OWASP टॉप टेन

1. 1. OWASP टॉप टेन: वेब अनुप्रयोग सुरक्षा के लिए एक शुरुआती गाइड

वेब अनुप्रयोगों की सुरक्षा आज के डिजिटल युग में अत्यंत महत्वपूर्ण है। वेबसाइटें और वेब अनुप्रयोग हमारे जीवन का एक अभिन्न अंग बन गए हैं, और वे संवेदनशील जानकारी का भंडार हैं। इसलिए, इन अनुप्रयोगों को सुरक्षित रखना आवश्यक है। OWASP (ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट) एक गैर-लाभकारी संगठन है जो वेब अनुप्रयोग सुरक्षा को बेहतर बनाने पर केंद्रित है। OWASP टॉप टेन वेब अनुप्रयोगों में पाई जाने वाली दस सबसे महत्वपूर्ण सुरक्षा कमजोरियों की एक सूची है। यह सूची डेवलपर्स, सुरक्षा पेशेवरों और संगठनों को उनकी वेब अनुप्रयोगों में सुरक्षा जोखिमों को समझने और उन्हें कम करने में मदद करने के लिए बनाई गई है। इस लेख में, हम OWASP टॉप टेन की प्रत्येक कमजोरी को विस्तार से समझेंगे और उन्हें रोकने के लिए कुछ रणनीतियों पर चर्चा करेंगे।

A1: इंजेक्शन

इंजेक्शन एक ऐसी कमजोरी है जो तब होती है जब एक हमलावर दुर्भावनापूर्ण कोड को एक वेब अनुप्रयोग में इंजेक्ट करने में सक्षम होता है। यह कोड तब सर्वर पर निष्पादित होता है, जिससे हमलावर डेटाबेस तक पहुंच प्राप्त कर सकता है, डेटा को संशोधित कर सकता है, या यहां तक ​​कि सर्वर पर नियंत्रण भी कर सकता है। इंजेक्शन हमले विभिन्न प्रकार के हो सकते हैं, जिनमें शामिल हैं:

• SQL इंजेक्शन: हमलावर डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करता है।
• OS कमांड इंजेक्शन: हमलावर सर्वर के ऑपरेटिंग सिस्टम पर कमांड इंजेक्ट करता है।
• LDAP इंजेक्शन: हमलावर LDAP क्वेरी में दुर्भावनापूर्ण कोड इंजेक्ट करता है।

इंजेक्शन हमलों से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• इनपुट सत्यापन: सभी उपयोगकर्ता इनपुट को मान्य करें ताकि यह सुनिश्चित हो सके कि यह अपेक्षित प्रारूप में है और इसमें कोई दुर्भावनापूर्ण कोड नहीं है। इनपुट सत्यापन एक महत्वपूर्ण सुरक्षा उपाय है।
• पैरामीटराइज्ड क्वेरीज़ या तैयार स्टेटमेंट: डेटाबेस क्वेरी बनाते समय पैरामीटराइज्ड क्वेरीज़ या तैयार स्टेटमेंट का उपयोग करें।
• न्यूनतम विशेषाधिकार: डेटाबेस उपयोगकर्ताओं को केवल उन डेटा तक पहुंच प्रदान करें जिसकी उन्हें आवश्यकता है। न्यूनतम विशेषाधिकार सिद्धांत
• एस्केपिंग: विशेष वर्णों को एस्केप करें ताकि उन्हें दुर्भावनापूर्ण कोड के रूप में व्याख्या नहीं किया जा सके।

A2: टूटे हुए प्रमाणीकरण (Broken Authentication)

टूटा हुआ प्रमाणीकरण तब होता है जब एक वेब अनुप्रयोग उपयोगकर्ताओं को सुरक्षित रूप से प्रमाणित करने में विफल रहता है। यह हमलावरों को अन्य उपयोगकर्ताओं के खातों तक पहुंच प्राप्त करने, संवेदनशील डेटा तक पहुंचने या अनधिकृत क्रियाएं करने की अनुमति दे सकता है। टूटे हुए प्रमाणीकरण के सामान्य कारणों में शामिल हैं:

