OWASP TOP10

За исключением публичных ресурсов, следует использовать «отказ по умолчанию» deny by default.

Отключить кэширование для ответов, содержащих

конфиденциальные данные.

Не использовать устаревшие протоколы, такие как FTP и SMTP,

для передачи конфиденциальных данных.

Всегда использовать аутентифицированное шифрование

вместо обычного шифрования.

Обеспечить шифрование всех конфиденциальных данных в

покое.

Использовать моделирование угроз для критически важной

аутентификации, контроля доступа, бизнес-логики и ключевых

потоков.

Разделять уровни системы и сети в зависимости от уровня

подверженности и потребностей в защите.

Отправить клиентам директив безопасности, например,

заголовков безопасности.

Использовать позитивную серверную валидацию ввода.

Автоматизировать процесс проверки эффективности

конфигураций и настроек во всех средах.

Удалить неиспользуемых зависимостей, ненужных функций,

компонентов, файлов и документации.

Не используйте и не развертывайте систему с дефолтными

учетными данными, особенно для администраторов.

Разделять уровни системы и сети в зависимости от уровня

подверженности и потребностей в защите.

Использовать моделирование угроз для критически важной

аутентификации, контроля доступа, бизнес-логики и ключевых

потоков.

Логировать отказы в контроле доступа, уведомляйте

администраторов, когда это необходимо

Внедрить проверки слабых паролей, такие как тестирование

новых или измененных паролей на соответствие списку из 10

000 самых слабых паролей.

Не использовать и не развертывайте систему с дефолтными

учетными данными, особенно для администраторов.

Отсутствует должная настройка безопасности в какой-либо

части стека приложения или неправильно настроены

разрешения на облачных сервисах.

Активированы учетные записи по умолчанию и их пароли не

изменены.

Для обновленных систем последние функции безопасности

отключены или не настроены должным образом.

Данные, предоставленные пользователем, не валидируются,

не фильтруются и не очищаются приложением.

Удалить неиспользуемые зависимости, ненужные функции,

компоненты, файлы и документации.

Получать компоненты только из официальных источников

через защищенные каналы.

Проводить мониторинг библиотек и компонентов, которые не

поддерживаются или не создают исправления безопасности

для старых версий.

Написать юнит- и интеграционные тесты, чтобы проверить,

что все критические потоки устойчивы к моделям угроз.

Использовать цифровые подписи или аналогичные механизмы

для проверки того, что программное обеспечение или данные

поступают из ожидаемого источника и не были изменены.

Убедиться, что библиотеки и зависимости, такие как npm или

Maven, используют доверенные репозитории.

Убедиться, что существует процесс проверки изменений кода

и конфигураций, чтобы минимизировать вероятность

внедрения вредоносного кода или конфигурации в вашу

программу.

Автоматизированный процесс проверки эффективности

конфигураций и настроек во всех средах.

Принять план реагирования и

восстановления инцидентов, например, NIST 800-61r2 или

более позднюю версию.

Убедиться, что логи генерируются в формате, который легко

воспринимают решения для управления журналами.

Убедиться, что важные транзакции имеют след аудита с

контрольными механизмами для предотвращения подделки

или удаления

Использовать моделирование угроз для критически важной

аутентификации, контроля доступа, бизнес-логики и ключевых

потоков.

Разрешение атаки методом грубой силы или другие

автоматизированные атаки.

Хранение паролей в открытом виде, зашифрованном или слабо

захешированном.

Отсутствие эффективной многофакторной аутентификации.

Принудительный доступ к аутентифицированным страницам

как неавторизованный пользователь или к

привилегированным страницам как стандартный

пользователь.

Нарушение принципа наименьших привилегий или «отказ по

умолчанию», когда доступ должен предоставляться только

для определённых возможностей, ролей или пользователей,

но доступ возможен для всех.

Разрешение на просмотр или редактирование чужих учётных

записей, предоставляя их уникальный идентификатор

Доступ к API с отсутствующими проверками контроля доступа

для POST, PUT и DELETE.

Отсутствие должной настройки безопасности в какой-либо

части стека приложения или неправильная настройка

разрешения на облачных сервисах.