Qiyaastii hal sano ka hor, anaga oo ah DataLine ayaa bilaabay si loo baadho loona falanqeeyo baylahda codsiyada IT-ga. Adeeggu wuxuu ku salaysan yahay xalka Qualys Cloud, oo ku saabsan hawlgalka kaas oo . Intii lagu guda jiray muddada sanadka ah ee la shaqeynta xalka, waxaan sameynay 291 baaritaanno goobo kala duwan iyo tirakoobyo uruurin oo ku saabsan dayacanka caadiga ah ee codsiyada webka.
Maqaalka hoose waxaan ku tusi doonaa sida saxda ah ee godadka amniga mareegaha ay ku qarsoon yihiin heerarka kala duwan ee muhiimka ah. Aynu aragno nuglaanta uu iskaankahu helay gaar ahaan inta badan, sababta ay u dhici karaan, iyo sida loo ilaaliyo naftaada.
Qualys wuxuu u qaybiyaa dhammaan baylahda codsiga shabakadda saddex heer oo muhiim ah: hoose, dhexe iyo sare. Haddii aad u fiirsato qaybinta "darnaanta", waxay u muuqataa in wax walba aysan aad u xumaan. Waxaa jira baylah yar oo leh heer sare oo muhiim ah, inta badan dhamaantood waa kuwo aan muhiim ahayn:
Laakiin aan la dhaleecayn macnaheedu maaha dhib la'aan. Waxay sidoo kale keeni karaan dhaawac halis ah.
Dayacanka "aan muhiimka ahayn" ee ugu sarreeya
- Nugul nuglaanta.
Halbeegga amniga mareegaha waa wareejinta xogta u dhaxaysa macmiilka iyo serferka iyada oo la adeegsanayo borotokoolka HTTPS, kaas oo taageera sirta oo ka ilaaliya macluumaadka dhexda.
Goobaha qaar ayaa isticmaala content isku dhafan: Xogta qaar waxaa lagu gudbiyaa hab-maamuuska HTTP oo aan ammaan ahayn. Sidan ayaa inta badan loo gudbiyaa nuxur dadban - macluumaadka saameeya kaliya bandhigga goobta: sawirro, qaababka css. Laakiin mararka qaarkood sidaan ayaa lagu kala qaadaa content firfircoon: qoraallada xakameynaya hab-dhaqanka goobta. Xaaladdan oo kale, adigoo isticmaalaya software gaar ah, waxaad ku falanqeyn kartaa macluumaadka leh nuxurka firfircoon ee ka imanaya server-ka, wax ka beddelka jawaabahaaga duulimaadka oo ka dhig mashiinka inuu u shaqeeyo hab aan loogu talagalin abuurayaashiisa.
Noocyada cusub ee daalacashada ayaa uga digaya isticmaalayaasha in boggaga leh waxyaabaha isku dhafan ay yihiin kuwo aan badbaado lahayn oo ay xannibaan waxa ku jira. Soosaarayaasha mareegaha sidoo kale waxay ka helaan digniinaha biraawsarkaaga console-ka. Tusaale ahaan, tani waa sida ay u muuqato :
Maxaa khatar ahWeeraryahanadu waxay adeegsadaan hab-maamuus aan ammaan ahayn si ay u dhexgalaan macluumaadka isticmaalaha, beddelaan qoraallada oo ay codsiyo ugu soo diraan goobta iyagoo wakiil ka ah. Xitaa haddii booqdaha goobta uusan gelin xogta, tani kama ilaalinayso isaga phishing - Helitaanka macluumaadka qarsoodiga ah iyadoo la adeegsanayo habab khiyaano ah. Tusaale ahaan, adigoo isticmaalaya qoraal, waxaad u wareejin kartaa isticmaalaha goob aan ammaan ahayn oo iska dhigaysa mid uu yaqaan isticmaaluhu. Xaaladaha qaarkood, goobta xaasidnimadu waxay u muuqataa xitaa ka sii fiican marka loo eego asalka, isticmaaluhuna wuu buuxin karaa foomka laftiisa oo wuxuu soo gudbin karaa xog sir ah.Maxay tahay horumariyaha webka inuu xasuustoXataa haddii maamulaha goobta uu rakibay oo habeeyay shahaadada SSL/TLS, baylahda ayaa laga yaabaa inay soo baxdo khaladka aadanaha. Tusaale ahaan, haddii mid ka mid ah boggaga aadan dhigin xiriiriye qaraabo ah, laakiin xiriir buuxa oo ka socda http, iyo sidoo kale ma aadan dejin dib-u-habeyn ka yimid http ilaa https.
