Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 14/1/2003
En organisation har samlet de ti hyppigste sikkerhedsfejl, som programmører begår, når de udvikler web-applikationer.Open Web Application Security Project (OWASP) står bag topti-listen. En web-applikation er et sæt programmer og web-sider, der giver brugere på internettet adgang til information og tjenester. Da der er fri adgang til serveren, skal man være lige så opmærksom på sikkerheden her, som når man konfigurerer virksomhedens firewall, mener folkene bag projektet.
Flere af de fejl, de har placeret på topti-listen, har at gøre med mangelfuld validering af input: Programmerne tjekker ikke input fra web-brugerne, før de sendes videre i systemet. På den måde kan en angriber snige kommandoer ind ved listig brug af adressefeltet i browseren.
Andre af fejlene handler om administration: Systemadministratorerne er ikke omhyggelige nok med at begrænse adgangen til de data, som web-brugerne ikke skal kunne se. Og der kan være for dårlig kontrol med kvaliteten af brugernavne og passwords.
| Topti over sikkerhedsfejl i web-applikationer | |
| Uvaliderede parametre | Information fra web-forespørgsler valideres ikke, før web-applikationen anvender den. |
| Mangelfuld adgangskontrol | Begrænsningerne for, hvad godkendte og anonyme brugere har lov til, håndhæves ikke. |
| Fejl i styring af konti og sessioner | Brugernavne, adgangskoder og cookies kan misbruges. |
| Cross-site scripting-sårbarheder | Web-applikationen kan bruges som middel til at transportere angrebskode over på brugerens pc via browseren. |
| Bufferoverløb | Visse programmeringssprog tillader bufferoverløb og kan få programkomponenter til at gå ned eller give mulighed for at få afviklet kode. |
| Kommando-indsætningsfejl | Web-applikationer kan videregive parametre, når de kommunikerer med andre applikationer eller operativsystemet. Hvis kommandoer kan indlejres i disse parametre, kan angribere få dem udført. |
| Fejlhåndteringsproblemer | Fejl behandles ikke korrekt. Dermed kan angribere få viden om et systems opbygning. |
| Usikker brug af kryptering | Krypteringssystemer kan være svære at bruge og installere korrekt. |
| Administration via fjernstyring | Hvis administrator får adgang til serveren via fjernstyring, kan den misbruges af angribere, hvis den ikke er beskyttet ordentligt. |
| Fejlkonfiguration af web- og applikationsserver | Mange servere leveres med en usikker standardkonfiguration. |
| Kilde: Open Web Application Security Project | |