This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "OWASP Proactive Controls Hebrew Translation"

From OWASP
Jump to: navigation, search
(Created page with "= Hebrew Translation = <div align="right">'''בקרות פרו-אקטיביות של OWASP'''</div> <div align="right">מרבית המפתחים שמעו על מסמך OWASP...")
 
(RTL)
Line 1: Line 1:
 
= Hebrew Translation =
 
= Hebrew Translation =
 
+
<div dir="rtl">
 
<div align="right">'''בקרות פרו-אקטיביות של OWASP'''</div>
 
<div align="right">'''בקרות פרו-אקטיביות של OWASP'''</div>
  
Line 427: Line 427:
 
|}
 
|}
 
<div align="right">מסמך זה תורגם ע"י אייל אסטרין</div>
 
<div align="right">מסמך זה תורגם ע"י אייל אסטרין</div>
 +
</div>

Revision as of 06:42, 31 March 2015

Hebrew Translation

בקרות פרו-אקטיביות של OWASP
מרבית המפתחים שמעו על מסמך OWASP Top 10, רשימת 10 פגיעויות האבטחה החמורות ביותר בעולם פיתוחי ה-Web, אשר יש להימנע מהן.
עם זאת, על-מנת להימנע מהן, מפתחים חייבים להיות מודעים לבקרות הפרו-אקטיביות על-מנת לשלבן בשלבים מוקדמים של מחזור חיי פיתוח תוכנה.
מסמך זה מתחיל בהצגת עשרת הבקרות הפרו-אקטיביות של OWASP, ולאחר מכן מספק מיפוי של עשרת הפגיעויות הנפוצות של OWASP למול הבקרות המתאימות.


רשימת הבקרות הפרו-אקטיביות של OWASP
לאילו פגיעויות מרשימת OWASP Top 10 הבקרה נותנת מענה
OWASP-C1 – שאילתות מבוססות משתנים
שאילתות מבוססות משתנים הינן דרך להשפיע על שכבת הגישה לנתונים מופשטים, כיצד משתנים מתורגמים לפני הרצת שאילתת SQL. הדבר מהווה הגנה מפני SQL injection.
מונע:
A1 – הזרקת קוד זדוני (Injection)
בעיות הזרקת קוד זדוני, כגון SQL injection קורות כאשר מידע לא מאומת נשלח לרכיב התרגום כחלק מפקודה או שאילתא.
OWASP-C2 – קידוד נתונים
קידוד נתונים לפני שימוש ב-Parser (JS, CSS, XML)
מונע:
A1 – הזרקת קוד זדוני (Injection)
בעיות הזרקת קוד זדוני, כגון SQL injection קורות כאשר מידע לא מאומת נשלח לרכיב התרגום כחלק מפקודה או שאילתא.


A3 – Cross-Site Scripting (XSS)
בעיות XSS קורות כאשר יישום לוקח מידע לא מאומת ושולח אותו לדפדפן ללא בדיקות קלט מתאימות. מתקפת XSS מאפשרת לתוקף להריץ סקריפטים בדפדפן המותקף, דבר אשר עשוי להוביל לגניבת מזהה המשתמש (user session), להשחית עמודי אינטרנט, או להפנות את המשתמש לאתרים המכילים קוד עוין.
OWASP-C3 – בדיקת קלטים
יש לקחת בחשבון את כל הקלט שמקורו מחוץ ליישום כבלתי אמין.
עבור יישומי Web, שימוש ב-HTTP Headers, Cookies, ומשתנים מסוג GET ו-POST: תוקף עשוי לנצל מידע זה לרעה.
מונע:
A1 – הזרקת קוד זדוני (Injection)
בעיות הזרקת קוד זדוני, כגון SQL injection קורות כאשר מידע לא מאומת נשלח לרכיב התרגום כחלק מפקודה או שאילתא.


A3 – Cross-Site Scripting (XSS)
בעיות XSS קורות כאשר יישום לוקח מידע לא מאומת ושולח אותו לדפדפן ללא בדיקות קלט מתאימות. מתקפת XSS מאפשרת לתוקף להריץ סקריפטים בדפדפן המותקף, דבר אשר עשוי להוביל לגניבת מזהה המשתמש (user session), להשחית עמודי אינטרנט, או להפנות את המשתמש לאתרים המכילים קוד עוין.


