דלג לתוכן הראשי
Spacode
EN

אבטחת מידע

OWASP Top 10: פגיעויות נפוצות באפליקציות ווב והגנות מעשיות

סיכום ממוקד של OWASP Top 10 והמלצות הגנה לצוותי פיתוח.

OWASP Top 10 מזקק כשלי שכיחים ביישומי אינטרנט ברחבי העולם. זה לא צ׳ק-ליסט ציות אלא עדשת עדיפויות להכשרה, סקירת עיצוב ובדיקות אוטומטיות — המסמך מתעדכן כלכלת התקיפה משתנה.

שליטת גישה שבורה עדיין מלווה פריצות רבות: API שסומך על שדות נסתרים, מזהים צפויים שמביאים ל-IDOR, ובדיקות הרשאה חסרות בשרשרת רב-שלבית. התייחסו לכל נקודת קצה כציבורית; אכפו הרשאה ברמת אובייקט ובדקו עם אסימונים מינימליים.

כשלי קריפטו רחבים מ"אלגוריתם לא נכון": חסר TLS, ניהול מפתחות חלש, לוגים עם סודות, "הצפנה" רק בצד לקוח, ואחסון נתונים שלעולם לא היה צריך להישמר. מרכזו החלטות קריפטו והטמיעו רוטציה עם כלים, לא רק כרטיסים.

הזרקה מגיעה בניבים רבים — SQL, פקודות מערכת, LDAP, מסנני ORM ומנועי תבניות. שאילתות פרמטריות וממשקים ממוקדי API נכונים עדיפים על שרשור מחרוזות. שימו לב להזרקה מסדר שני כשקלט "מסונן" מאוחסן ואז מוצג בהקשר אחר.

עיצוב לא בטוח אינו נסגר חומת אש בלבד: זרימות בלי אימות מחדש לפעולות רגישות, צ׳אט בלי מנגנוני ניצול, ושווקים בלי מודל הונאה. תפסו אותם במידול איום, לא רק בבדיקת חדירה סופית.

קונפיגורציה שגויה היא מס על מורכבות: שגיאות מפורטות, ברירות מחדל מסוכנות, פאנלים פתוחים, CORS רחב מדי וחסר כותרות אבטחה. שבצו קו בסיס מוקשח על תבניות והריצו סריקות תשתית לפני apply.

רכיבים פגיעים מגדילים סיכון שרשרת אספקה. אחזיקו מנטליות SBOM: תלויות ישירות ועקיפות, מעקב אחר ייעוץ אבטחה, והסרת חבילות שאינן בשימוש אך עדיין נפתרות בזמן ריצה.

כשלי אימות כוללים MFA חלש, ניהול session לקוי, שחזור חשבון תמים והיעדר הגנה מפני בוטים בכניסה. יישרו קו לדגל עוגיות מודרניים ואסימונים קצרי חיים היכן שמתאים.

כשלי שלמות תוכנה ונתונים: ערוצי עדכון לא חתומים, דה-סיריאליזציה מסוכנת וצינורות CI ללא אימות. חתמו על ארטיפקטים; אמתו סיכומים; הגבילו דה-סיריאליזציה למקורות מהימנים.

לוגים וניטור לקויים מעוורים מגנים. תעדו החלטות אימות, פעולות מנהל ושגיאות אבטחה לאחסון בלתי ניתן לשינוי בקלות. בדקו שההתראות מגיעות לסבב אנשים ולא לתיבת דואר מתה.

SSRF מסוכן במיוחד בענן שבו שירותי מטא-דאטה ופאנלים פנימיים הופכים לגשרי יצוא. חסמו כתובות מטא-דאטה ב-egress כשהמדיניות מאפשרת, אמתו יעדים מול רשימות מורשות, ובידדו לקוחות HTTP פנימיים.

תהליך חשוב: מפו את פריטי ה-Top 10 לארכיטקטורה שלכם, הקצה בעלים, ומדדו צמצום סיכונים בסקירות חוזרות — לא תיאטרון שנתי.

לסיכום: OWASP מתרגם כלכלת תקיפה לעדיפויות הנדסיות — גישה, קריפטו, קלט, עיצוב, קונפיג, תלויות, אימות, שלמות, ראות ו-SSRF. השתמשו בו כדי לכוון תקציב, לא רק לקשט שקופיות.

חזרה למרכז הידע