OWASP Top 10 – Number one, Injection

February 10, 2014

Open Wep Application Security Project eli OWASP on kansainvälinen voittoatavoittelematon yhteisö jonka tarkoituksena on jakaa tietoa ja kehittää ohjelmistojen tietoturvaa.

Yhteisö julkaisee kolmen vuoden välein Top10 listan merkittävimmistä ja hyväksi käytetyimmistä tietoturvariskeistä. Vuonna 2013 julkaistun listan ensimmäiseltä sijalta löytyy: Injection (Injektio).

Pähkinänkuoressa

Käyttäjä syöttää tietoa(esimerkiksi SQL lauseen) lomakkeeseen tai web-sivulle, joka on yhteydessä tietokantaan. Mikäli ohjelmisto on koodattu huolimattomasti, käyttäjän suorittama komento palauttaa arkaluontoista tietoa tai vahingoittaa/muokkaa  tietokannan sisältöä. Pahimmillaan tilanne voi johtaa sivuston/ohjelman valtaukseen.

Miten suojautua?

Ohjelmiston testauksella ei usein havaita ongelmia. Paras tapa on käydä läpi koodia itsessään ja pyrkiä jo ohjelmointi vaiheessa huomioimaan riskit. Ei toivotuilla vierailla on usein käytössään botteja, jotka etsivät haavoittuvaisia ohjelmia.

Miksi suojautua?

Imagon ja sopimusten kannalta tietojen menetys, muokkaantuminen tai vääriin käsiin joutuminen voi olla hyvin harmillista.

Lähteet
https://www.owasp.org/index.php/Top_10_2013-Top_10

Leave a Reply