Waxaad ku ogaan kartaa waxyaabaha isku dhafan ee goobta adigoo isticmaalaya browser-ka: ka raadi koodhka isha ee bogga, akhri ogeysiisyada console-ka horumariyaha. Si kastaba ha ahaatee, horumariyahu waxa uu ku qasbanaan doonaa in uu koodka wax ka beddelo muddo dheer oo caajis ah. Waxaad ku dadajin kartaa habka adoo isticmaalaya qalab falanqayn oo toos ah, tusaale ahaan: , Software Lighthouse oo lacag la'aan ah ama software lacag leh oo qaylinaya Frog SEO Spider.
Sidoo kale, nuglaanta ayaa laga yaabaa inay soo baxdo iyadoo ay ugu wacan tahay dhibaatooyinka koodka dhaxalka - koodka la dhaxlo. Tusaale ahaan, haddii boggaga qaar la soo saaro iyadoo la adeegsanayo qaab-dhismeed hore, taas oo aan xisaabta ku darin u wareejinta goobaha https.
- Kukiyada aan lahayn calanka "HTTPOnly" iyo "ammaan".
Sifada "HTTPOnly" waxay ka ilaalisaa cookies-ka in lagu farsameeyo qoraallada ay weeraryahannada u adeegsadaan inay xadaan xogta isticmaalaha. Calanka "ammaan" ma ogola in kuukiiska lagu soo diro qoraal cad. Isgaarsiinta waxaa la ogolaan doonaa kaliya haddii nidaamka HTTPS ee sugan loo isticmaalo in lagu diro cookies.
Labada sifo ayaa lagu qeexay guryaha buskudka:
Set-Cookie: Secure; HttpOnlyMaxaa khatar ah: Haddii horumariyaha goobta uusan cayimin sifooyinkan, weeraryahanku waxa uu faragelin karaa macluumaadka isticmaalaha buskudka oo ka faa'iidaysan karo. Haddii buskudka loo isticmaalo xaqiijinta iyo oggolaanshaha, wuxuu awoodi doonaa inuu afduubo fadhiga isticmaalaha oo uu sameeyo ficillo goobta isagoo magaciisa ku hadlaya.
Maxay tahay horumariyaha webka inuu xasuusto: Sida caadiga ah, qaab-dhismeedka caanka ah sifooyinkan si toos ah ayaa loo dejiyaa. Laakin wali hubi qaabaynta server-ka shabakada oo deji calanka: Ku-kukiga HttpOnly; Aamin.
Xaaladdan oo kale, sifada "HTTPOnly" waxay ka dhigi doontaa cookies aan la arki karin JavaScript kaaga.
- Nuglaanta Ku Salaysan Waddada.
Sawir-qaaduhu waxa uu soo tebiyaa baylahda noocaas ah haddii uu helo fayl si guud loo heli karo ama hagaha degelka oo wata xog sir ah oo suurtagal ah. Tusaale ahaan, waxay ogaanaysaa faylalka habaynta nidaamka shakhsi ahaaneed ama gelitaanka nidaamka faylka oo dhan. Xaaladdan waa suurtagal haddii xuquuqaha gelitaanka si khaldan loogu dejiyo goobta.
Maxaa khatar ah: Haddii nidaamka faylalka "ku dhego", weeraryahanku wuxuu ku dhici karaa nidaamka hawlgalka interface wuxuuna isku dayi karaa inuu helo faylalka sirta ah haddii lagu kaydiyo qoraal cad (ha samaynin!). Ama waxaad xaddi kartaa hashes-ka sirta ah oo aad ku qasbi kartaa erayga sirta ah, sidoo kale waxaad isku daydaa inaad kor u qaaddo mudnaanta nidaamka oo aad si qoto dheer u gasho kaabayaasha.
