan ötürülür? Təbrik edirəm — hakerlərə hədiyyə edirsiniz.

RockYou şirkəti 32 milyon parolu açıq mətnlə saxlayırdı. Sındırıldıqdan sonra hamısı şəbəkəyə sızdı. O gündən bəri «rockyou.txt» dünya üzrə brute-force hücumları üçün ən sevimli fayldır. Bu 2009-cu ildə baş verdi. Amma şirkətlər hələ də eyni səhvi edir.

#3 — Injection | SQL-inyeksiya və digər inyeksiyalar

Açar sözlər: SQL inyeksiya, XSS, əmr inyeksiyası, verilənlər bazasının sındırılması

Janrın klassikası. SQL-inyeksiya 1998-ci ildən mövcuddur — və hələ də hücumların TOP-una daxildir.

Haker giriş sahəsinə istifadəçi adı əvəzinə ' OR '1'='1 daxil edir. Verilənlər bazası bunu əmr kimi oxuyur və parolsuz giriş açır. Bütün baza — müştəriləriniz, əməliyyatlar, şəxsi məlumatlar — onun əlindədir.

2019-cu ildə SQL-inyeksiya vasitəsilə Fortnite serverləri sındırıldı. 200 milyon oyunçunun hesabı təhlükə altına düşdü.

#4 — Insecure Design | Təhlükəsiz Olmayan Arxitektura

Açar sözlər: təhlükəsiz inkişaf, secure by design, tətbiq arxitekturası, DevSecOps

Bu, koddakı xəta deyil. Bu, dizayn mərhələsində developerin düşüncəsindəki xətadır.

Ev tikərkən qapılarda kilit nəzərdə tutmağı unutsanız — heç bir siqnalizasiya sonradan kömək etməz. Eynilə, əgər təhlükəsizlik əvvəldən arxitekturaya salınmayıbsa, heç bir patch xilas etməz.

«Gizli sual vasitəsilə parolu bərpa etmə» funksiyası — təhlükəsiz olmayan dizaynın tipik nümunəsidir. Haker sizi sosial şəbəkələrdə tapır, pişiyinizin adını öyrənir — və hesabınıza daxil olur.

#5 — Security Misconfiguration | Yanlış Konfiqurasiya

Açar sözlər: server təhlükəsizliyinin qurulması, defolt parollar, açıq portlar, bulud konfiqurasiyası

Bilirsiniz, dünyada hazırda neçə server admin login və admin parol ilə əlçatandır? Milyonlarla.

Defolt parametrlər, bağlanmamış portlar, prodakşendə test hesabları, verilənlər bazasının strukturunu açıqlayan ətraflı xəta mesajları — bunların hamısı cinayətkarlara hədiyyədir. 2017-ci ildə 147 milyon insanı əhatə edən Equifax məlumat sızması məhz yanlış konfiqurasiya edilmiş server səbəbindən baş verdi.

#6 — Vulnerable Components | Köhnəlmiş və Zəif Komponentlər

Açar sözlər: kitabxanaların yenilənməsi, zəif asılılıqlar, CVE, patch management

Layihənizdəki kitabxanaları heç vaxt yeniləmisiniz? Yox ​​isə — hakerlərin artıq bildiyi məlum zəifliklərə malik komponentlərdən istifadə edirsiniz.

Equifax ilə məhz bu baş verdi. Onlar məlum zəifliyi olan köhnəlmiş Apache Struts versiyasından istifadə edirdilər. Patch sındırılmadan iki ay əvvəl mövcud idi. Sadəcə yeniləmədilər. Nəticə — ABŞ tarixinin ən böyük məlumat sızması.

#7 — Authentication Failures | Autentifikasiya Uğursuzluqları

Açar sözlər: iki faktorlu autentifikasiya, brute force, zəif parollar, MFA, hesab təhlükəsizliyi

password123. qwerty. 123456. Bunlar hazırda milyonlarla insanın real parollarıdır.

Amma problem yalnız istifadəçilərdə deyil. Əgər tətbiq bloklanmadan minlərlə giriş cəhdinə icazə verirsə, mürəkkəb parol tələb etmirsə və iki faktorlu autentifikasiyanı dəstəkləmirsə — siz özünüz qapını açırsınız. 2012-ci ildə LinkedIn zəif hash səbəbindən 117 milyon parolu itirdi.

#8 — Software Integrity Failures | Məlumat Bütövlüyünün Pozulması

Açar sözlər: təchizat zəncirinə hücum, supply chain attack, zərərli yeniləmələr, CI/CD təhlükəsizliyi

Kompüterinizə gələn yeniləmələrə etibar edirsiniz? Etməlisiniz?

Əgər tətbiq imza yoxlanışı olmadan yeniləmələri yükləyirsə — haker onları öz zərərli kodu ilə əvəz edə bilər. SolarWinds-ə 2020-ci ildəki hücum məhz belə işlədi: yoluxdurulmuş yeniləmə ABŞ dövlət qurumları da daxil olmaqla 18 000 təşkilata göndərildi. Tarixdəki ən böyük kiberhücumlardan biri.

#9 — Logging Failures | Monitorinq və Qeydiyyatın Olmaması

Açar sözlər: təhlükəsizlik monitorinqi, SIEM, hadisə qeydiyyatı, müdaxilənin aşkarlanması, SOC

Bir şirkətdə sındırmanın aşkar edilməsinin orta müddəti 207 gündür. Təxminən yeddi ay haker sisteminizdə gəzir, heç kim heç nə fark etmir.

Niyə? Çünki heç kim loglara baxmır. Monitorinq yoxdur, bildiriş yoxdur, şübhəli fəaliyyətə reaksiya yoxdur. Sındırıcı özünü evdə hiss edir — sakitcə məlumatları kopyalayır, backdoor quraşdırır və istədiyi vaxt gedir.

#10 — SSRF | Server Tərəfli Sorğunun Saxtalaşdırılması

Açar sözlər: SSRF, server-side request forgery, daxili şəbəkə, bulud təhlükəsizliyi, AWS metadata

Siyahıda sonuncu — amma az təhlükəli deyil. Haker serverinizi getməməli olduğu yerə sorğu göndərməyə məcbur edir.

Saytınızdakı link önizləmə funksiyası: istifadəçi URL yapışdırır — server onu yükləyir. Haker xarici URL əvəzinə daxili şəbəkə ünvanını yapışdırır: http://192.168.1.1/admin. Server itaətkarcasına cavab verir — və daxili idarəetmə panelinizin məzmununu hakerə qaytarır. 2019-cu ildə SSRF vasitəsilə Capital One sındırıldı. 100 milyon müştərinin məlumatı sızdı.

Nəticə: bununla nə etməliyik?

OWASP Top 10 qorxutmaq üçün deyil. Bu, veb tətbiqlər yaradan və ya istifadə edən hər kəs üçün bir yol xəritəsidir. Bu zəifliklərin əksəriyyəti bilik, diqqət və bir az vaxt olduqda aradan qaldırıla bilər.

Əgər developer isinizsə — tətbiqinizi indi bu siyahı üzrə yoxlayın. Əgər biznes sahibisinizsə — İT mütəxəssislərinizə soruşun, hər bənddən qorunursunuzmu. Əgər kibertəhlükəsizliyi öyrənirsinizsə — OWASP Top 10 sizin ilk başlanğıc nöqtənizdir.

Pis xəbər: hakerlər sizin vaxt tapmanızı gözləmir.

«Kibertəhlükəsizlik satın alına bilən bir məhsul deyil. Bu, heç vaxt bitməyən bir prosesdir.» — Bruce Schneier, kibertəhlükəsizlik eksperti