• कमजोर पासवर्ड नीतियां: कमजोर पासवर्ड का उपयोग करने की अनुमति देना।
• सत्र प्रबंधन में कमजोरियां: सत्र आईडी को सुरक्षित रूप से प्रबंधित करने में विफलता।
• बहु-कारक प्रमाणीकरण का अभाव: बहु-कारक प्रमाणीकरण का उपयोग न करना।

टूटे हुए प्रमाणीकरण से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• मजबूत पासवर्ड नीतियां: मजबूत पासवर्ड की आवश्यकता होती है और उपयोगकर्ताओं को नियमित रूप से अपने पासवर्ड बदलने के लिए प्रोत्साहित करें। पासवर्ड सुरक्षा
• सुरक्षित सत्र प्रबंधन: सत्र आईडी को सुरक्षित रूप से उत्पन्न करें, संग्रहीत करें और प्रसारित करें।
• बहु-कारक प्रमाणीकरण: जहाँ भी संभव हो, बहु-कारक प्रमाणीकरण का उपयोग करें। बहु-कारक प्रमाणीकरण
• अकाउंट लॉकआउट: असफल लॉगिन प्रयासों के बाद अकाउंट लॉक करें।

A3: संवेदनशील डेटा एक्सपोजर (Sensitive Data Exposure)

संवेदनशील डेटा एक्सपोजर तब होता है जब संवेदनशील डेटा, जैसे कि व्यक्तिगत जानकारी, वित्तीय डेटा, या स्वास्थ्य जानकारी, अनधिकृत पहुंच के लिए उजागर होती है। यह डेटा चोरी, पहचान की चोरी और अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। संवेदनशील डेटा एक्सपोजर के सामान्य कारणों में शामिल हैं:

• असुरक्षित डेटा स्टोरेज: संवेदनशील डेटा को असुरक्षित रूप से संग्रहीत करना।
• असुरक्षित डेटा ट्रांसमिशन: संवेदनशील डेटा को असुरक्षित रूप से प्रसारित करना।
• अनावश्यक डेटा संग्रह: अनावश्यक डेटा एकत्र करना।

संवेदनशील डेटा एक्सपोजर से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• डेटा एन्क्रिप्शन: संवेदनशील डेटा को एन्क्रिप्ट करें, चाहे वह संग्रहीत हो या प्रसारित हो। डेटा एन्क्रिप्शन
• डेटा मास्किंग: संवेदनशील डेटा को मास्क करें ताकि इसे अनधिकृत उपयोगकर्ताओं द्वारा पढ़ा न जा सके।
• न्यूनतम डेटा संग्रह: केवल आवश्यक डेटा एकत्र करें।
• डेटा प्रतिधारण नीतियां: संवेदनशील डेटा को केवल उतने समय तक रखें जितना आवश्यक हो।

A4: XML बाहरी संस्थाएं (XXE)

XXE एक प्रकार का इंजेक्शन हमला है जो तब होता है जब एक वेब अनुप्रयोग असुरक्षित XML इनपुट को संसाधित करता है। हमलावर XML इनपुट में बाहरी संस्थाओं को इंजेक्ट कर सकते हैं, जो उन्हें सर्वर पर फ़ाइलों तक पहुंचने, आंतरिक प्रणालियों के साथ बातचीत करने या सेवा से इनकार (DoS) हमले शुरू करने की अनुमति दे सकते हैं।

XXE हमलों से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• XML इनपुट का सत्यापन: सभी XML इनपुट को मान्य करें ताकि यह सुनिश्चित हो सके कि इसमें कोई दुर्भावनापूर्ण बाहरी संस्थाएं नहीं हैं।
• बाहरी संस्थाओं को अक्षम करें: XML प्रोसेसर में बाहरी संस्थाओं को अक्षम करें।
• XML प्रसंस्करण को सीमित करें: केवल आवश्यक XML प्रसंस्करण सुविधाओं को सक्षम करें।