Maxay tahay horumariyaha webka inuu xasuusto: Ha iloobin xuquuqaha gelitaanka oo habee madal, server-ka shabakadda, codsiga shabakadda si aanay suurtogal u ahayn in "laga baxsado" tusaha shabakadda.
- Foomamka gelitaanka xogta xasaasiga ah oo si toos ah loo buuxiyo.
Haddii isticmaaluhu uu si joogta ah u buuxiyo foomamka mareegaha, browserkoodu wuxuu kaydiyaa macluumaadkan isagoo isticmaalaya qaabka autofill.
Foomamka ku yaal mareegaha waxaa ku jiri kara goobo leh macluumaad xasaasi ah, sida furaha sirta ah ama lambarrada kaararka deynta. Goobahaas oo kale, waxaa habboon in la joojiyo shaqada foomka autofill ee goobta lafteeda.
Maxaa khatar ah: Haddii browser-ka isticmaalaha uu kaydiyo macluumaadka xasaasiga ah, qofka wax weeraraya ayaa hadhow ka qaban kara, tusaale ahaan isagoo isticmaalaya phishing. Nuxur ahaan, horumariye mareegaha oo iloobay nuancekan ayaa dejinaya isticmaalayaashiisa.
Maxay tahay horumariyaha webka inuu xasuustoXaaladdan oo kale, waxaan leenahay iskahorimaad caadi ah: ku habboonaanta vs ammaanka. Haddii horumariyaha webka uu ka fekerayo khibrada isticmaalaha, wuxuu si miyir leh u dooran karaa autocomplete. Tusaale ahaan, haddii ay muhiim tahay in la raaco - talooyinka gelitaanka macluumaadka isticmaalayaasha naafada ah.
Inta badan daalacashada, waxaad joojin kartaa dhammaystirka otomaatiga ah sifada autocompete="off", tusaale ahaan:
<body> <form action="/so/form/submit" method="get" autocomplete="off"> <div> <input type="text" placeholder="First Name"> </div> <div> <input type="text" id="lname" placeholder="Last Name" autocomplete="on"> </div> <div> <input type="number" placeholder="Credit card number"> </div> <input type="submit"> </form> </body>Laakiin uma shaqayn doonto Chrome. Tani waa la hareer maray iyadoo la adeegsanayo JavaScript, kala duwanaanshiyaha cuntada ayaa la heli karaa .
- Madaxa X-Frame-Options laguma dejin summada goobta.
Madax Tani waxay saamaysaa jir, iframe, gundhig, ama calaamadaha shayga. Caawinteeda, waxaad si buuxda u mamnuuci kartaa in goobtaada lagu dhex daro fareemo. Si tan loo sameeyo, waxaad u baahan tahay inaad qeexdo qiimaha X-Frame-Options: diido. Ama waxaad cayimi kartaa X-Frame-Options: sameorigin, ka dib ku-gelinta iframe waxa kaliya oo laga heli karaa boggaaga.
Maxaa khatar ahMaqnaanshaha madaxa noocan oo kale ah waxaa loo isticmaali karaa goobaha xaasidnimada ah gujisasho. Weerarkan, weeraryahanku waxa uu badhamada dushiisa ku abuuraa qaab hufan oo uu khiyaameeyo isticmaalaha. Tusaale ahaan: khayaanada waxay ku sameeyaan boggaga xidhiidhka bulshada ee mareegaha. Isticmaaluhu wuxuu u malaynayaa inuu riixayo badhanka boggan. Taa baddalkeeda, gujinta waa la qabtaa waxaana codsiga isticmaalaha loo diraa shabakada bulshada halkaas oo uu jiro fadhi firfircoon. Tani waa sida ay weerarayaashu u soo diraan spam iyaga oo ka wakiil ah isticmaalaha ama kasbada macaamiishooda iyo kuwa jecel.
