Nội dung bài viết
Video học lập trình mỗi ngày
Nhắc đến Owasp hay Owasp top 10 thì có thể nhiều bạn đang đọc ở đây không hiểu gì nhiều, hay nói cách khác phũ hơn đó là chưa bao giờ nghe những cụm từ này. Bài này sẽ giới thiệu tổng quan, và nên đọc trước lúc đi ngủ để có hiệu quả hơn. Chứ đang làm việc hay đang tập trung lướt facebook thì khó có thể nhập tâm được. Chính vì vậy để đạt hiệu quả cáo thì nên đọc trước khi đi ngủ nhé mấy bạn dev.
Các bạn cũng có thể đọc tài liệu gốc của cộng đồng ở đây, hay có thể đọc nhiều bản đã được dịch sang các tiếng khác như Pháp, Ý, Trung Quốc ở đây... Ở trong tài liệu gốc sẽ có nhiều mục và tôi sẽ tóm lượt lại những mục chính mà tôi cần hiểu và cũng đủ để các bạn hiểu như tôi. Nhớ nhé, đọc chậm và kỹ, trước khi đi ngủ.
Top 10 OWASP là gì?
OWASP Top 10 là tiêu chuẩn tham chiếu cho các rủi ro bảo mật ứng dụng web quan trọng nhất. Việc chấp nhận theo dõi OWASP Top 10 có lẽ là bước đầu tiên hiệu quả và tiết kiệm nhất để thay đổi văn hóa phát triển phần mềm của bạn hay công ty của bạn, tập trung vào việc tạo ra những cơ chế bảo mật cho ứng dụng - Theo OWASP.
Để tôi giải thích một chút, vì theo nguyên văn đôi lúc dịch qua Tiếng Việt nó trật ý nghĩa. Đầu tiên khi quản lý một hệ thống (web + app) điều quan trọng là phải luôn theo dõi các rủi ro và lỗ hổng bảo mật quan trọng nhất đối với bất kỳ doanh nghiệp nào liên quan đến internet. Cần theo dõi hành vi và gửi log error quan trọng như thế nào thì bài trước đã nói khá rõ. Chính vì nó quyết định nhiều yếu tố quan trong nên top 10 OWASP 2020 là một điểm khởi đầu tốt để giúp chúng ta những lập trình viên nhận thức được các mối đe dọa từ mọi thành phần.
Owasp là gì?
OWASP là viết tắt của Open Web Application Security Project, là một cộng đồng trực tuyến cung cấp các bài viết, phương pháp, tài liệu, công cụ và công nghệ trong lĩnh vực bảo mật ứng dụng Web.
The Open Web Application Security Project, hay còn gọi tắt là OWASP. là một tổ chức phi lợi nhuận quốc tế chuyên về bảo mật ứng dụng web. Một trong những nguyên tắc cốt lõi của OWASP là tất cả các tài liệu của họ đều có sẵn miễn phí và dễ dàng truy cập trên trang web của họ, giúp mọi người có thể cải thiện tính bảo mật của ứng dụng web của họ. Các tài liệu họ cung cấp bao gồm tài liệu, công cụ, video và diễn đàn. Có lẽ dự án nổi tiếng nhất của họ là OWASP Top 10 như đã nói ở trên. Sau đây là 10 lỗ hổng hàng đầu của OWASP vào năm 2021 là:
Injection - Chèn kí hiệu vào sql là phổ biến
Broken Authentication - Xác thực không thành công và quản lý phiên
Sensitive Data Exposure - Rò rỉ thông tin nhạy cảm
XML External Entities (XXE) - Tấn công chèn thực thể bên ngoài XML (XXE)
Broken Access Control - Kiểm soát truy cập
Security Misconfiguration: - Cấu hình sai quy trình bảo mật
Cross-Site Scripting XSS - Tập lệnh trên nhiều trang web (XSS)
Insecure Deserialization - Không an toàn
Using Components with Known Vulnerabilities - Sử dụng các Components đã có lịch sử bảo mật rò rỉ
Insufficient Logging & Monitoring - Ghi nhật ký và giám sát không đầy đủ
Trên đó là Owasp top 10 đưa ra cho chúng ta tham chiếu và ưu tiên phòng chống bảo mật ở level nào là cần thiết. Các bạn hãy chú ý, đến năm 2021 Injection nó vẫn nằm top 1. Quả là ghê gớm. Nói sơ qua, Injection xuất hiện vào năm 2003. Cụ thể hơn và gần hơn đó chính là SQL Injection.
SQL Injection là gì?
Thật sự là bài viết đã quá đủ, thế nhưng nhiệm vụ của tôi là sẽ làm rõ cho các bạn 10 lỗ hổng trên một cách rõ ràng và quan trọng là cách phòng chống nó ra sao? Mọi điều sẽ được làm sáng tỏ ở bai viết tiếp theo. Ngoài ra, quan trọng là chúng tôi đã nói rõ hướng đi làm thế nào để hiện thị lỗi javascript khi người dùng đang thao tác ở bài viết trước, và khi chúng ta đã check được error javascript rồi thì chuyển dữ liệu lỗi đó về Server bằng cách nào thì tất cả có ở phần trước. Cố gắng đọc đi, được nhiều nhưng sẽ không mất thứ gì.
Chào! anonystick!