A10 – הפניות והעברות לא מאומתות
OWASP-C4 – יישם בקרות גישה מתאימות
Authorization (בקרת גישה) הינה מנגנון אשר בקשות גישה ליכולת או למשאב צריכה להינתן או להישלל.


להלן בקרות גישה "חיוביות" אשר אמורות להופיע כדרישות בשלבי התכנון הראשוניים של פיתוח יישומים:
  • הכרח את כל הבקשות לעבור דרך מנגנון המוודא בקרת גישה
  • יש לשלול גישה כברירת מחדל
  • הימנע משימוש במדיניות השמורה בצורה קשיחה (Hard-coded) ברמת הקוד
  • בדוק כל גישה לפונקציה בצד השרת


מונע:
A4 – אזכור ישיר לרכיב לא מאובטח
אזכור ישיר לרכיב קורה כאשר מפתח חושף אזכור לרכיב פנימי כגון קובץ, תיקייה או מפתח של בסיס נתונים.
ללא בקרת גישה או הגנה אחרת, תוקף עשוי לנצל לרעה אזכורים אלו על-מנת לגשת למידע ללא הרשאה מתאימה.


A7 – חוסר בבקרות גישה ברמת היישום
יישומים צריכים לבצע בדיקות בצד השרת עבור כל גישה לפונקציה.
במידה ובקשות אינן מאומתות, תוקף עשוי לזייף בקשות על-מנת לגשת ליכולות ללא בקרת גישה מתאימה.
OWASP-C5 – יישם בקרות זהות ואימות
אימות (Authentication) הינו מנגנון וידוא כי אדם או זהות הוא אכן מי שהוא טוען שהוא, כאשר ניהול זהות הינו נושא רחב יותר אשר כולל לא רק אימות מנגנון ניהול שיחה (session management), אלא מכסה גם נושאים מורכבים כגון איחוד זהויות, SSO, כלי ניהול סיסמאות, מאגרי זהויות ועוד
מונע:
A2 – הזדהות שבורה ומנגנון ניהול שיחה
יכולת של היישום הקשורה להזדהות ומנגנון ניהול שיחה (session management) לרוב אינן ממומשים כראוי, דבר המאפשר לתוקפים לפגום בסיסמאות, מפתחות או session tokens, או לנצל מימושים פגומים על-מנת להשיג זהות של משתמשים אחרים.
OWASP-C6 – הגן על מידע ופרטיות
הצפנת מידע בעת אחסון ובעת תעבורה ברשת
מונע:
A6 – חשיפת מידע רגיש
מידע רגיש דורש הגנה נוספת כגון הצפנה בעת אחסון או בתעבורה ברשת, וכן אמצעי זהירות בעת העברה לדפדפן.
OWASP-C7 – יישם תיעוד, טיפול בשגיאות ואמצעים לזיהוי חדירות
מונע:
A1 – הזרקת קוד זדוני (Injection)
A2 – הזדהות שבורה ומנגנון ניהול שיחה
A3 – Cross-Site Scripting (XSS)
A4 – אזכור ישיר לרכיב לא מאובטח
A5 – ניהול תצורה לא מאובטח
A6 – חשיפת מידע רגיש
A7 – חוסר בבקרת גישה ברמת היישום
A8 – Cross-Site Request Forgery (CSRF)
A9 – שימוש ברכיבים עם פגיעויות ידועות
A10 – הפניות והעברות לא מאומתות
OWASP-C8 – שימוש בתכונות אבטחה של מסגרות עבודה (Frameworks) וספריות (Libraries) אבטחה
להתחיל מאפס כשהדבר נוגע לפיתוח בקרות אבטחה עשוי להוביל לבזבוז זמן וכמות עצומה של חורי אבטחה.
פיתוח מאובטח של ספריות (Libraries) מסייע למפתחים להגן מפני פגמי אבטחה הקשורים לתכנון ומימוש של יישומים.
זה קריטי לשמור על מסגרות עבודה (Frameworks) וספריות (Libraries) מעודכנות.