Haddii aadan joojin sifadan, qofka wax weeraraya wuxuu dhigi karaa badhanka codsigaaga goob xaasidnimo ah. Waxaa laga yaabaa inuu xiiseynayo barnaamijkaaga tixraaca ama isticmaalayaashaada.
Maxay tahay horumariyaha webka inuu xasuustoNuglaanta ayaa laga yaabaa inay dhacdo haddii X-Frame-Options oo leh qiime is khilaafaya lagu dejiyay server-ka mareegaha ama culeyska culeyska. Xaaladdan oo kale, server-ka iyo xisaabiyaha ayaa si fudud dib u qori doona madaxa, maadaama ay leeyihiin mudnaan sare marka loo eego koodhka dhabarka.
Diidmada iyo isku midka ah qiyamka madaxa X-Frame-Options waxay faragelin doontaa hawlgalka daawashada shabakadda Yandex. Si aad ugu oggolaato isticmaalka iframes ee daawadayaasha shabakadda, waxaad u baahan tahay inaad ku qorto xeer gaar ah goobaha. Tusaale ahaan, nginx waxaad u habeyn kartaa sidan:
http{ ... map $http_referer $frame_options { "~webvisor.com" "ALLOW-FROM http://webvisor.com"; default "SAMEORIGIN"; } add_header X-Frame-Options $frame_options; ... } - PRSSI (soo dejinta qaab-qaraabo dariiqa) dayacan
Tani waa u nuglaanshaha habaynta goobta. Waxay dhacdaa haddii xidhiidhada qaraabada ah sida href="/so/somefolder/styles.css/" loo isticmaalo gelitaanka faylalka qaabka. Weeraryahanku wuu ka faa'iidaysan doonaa kan haddii ay helaan hab ay isticmaaluhu ugu jiheeyaan bog xaasidnimo ah. Boggu wuxuu gelin doonaa xiriiriye qaraabo ah urlkiisa wuxuuna u ekaan doonaa wicitaanka qaababka. Waxaad heli doontaa codsi sida badsite.ru/.../somefolder/styles.css/, kaas oo samayn kara ficilo xaasidnimo ah iyadoo la qarinayo qaabka.
Maxaa khatar ah: Khayaanada ayaa ka faa'iidaysan karta nuglaantan haddii ay helaan dalool kale oo ammaan ah. Natiijo ahaan, waxaa suurtagal ah in laga xado xogta isticmaalaha cookies ama calaamadaha.
Maxay tahay horumariyaha webka inuu xasuusto: U deji cinwaanka X-Content-Nooc-Options: nosniff. Xaaladdan oo kale, browserku wuxuu hubin doonaa nooca nuxurka qaababka. Haddii nooca uu yahay aan ahayn qoraal/css, browserku wuu xannibi doonaa codsiga.
Nuglaanta halista ah
- Bog leh meel sirta ah ayaa laga soo gudbiyaa server-ka kanaal aan ammaan ahayn (Foomka HTML oo ka kooban garoommada sirta ah ayaa lagu siidaayaa HTTP).
Jawaabta serferka ee kanaalka aan qarsoodiga ahayn ayaa u nugul weerarrada "Ninka dhexda ku jira". Weeraryahanku waxa uu dhex geli karaa taraafigga oo kala dhex geli karaa macmiilka iyo serferka marka bogga uu ka soo socdaalayo serverka una socdo macmiilka.
Maxaa khatar ah: Khayaanada ayaa awoodi doonta in ay badasho bogga oo u soo dirto isticmaalaha foom xog sir ah, kaas oo aadi doona server-ka weerarka.
Maxay tahay horumariyaha webka inuu xasuusto: Goobaha qaarkood waxay u soo diraan isticmaalayaasha kood hal mar ah emaylka/telefoonka halkii ay ka ahaan lahaayeen furaha sirta ah. Xaaladdan oo kale, baylahdu maaha mid aad u daran, laakiin habka ayaa adkeyn doona nolosha isticmaalayaasha.
- Udiraya foom leh login iyo erayga sirta ah ee kanaalka aan sugnayn (Foomka Galitaanka Laguma Gudbin HTTPS).
