This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "OWASP Proactive Controls Hebrew Translation"
From OWASP
(Created page with "= Hebrew Translation = <div align="right">'''בקרות פרו-אקטיביות של OWASP'''</div> <div align="right">מרבית המפתחים שמעו על מסמך OWASP...") |
Avi Douglen (talk | contribs) (RTL) |
||
Line 1: | Line 1: | ||
= Hebrew Translation = | = Hebrew Translation = | ||
− | + | <div dir="rtl"> | |
<div align="right">'''בקרות פרו-אקטיביות של OWASP'''</div> | <div align="right">'''בקרות פרו-אקטיביות של OWASP'''</div> | ||
Line 427: | Line 427: | ||
|} | |} | ||
<div align="right">מסמך זה תורגם ע"י אייל אסטרין</div> | <div align="right">מסמך זה תורגם ע"י אייל אסטרין</div> | ||
+ | </div> |
Revision as of 06:42, 31 March 2015
Hebrew Translation
בקרות פרו-אקטיביות של OWASP
מרבית המפתחים שמעו על מסמך OWASP Top 10, רשימת 10 פגיעויות האבטחה החמורות ביותר בעולם פיתוחי ה-Web, אשר יש להימנע מהן.
עם זאת, על-מנת להימנע מהן, מפתחים חייבים להיות מודעים לבקרות הפרו-אקטיביות על-מנת לשלבן בשלבים מוקדמים של מחזור חיי פיתוח תוכנה.
מסמך זה מתחיל בהצגת עשרת הבקרות הפרו-אקטיביות של OWASP, ולאחר מכן מספק מיפוי של עשרת הפגיעויות הנפוצות של OWASP למול הבקרות המתאימות.
רשימת הבקרות הפרו-אקטיביות של OWASP
|
לאילו פגיעויות מרשימת OWASP Top 10 הבקרה נותנת מענה
|
OWASP-C1 – שאילתות מבוססות משתנים
שאילתות מבוססות משתנים הינן דרך להשפיע על שכבת הגישה לנתונים מופשטים, כיצד משתנים מתורגמים לפני הרצת שאילתת SQL. הדבר מהווה הגנה מפני SQL injection.
|
מונע:
A1 – הזרקת קוד זדוני (Injection)
בעיות הזרקת קוד זדוני, כגון SQL injection קורות כאשר מידע לא מאומת נשלח לרכיב התרגום כחלק מפקודה או שאילתא.
|
OWASP-C2 – קידוד נתונים
קידוד נתונים לפני שימוש ב-Parser (JS, CSS, XML)
|
מונע:
A1 – הזרקת קוד זדוני (Injection)
בעיות הזרקת קוד זדוני, כגון SQL injection קורות כאשר מידע לא מאומת נשלח לרכיב התרגום כחלק מפקודה או שאילתא.
A3 – Cross-Site Scripting (XSS)
בעיות XSS קורות כאשר יישום לוקח מידע לא מאומת ושולח אותו לדפדפן ללא בדיקות קלט מתאימות. מתקפת XSS מאפשרת לתוקף להריץ סקריפטים בדפדפן המותקף, דבר אשר עשוי להוביל לגניבת מזהה המשתמש (user session), להשחית עמודי אינטרנט, או להפנות את המשתמש לאתרים המכילים קוד עוין.
|
OWASP-C3 – בדיקת קלטים
יש לקחת בחשבון את כל הקלט שמקורו מחוץ ליישום כבלתי אמין.
עבור יישומי Web, שימוש ב-HTTP Headers, Cookies, ומשתנים מסוג GET ו-POST: תוקף עשוי לנצל מידע זה לרעה.
|
מונע:
A1 – הזרקת קוד זדוני (Injection)
בעיות הזרקת קוד זדוני, כגון SQL injection קורות כאשר מידע לא מאומת נשלח לרכיב התרגום כחלק מפקודה או שאילתא.