לדוגמא:
  • בחר בסיס נתונים המיישם בצורה טובה Object relational mapping (ORM)
  • בחר מסגרת עבודה (Framework) המכילה מנגנוני בקרת גישה מובנים
  • בחר מסגרת עבודה (Framework) המכילה הגנות מובנות מפני מתקפת CSRF


מונע:
A1 – הזרקת קוד זדוני (Injection)
A2 – הזדהות שבורה ומנגנון ניהול שיחה
A3 – Cross-Site Scripting (XSS)
A4 – אזכור ישיר לרכיב לא מאובטח
A5 – ניהול תצורה לא מאובטח
A6 – חשיפת מידע רגיש
A7 – חוסר בבקרת גישה ברמת היישום
A8 – Cross-Site Request Forgery (CSRF)
A9 – שימוש ברכיבים עם פגיעויות ידועות
A10 – הפניות והעברות לא מאומתות
OWASP-C9 – כלול דרישות אבטחת מידע
חשוב לכלול דרישות אבטחת מידע בשלבים מוקדמים של מחזור חיי הפיתוח. קיימים שני סוגים של דרישות אבטחה:
  • דרישות פונקציונליות (יכולות גלויות וניתנות לבדיקות QA ביישום)
  • דרישות אשר אינן קשורות לפונקציונליות (יכולות חבויות/אינן בעלות יכולת בדיקה ע"י צוות ה-QA)
דרישות אבטחה כוללות:
  • דרישות לגבי חיסיון המידע
  • דרישות לגבי מהימנות המידע
  • דרישות לגבי אימות והרשאות
  • דרישה לגבי ביקורת וחיווי
  • דרישות לגבי מנגנון ניהול שיחה (session management)
  • דרישות לגבי שגיאות ומנגנוני החרגה (exception management)
  • דרישות לגבי הגדרת משתנים
  • דרישות לגבי היסטוריה/ארכיון
  • מגבלות הנוגעות לחוקים ותאימות לתקנים


מונע:
A1 – הזרקת קוד זדוני (Injection)
A2 – הזדהות שבורה ומנגנון ניהול שיחה
A3 – Cross-Site Scripting (XSS)
A4 – אזכור ישיר לרכיב לא מאובטח
A5 – ניהול תצורה לא מאובטח
A6 – חשיפת מידע רגיש
A7 – חוסר בבקרת גישה ברמת היישום
A8 – Cross-Site Request Forgery (CSRF)
A9 – שימוש ברכיבים עם פגיעויות ידועות
A10 – הפניות והעברות לא מאומתות
OWASP-C10 – תכנון וארכיטקטורה מאובטחים
שיקולי תכנון:
  • חיסיון המידע
  • זמינות
  • אימות
  • חיווי/בקרה
  • הרשאות מינימליות (Least privilege)
  • הפרדת תפקידים
  • הגנה בשכבות
  • הגנה מאובטחת מפני כשלון (Fail secure)


מונע:
A1 – הזרקת קוד זדוני (Injection)
A2 – הזדהות שבורה ומנגנון ניהול שיחה
A3 – Cross-Site Scripting (XSS)
A4 – אזכור ישיר לרכיב לא מאובטח
A5 – ניהול תצורה לא מאובטח
A6 – חשיפת מידע רגיש
A7 – חוסר בבקרת גישה ברמת היישום
A8 – Cross-Site Request Forgery (CSRF)
A9 – שימוש ברכיבים עם פגיעויות ידועות
A10 – הפניות והעברות לא מאומתות
מיפוי: עשרת הבקרות לעשרת הסיכונים


A1 – הזרקת קוד זדוני (Injection)


A2 – הזדהות שבורה ומנגנון ניהול שיחה


A3 – Cross-Site Scripting (XSS)


A4 – אזכור ישיר לרכיב לא מאובטח


A5 – ניהול תצורה לא מאובטח


A6 – חשיפת מידע רגיש


A7 – חוסר בבקרת גישה ברמת היישום


A8 – Cross-Site Request Forgery (CSRF)


A9 – שימוש ברכיבים עם פגיעויות ידועות


A10 – הפניות והעברות לא מאומתות
OWASP-C1 – שאילתות מבוססות משתנים
OWASP-C2 – קידוד נתונים
OWASP-C3 – בדיקת קלטים
OWASP-C4 – יישם בקרות גישה מתאימות
OWASP-C5 – יישם בקרות זהות ואימות
OWASP-C6 – הגן על מידע ופרטיות
OWASP-C7 – יישם תיעוד, טיפול בשגיאות ואמצעים לזיהוי חדירות
OWASP-C8 – שימוש בתכונות אבטחה של מסגרות עבודה (Frameworks) וספריות (Libraries) אבטחה
OWASP-C9 – כלול דרישות אבטחת מידע
OWASP-C10 – תכנון וארכיטקטורה מאובטחים
מסמך זה תורגם ע"י אייל אסטרין