Xaaladdan oo kale, foom wata login iyo erayga sirta ah ayaa laga soo diraa isticmaalaha si ay u sii maraan kanaal aan qarsoodi ahayn.
Maxaa khatar ahSi ka duwan kiiskii hore, tani mar horeba waa baylahda halista ah. Way fududahay in la dhexgalo xogta xasaasiga ah sababtoo ah xitaa uma baahnid inaad qorto kood si aad u sameyso.
- Isticmaalka maktabadaha JavaScript ee leh baylahda la yaqaan.
Inta lagu jiro iskaanka, maktabadda inta badan la isticmaalay waxay ahayd jQuery oo leh tiro badan oo noocyo ah. Nooc kastaa wuxuu leeyahay ugu yaraan hal, ama xitaa in ka badan, baylahda la yaqaan. Saameyntu aad ayey u kala duwanaan kartaa iyadoo ku xiran nooca baylahda.
Maxaa khatar ahWaxaa jira faa'iidooyin loo isticmaalo dayacanka la yaqaan, tusaale ahaan:
Maxay tahay horumariyaha webka inuu xasuustoSi joogta ah ugu soo celi wareegga: raadi dayacanka la yaqaan - hagaajin - hubi. Haddii aad si ula kac ah u isticmaasho maktabadaha dhaxalgalka ah, tusaale ahaan si aad u taageerto daalacayaasha duugga ah ama aad lacag u kaydsato, raadi fursad aad ku hagaajin karto dayacanka la yaqaan. - Qoraal-goobeedka-goobta (XSS).
Qoraal-qorista-goobta (XSS), ama qoraal-qorista-goobaha, waa weerar lagu qaado arjiga shabakadda taasoo keenta in malware-ka la geliyo kaydka xogta. Haddii Qualys uu helo nuglaantan oo kale, waxay la macno tahay in qofka wax soo weeraraya uu awoodo ama uu horayba u soo bandhigay qoraalkiisa js ee koodhka goobta si uu u sameeyo falal xaasidnimo ah.kaydsan XSS khatar badan, maadaama qoraalka uu ku dhex jiro server-ka oo la fuliyo mar kasta oo bogga la weeraray laga furo browserka.
XSS ka tarjumay fududahay in la fuliyo maadaama qoraalka xaasidnimada leh lagu duri karo codsiga HTTP. Codsigu wuxuu heli doonaa codsi HTTP ah, ma ansixin doono xogta, wuu xidhi doonaa, oo isla markiiba soo diri doonaa. Haddi uu weeraryahan dhexda u galo taraafikada oo uu geliyo qoraal sida
<script>/*+ΡΡΠΎ+ΡΠΎ+ΠΏΠ»ΠΎΡ ΠΎΠ΅+*/</script>ka dib codsi xaasidnimo ah ayaa loo soo diri doonaa iyadoo wakiil ka ah macmiilka.
Tusaalaha cajiibka ah ee XSS: js sniffers oo u ekaysiiya boggaga gelitaanka CVC, taariikhda uu dhacayo kaadhka, iyo wixii la mid ah.
Maxay tahay horumariyaha webka inuu xasuusto: Madaxa Content-Security-Policy, isticmaal sifada script-src si aad ugu qasbi browserka macmiilka inuu soo dejiyo oo fuliyo koodka isha la aamini karo. Tusaale ahaan, script-src 'self' wuxuu liis gareeyaa dhammaan qoraallada goobtayada oo keliya.
Habka ugu fiican ayaa ah nambarka khadka: kaliya u ogolow javascript-ka inline-ka adoo isticmaalaya qiimaha khadka-la-ammaanka ah. Qiimahani wuxuu ogolaanayaa isticmaalka inline js/css, laakiin ma mamnuucayo ku darida js files. Marka lagu daro script-src 'self' waxaan ka joojinaa qoraallada dibadda in la fuliyo.Hubi inaad wax walba gasho adigoo isticmaalaya report-uri oo eeg isku dayada lagu hirgalinayo goobta.
- irbado SQL.