A5: टूटी हुई एक्सेस नियंत्रण (Broken Access Control)

टूटी हुई एक्सेस नियंत्रण तब होती है जब एक वेब अनुप्रयोग उपयोगकर्ताओं को उन संसाधनों तक पहुंचने की अनुमति देता है जिनके लिए उनके पास अनुमति नहीं है। यह हमलावरों को संवेदनशील डेटा तक पहुंचने, अनधिकृत क्रियाएं करने या सिस्टम पर नियंत्रण प्राप्त करने की अनुमति दे सकता है। टूटी हुई एक्सेस नियंत्रण के सामान्य कारणों में शामिल हैं:

• असुरक्षित डायरेक्ट ऑब्जेक्ट रेफरेंस: उपयोगकर्ताओं को सीधे ऑब्जेक्ट रेफरेंस का उपयोग करने की अनुमति देना।
• अनधिकृत क्रियाएं: उपयोगकर्ताओं को अनधिकृत क्रियाएं करने की अनुमति देना।
• विशेषाधिकार वृद्धि: उपयोगकर्ताओं को अपने विशेषाधिकारों को बढ़ाने की अनुमति देना।

टूटी हुई एक्सेस नियंत्रण से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• एक्सेस नियंत्रण लागू करें: सभी संसाधनों तक पहुंच को नियंत्रित करें और सुनिश्चित करें कि उपयोगकर्ताओं के पास केवल उन संसाधनों तक पहुंच है जिनके लिए उनके पास अनुमति है।
• प्रत्यक्ष ऑब्जेक्ट रेफरेंस से बचें: अप्रत्यक्ष ऑब्जेक्ट रेफरेंस का उपयोग करें।
• न्यूनतम विशेषाधिकार: उपयोगकर्ताओं को केवल उन विशेषाधिकारों की आवश्यकता है जो उन्हें अपने कार्यों को करने के लिए आवश्यक हैं।

A6: सुरक्षा गलत कॉन्फ़िगरेशन (Security Misconfiguration)

सुरक्षा गलत कॉन्फ़िगरेशन तब होता है जब एक वेब अनुप्रयोग या सर्वर को सुरक्षित रूप से कॉन्फ़िगर नहीं किया जाता है। यह हमलावरों को संवेदनशील जानकारी तक पहुंचने, सिस्टम पर नियंत्रण प्राप्त करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने की अनुमति दे सकता है। सुरक्षा गलत कॉन्फ़िगरेशन के सामान्य कारणों में शामिल हैं:

• डिफ़ॉल्ट पासवर्ड: डिफ़ॉल्ट पासवर्ड का उपयोग करना।
• अनावश्यक सेवाएं: अनावश्यक सेवाओं को सक्षम करना।
• असुरक्षित कॉन्फ़िगरेशन: असुरक्षित कॉन्फ़िगरेशन का उपयोग करना।

सुरक्षा गलत कॉन्फ़िगरेशन से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• सुरक्षित कॉन्फ़िगरेशन: सभी वेब अनुप्रयोगों और सर्वरों को सुरक्षित रूप से कॉन्फ़िगर करें।
• डिफ़ॉल्ट पासवर्ड बदलें: डिफ़ॉल्ट पासवर्ड को मजबूत पासवर्ड से बदलें।
• अनावश्यक सेवाएं अक्षम करें: अनावश्यक सेवाओं को अक्षम करें।
• नियमित सुरक्षा ऑडिट: नियमित सुरक्षा ऑडिट करें ताकि यह सुनिश्चित हो सके कि सभी प्रणालियां सुरक्षित रूप से कॉन्फ़िगर की गई हैं।

A7: क्रॉस-साइट स्क्रिप्टिंग (XSS)

