2018-05-29

Maj 2018 - OWASP 2017 - A10 - Insufficient Logging & Monitoring

OWASP står för The Open Web Application Security Project och är en öppen global organisation som arbetar för säkerhet i mjukvaruapplikationer, främst webbapplikationer.


Den tredje och sista nya på OWASP Top Ten 2017 är A10 - Insufficient Logging & Monitoring

Det här är den sista sårbarheten och den är lite annorlunda och inte riktigt lika teknisk. Den handlar om att man inte loggar tillräckligt och inte övervakar loggarna.

Exempel:

  • Inloggningar, misslyckade inloggningar och betydelsefulla transaktioner loggas inte.
  • Varningar och fel genererar inga, otillräckliga eller oklara loggar.
  • Loggar övervakas inte.
  • Ingen informeras när något misstänkt inträffar eller så bryr sig ingen om de meddelanden som skickas ut.
  • Applikationerna upptäcker inte tillräckligt snabbt när något misstänkt inträffar.
Hur kan det utnyttjas?
  • Brute force-attacker. Loggar man inte felaktiga inloggningsförsök så kan man jobba ostört och testa alla möjliga lösenord.
  • Om ingen bryr sig om de meddelanden som applikationen skickar ut eller de fel som loggas så kan man även då jobba ostört.
Hur skyddar man sig?
  • Logga inloggningar, misslyckade inloggningar och andra viktiga transaktioner.
  • Processa loggarna automatiskt. Kolla manuellt då och då också för att upptäcka brister i den automatiska hanteringen.
  • Sätt upp larmfunktioner som meddelar när något misstänkt inträffar.

OWASP Cheat Sheet: Logging Cheat Sheet


System och tjänster som uppdaterats sedan förra uppdateringen:
  • s02
    • Usermin 1.741
  • s04
    • Roundcube 1.2.3
    • Apache 2.4.25