Nuglaanta waxay tusinaysaa suurtogalnimada in koodka SQL lagu duro mareegaha si toos ah u gelaya xogta mareegaha. Cirbadeynta SQL waa suurtagal haddii xogta isticmaaluhu aan la baarin: lama hubin saxnaanta isla markiiba waxaa loo adeegsadaa weydiinta. Tusaale ahaan, tani waxay dhacdaa haddii foom ku yaal bogga mareegaha aanu hubin in wax gelinta ahi ku habboon tahay nooca xogta.Maxaa khatar ah: Haddii weerarku galo su'aal SQL foomkan, wuu burburin karaa xogta ama wuxuu muujin karaa macluumaadka sirta ah.
Maxay tahay horumariyaha webka inuu xasuusto: Ha aaminin waxa ka imanaya browserka. Waxaad u baahan tahay inaad naftaada ka ilaaliso dhinaca macmiilka iyo dhinaca server-ka labadaba.
Dhinaca macmiilka, ku qor ansaxinta goobta adoo isticmaalaya JavaScript.
Hawlaha lagu dhex dhisay qaab-dhismeedka caanka ah waxay kaloo caawiyaan inay ka baxsadaan jilayaasha shakiga leh ee server-ka. Waxa kale oo lagu talinayaa in la isticmaalo su'aalaha xogta kaydinta ee server-ka.
Go'aami meesha saxda ah ee isdhexgalka xogta xogta ay ka dhacayso codsiga shabakada.
Isdhexgalku wuxuu yimaadaa marka aan helno macluumaad kasta: codsi wata aqoonsi (isbeddelka aqoonsiga), abuurista isticmaale cusub, faallo cusub, ama gelis cusub oo kaydka ah. Tani waa meesha cirbadaha SQL ay ka dhici karaan. Xitaa haddii aan ka tirtirno diiwaanka kaydka, SQL duritaanka waa suurtagal.
Talooyinka guud
Dib ha u soo kicin giraangiraha - isticmaal qaab-dhismeedka la xaqiijiyay. Sida caadiga ah, qaababka caanka ah ayaa aad u ammaan badan. Loogu talagalay NET - ASP.NET MVC iyo ASP.NET Core, loogu talagalay Python - Django ama Flask, loogu talagalay Ruby - Ruby on Rails, loogu talagalay PHP - Symfony, Laravel, Yii, loogu talagalay JavaScript - Node.JS-Express.js, loogu talagalay Java - Guga MVC.
Lasoco wararka iibiyaha oo si joogto ah u cusboonaysii. Waxay heli doonaan nuglaansho, dabadeed qori ka faa'iidaysi, ka dhigi doona mid si cad loo heli karo, wax walbana mar kale ayay dhici doonaan. Isdiiwaangeli si aad u hesho noocyada xasilloon ee iibiya software-ka.
Hubi xuquuqaha gelitaanka. Dhinaca server-ka, had iyo jeer ula dhaqmaan koodhkaaga sida haddii, laga bilaabo warqadda ugu horeysa, oo uu qoray cadowgaaga aadka u neceb, kaas oo raba inuu jebiyo goobtaada, ku xadgudbo daacadnimada xogtaada. Waxaa intaa dheer, mararka qaarkood tani waa run.
Isticmaal clones, goobaha tijaabi, ka dibna u isticmaal wax soo saarka. Tani waxay kaa caawin doontaa, marka hore, si looga fogaado khaladaadka iyo khaladaadka jawi wax soo saar leh: jawi wax soo saar leh wuxuu keenaa lacag, jawi sahlan oo wax soo saar leh ayaa muhiim ah. Marka lagu daro, hagaajinayo ama la xirayo dhibaato kasta, waxaa habboon in laga shaqeeyo jawi tijaabo ah, ka dibna la hubiyo shaqeynta iyo dayacanka la helay, ka dibna la qorsheynayo in lala shaqeeyo deegaanka wax soo saarka.
Ku ilaali codsigaaga shabakada oo ku daraan warbixinnada iskaanka dayacanka. Tusaale ahaan, DataLine waxay isticmaashaa Qualys iyo FortiWeb xidhmo adeegyo ah.
Source: www.habr.com