क्रॉस-साइट स्क्रिप्टिंग (XSS) एक प्रकार का इंजेक्शन हमला है जो तब होता है जब एक हमलावर दुर्भावनापूर्ण स्क्रिप्ट को एक वेब अनुप्रयोग में इंजेक्ट करने में सक्षम होता है। यह स्क्रिप्ट तब अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित होती है, जिससे हमलावर कुकीज़ चुरा सकता है, सत्रों को हाइजैक कर सकता है या अन्य दुर्भावनापूर्ण गतिविधियों को कर सकता है। XSS हमले विभिन्न प्रकार के हो सकते हैं, जिनमें शामिल हैं:

• प्रतिबिंबित XSS: दुर्भावनापूर्ण स्क्रिप्ट को एक HTTP अनुरोध में इंजेक्ट किया जाता है और सर्वर द्वारा तुरंत प्रतिक्रिया में वापस कर दिया जाता है।
• संग्रहीत XSS: दुर्भावनापूर्ण स्क्रिप्ट को डेटाबेस में संग्रहीत किया जाता है और बाद में अन्य उपयोगकर्ताओं को दिखाया जाता है।
• DOM-आधारित XSS: दुर्भावनापूर्ण स्क्रिप्ट को क्लाइंट-साइड JavaScript कोड में इंजेक्ट किया जाता है।

XSS हमलों से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• इनपुट सत्यापन: सभी उपयोगकर्ता इनपुट को मान्य करें ताकि यह सुनिश्चित हो सके कि इसमें कोई दुर्भावनापूर्ण स्क्रिप्ट नहीं है।
• आउटपुट एन्कोडिंग: आउटपुट को एन्कोड करें ताकि ब्राउज़र द्वारा दुर्भावनापूर्ण स्क्रिप्ट के रूप में व्याख्या न किया जा सके।
• Content Security Policy (CSP): CSP का उपयोग करके ब्राउज़र को यह नियंत्रित करने की अनुमति दें कि किन संसाधनों को लोड किया जा सकता है।

A8: असुरक्षित डिसेरियलाइज़ेशन (Insecure Deserialization)

असुरक्षित डिसेरियलाइज़ेशन तब होता है जब एक वेब अनुप्रयोग असुरक्षित रूप से डिसेरियलाइज़्ड डेटा को संसाधित करता है। हमलावर दुर्भावनापूर्ण डेटा को इंजेक्ट कर सकते हैं, जो उन्हें सर्वर पर कोड निष्पादित करने, डेटा तक पहुंचने या अन्य दुर्भावनापूर्ण गतिविधियों को करने की अनुमति दे सकता है।

असुरक्षित डिसेरियलाइज़ेशन हमलों से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• डिसिरियलाइज़ेशन से बचें: जहाँ भी संभव हो, डिसिरियलाइज़ेशन से बचें।
• सफेदसूची: केवल स्वीकृत डेटा प्रकारों को डिसेरियलाइज़ करें।
• डेटा सत्यापन: डिसेरियलाइज़्ड डेटा को मान्य करें ताकि यह सुनिश्चित हो सके कि यह अपेक्षित प्रारूप में है और इसमें कोई दुर्भावनापूर्ण कोड नहीं है।

A9: उपयोग किए गए घटकों के साथ कमजोरियां (Vulnerable Components)

उपयोग किए गए घटकों के साथ कमजोरियां तब होती है जब एक वेब अनुप्रयोग में कमजोर घटकों का उपयोग किया जाता है, जैसे कि लाइब्रेरी, फ्रेमवर्क और अन्य सॉफ़्टवेयर। हमलावर इन कमजोरियों का फायदा उठाकर सिस्टम पर नियंत्रण प्राप्त कर सकते हैं या अन्य दुर्भावनापूर्ण गतिविधियों को कर सकते हैं।