A3 – Cross-Site Scripting (XSS)
בעיות XSS קורות כאשר יישום לוקח מידע לא מאומת ושולח אותו לדפדפן ללא בדיקות קלט מתאימות. מתקפת XSS מאפשרת לתוקף להריץ סקריפטים בדפדפן המותקף, דבר אשר עשוי להוביל לגניבת מזהה המשתמש (user session), להשחית עמודי אינטרנט, או להפנות את המשתמש לאתרים המכילים קוד עוין.
A10 – הפניות והעברות לא מאומתות
|
OWASP-C4 – יישם בקרות גישה מתאימות
Authorization (בקרת גישה) הינה מנגנון אשר בקשות גישה ליכולת או למשאב צריכה להינתן או להישלל.
להלן בקרות גישה "חיוביות" אשר אמורות להופיע כדרישות בשלבי התכנון הראשוניים של פיתוח יישומים:
|
מונע:
A4 – אזכור ישיר לרכיב לא מאובטח
אזכור ישיר לרכיב קורה כאשר מפתח חושף אזכור לרכיב פנימי כגון קובץ, תיקייה או מפתח של בסיס נתונים.
ללא בקרת גישה או הגנה אחרת, תוקף עשוי לנצל לרעה אזכורים אלו על-מנת לגשת למידע ללא הרשאה מתאימה.
A7 – חוסר בבקרות גישה ברמת היישום
יישומים צריכים לבצע בדיקות בצד השרת עבור כל גישה לפונקציה.
במידה ובקשות אינן מאומתות, תוקף עשוי לזייף בקשות על-מנת לגשת ליכולות ללא בקרת גישה מתאימה.
|
OWASP-C5 – יישם בקרות זהות ואימות
אימות (Authentication) הינו מנגנון וידוא כי אדם או זהות הוא אכן מי שהוא טוען שהוא, כאשר ניהול זהות הינו נושא רחב יותר אשר כולל לא רק אימות מנגנון ניהול שיחה (session management), אלא מכסה גם נושאים מורכבים כגון איחוד זהויות, SSO, כלי ניהול סיסמאות, מאגרי זהויות ועוד
|
מונע:
A2 – הזדהות שבורה ומנגנון ניהול שיחה
יכולת של היישום הקשורה להזדהות ומנגנון ניהול שיחה (session management) לרוב אינן ממומשים כראוי, דבר המאפשר לתוקפים לפגום בסיסמאות, מפתחות או session tokens, או לנצל מימושים פגומים על-מנת להשיג זהות של משתמשים אחרים.
|
OWASP-C6 – הגן על מידע ופרטיות
הצפנת מידע בעת אחסון ובעת תעבורה ברשת
|
מונע:
A6 – חשיפת מידע רגיש
מידע רגיש דורש הגנה נוספת כגון הצפנה בעת אחסון או בתעבורה ברשת, וכן אמצעי זהירות בעת העברה לדפדפן.
|
OWASP-C7 – יישם תיעוד, טיפול בשגיאות ואמצעים לזיהוי חדירות
|
מונע:
A1 – הזרקת קוד זדוני (Injection)
A2 – הזדהות שבורה ומנגנון ניהול שיחה
A3 – Cross-Site Scripting (XSS)
A4 – אזכור ישיר לרכיב לא מאובטח
A5 – ניהול תצורה לא מאובטח
A6 – חשיפת מידע רגיש
A7 – חוסר בבקרת גישה ברמת היישום
A8 – Cross-Site Request Forgery (CSRF)
A9 – שימוש ברכיבים עם פגיעויות ידועות
A10 – הפניות והעברות לא מאומתות
|
OWASP-C8 – שימוש בתכונות אבטחה של מסגרות עבודה (Frameworks) וספריות (Libraries) אבטחה
להתחיל מאפס כשהדבר נוגע לפיתוח בקרות אבטחה עשוי להוביל לבזבוז זמן וכמות עצומה של חורי אבטחה.
פיתוח מאובטח של ספריות (Libraries) מסייע למפתחים להגן מפני פגמי אבטחה הקשורים לתכנון ומימוש של יישומים.
זה קריטי לשמור על מסגרות עבודה (Frameworks) וספריות (Libraries) מעודכנות.