उपयोग किए गए घटकों के साथ कमजोरियों से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• घटकों को अपडेट करें: सभी घटकों को नवीनतम संस्करणों में अपडेट करें।
• घटक प्रबंधन: घटकों को ट्रैक करें और उनकी कमजोरियों की निगरानी करें।
• सॉफ्टवेयर कंपोजिशन एनालिसिस (SCA): SCA टूल का उपयोग करके कमजोर घटकों की पहचान करें।

A10: अपर्याप्त लॉगिंग और मॉनिटरिंग (Insufficient Logging & Monitoring)

अपर्याप्त लॉगिंग और मॉनिटरिंग तब होती है जब एक वेब अनुप्रयोग पर्याप्त लॉगिंग और मॉनिटरिंग नहीं करता है। यह हमलावरों को बिना पहचाने या पकड़े सिस्टम में घुसपैठ करने और दुर्भावनापूर्ण गतिविधियां करने की अनुमति दे सकता है।

अपर्याप्त लॉगिंग और मॉनिटरिंग से बचाव के लिए, निम्नलिखित रणनीतियों का उपयोग किया जा सकता है:

• लॉगिंग: सभी महत्वपूर्ण घटनाओं को लॉग करें, जैसे कि लॉगिन, त्रुटियां और सुरक्षा उल्लंघन।
• मॉनिटरिंग: सिस्टम को वास्तविक समय में मॉनिटर करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।
• अलर्टिंग: संदिग्ध गतिविधि का पता चलने पर अलर्ट सेट करें।
• घटना प्रतिक्रिया: सुरक्षा घटनाओं के लिए एक घटना प्रतिक्रिया योजना विकसित करें।

ये OWASP टॉप टेन की कमजोरियाँ हैं। इन कमजोरियों को समझकर और उन्हें रोकने के लिए रणनीतियों को लागू करके, आप अपनी वेब अनुप्रयोगों को सुरक्षित रखने में मदद कर सकते हैं।

यहाँ कुछ अतिरिक्त संसाधन दिए गए हैं जो आपके लिए उपयोगी हो सकते हैं:

• OWASP वेबसाइट: [1](https://owasp.org/)
• OWASP टॉप टेन: [2](https://owasp.org/www-project-top-ten/)
• वेब सुरक्षा: वेब सुरक्षा
• सुरक्षा परीक्षण: सुरक्षा परीक्षण
• जोखिम प्रबंधन: जोखिम प्रबंधन
• सुरक्षा ऑडिट: सुरक्षा ऑडिट
• फायरवॉल: फायरवॉल
• घुसपैठ का पता लगाने की प्रणाली: घुसपैठ का पता लगाने की प्रणाली
• एंटीवायरस सॉफ्टवेयर: एंटीवायरस सॉफ्टवेयर
• प्रमाणीकरण: प्रमाणीकरण
• अधिकृतता: अधिकृतता
• एन्क्रिप्शन: एन्क्रिप्शन
• डिजिटल हस्ताक्षर: डिजिटल हस्ताक्षर
• सुरक्षित कोडिंग अभ्यास: सुरक्षित कोडिंग अभ्यास
• डेटा गोपनीयता: डेटा गोपनीयता
• अनुपालन: अनुपालन
• तकनीकी विश्लेषण: तकनीकी विश्लेषण
• वॉल्यूम विश्लेषण: वॉल्यूम विश्लेषण
• जोखिम मूल्यांकन: जोखिम मूल्यांकन

अभी ट्रेडिंग शुरू करें

IQ Option पर रजिस्टर करें (न्यूनतम जमा $10) Pocket Option में खाता खोलें (न्यूनतम जमा $5)

हमारे समुदाय में शामिल हों

हमारे Telegram चैनल @strategybin से जुड़ें और प्राप्त करें: ✓ दैनिक ट्रेडिंग सिग्नल ✓ विशेष रणनीति विश्लेषण ✓ बाजार की प्रवृत्ति पर अलर्ट ✓ शुरुआती के लिए शिक्षण सामग्री