לדוגמא:
|
מונע:
A1 – הזרקת קוד זדוני (Injection)
A2 – הזדהות שבורה ומנגנון ניהול שיחה
A3 – Cross-Site Scripting (XSS)
A4 – אזכור ישיר לרכיב לא מאובטח
A5 – ניהול תצורה לא מאובטח
A6 – חשיפת מידע רגיש
A7 – חוסר בבקרת גישה ברמת היישום
A8 – Cross-Site Request Forgery (CSRF)
A9 – שימוש ברכיבים עם פגיעויות ידועות
A10 – הפניות והעברות לא מאומתות
|
OWASP-C9 – כלול דרישות אבטחת מידע
חשוב לכלול דרישות אבטחת מידע בשלבים מוקדמים של מחזור חיי הפיתוח. קיימים שני סוגים של דרישות אבטחה:
דרישות אבטחה כוללות:
|
מונע:
A1 – הזרקת קוד זדוני (Injection)
A2 – הזדהות שבורה ומנגנון ניהול שיחה
A3 – Cross-Site Scripting (XSS)
A4 – אזכור ישיר לרכיב לא מאובטח
A5 – ניהול תצורה לא מאובטח
A6 – חשיפת מידע רגיש
A7 – חוסר בבקרת גישה ברמת היישום
A8 – Cross-Site Request Forgery (CSRF)
A9 – שימוש ברכיבים עם פגיעויות ידועות
A10 – הפניות והעברות לא מאומתות
|
OWASP-C10 – תכנון וארכיטקטורה מאובטחים
שיקולי תכנון:
|
מונע:
A1 – הזרקת קוד זדוני (Injection)
A2 – הזדהות שבורה ומנגנון ניהול שיחה
A3 – Cross-Site Scripting (XSS)
A4 – אזכור ישיר לרכיב לא מאובטח
A5 – ניהול תצורה לא מאובטח
A6 – חשיפת מידע רגיש
A7 – חוסר בבקרת גישה ברמת היישום
A8 – Cross-Site Request Forgery (CSRF)
A9 – שימוש ברכיבים עם פגיעויות ידועות
A10 – הפניות והעברות לא מאומתות
|
מיפוי: עשרת הבקרות לעשרת הסיכונים
A1 – הזרקת קוד זדוני (Injection)
|
A2 – הזדהות שבורה ומנגנון ניהול שיחה
|
A3 – Cross-Site Scripting (XSS)
|
A4 – אזכור ישיר לרכיב לא מאובטח
|
A5 – ניהול תצורה לא מאובטח
|
A6 – חשיפת מידע רגיש
|
A7 – חוסר בבקרת גישה ברמת היישום
|
A8 – Cross-Site Request Forgery (CSRF)
|
A9 – שימוש ברכיבים עם פגיעויות ידועות
|
A10 – הפניות והעברות לא מאומתות
| |
OWASP-C1 – שאילתות מבוססות משתנים
|
|
|||||||||
OWASP-C2 – קידוד נתונים
|
|
|
||||||||
OWASP-C3 – בדיקת קלטים
|
|
|
| |||||||
OWASP-C4 – יישם בקרות גישה מתאימות
|
|
|
||||||||
OWASP-C5 – יישם בקרות זהות ואימות
|
|
|||||||||
OWASP-C6 – הגן על מידע ופרטיות
|
|
|||||||||
OWASP-C7 – יישם תיעוד, טיפול בשגיאות ואמצעים לזיהוי חדירות
|
|
|
|
|
|
|
|
|
|
|
OWASP-C8 – שימוש בתכונות אבטחה של מסגרות עבודה (Frameworks) וספריות (Libraries) אבטחה
|
|
|
|
|
|
|
|
|
|
|
OWASP-C9 – כלול דרישות אבטחת מידע
|
|
|
|
|
|
|
|
|
|
|
OWASP-C10 – תכנון וארכיטקטורה מאובטחים
|
|
|
|
|
|
|
|
|
|
|
מסמך זה תורגם ע"י אייל אסטרין