Состоялся релиз OWASP Top 10 2017 RC 2

Просмотров: 6732

Обновился список Топ-10 уязвимостей от OWASP (Release Candidat 2) наиболее критичных рисков безопасности веб-приложений.

На проект OWASP Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других. OWASP Топ-10 является признанной методологией оценки уязвимостей веб-приложений во всем мире. Проект OWASP Топ-10 отражает наиболее значимые угрозы веб-приложению.

Версия стандарта обновляется приблизительно раз в три года и отражает современные тренды безопасности веб-приложений. В этом году был промежуточный релиз кандидат, данный же документ является финальным релизом.

OWASP Top 10 2013

Список самых опасных рисков (уязвимостей) веб-приложений от 2013 года:

  • A1 Внедрение кода
  • A2 Некорректная аутентификация и управление сессией
  • A3 Межсайтовый скриптинг
  • A4 Небезопасные прямые ссылки на объекты
  • A5 Небезопасная конфигурация
  • A6 Утечка чувствительных данных
  • A7 Отсутствие контроля доступа к функциональному уровню
  • A8 Подделка межсайтовых запросов
  • A9 Использование компонентов с известными уязвимостями
  • A10 Невалидированные редиректы

OWASP Top 10 2017 RC 2 Final

Список самых опасных рисков (уязвимостей) веб-приложений от 2017 года:

  • A1 Внедрение кода
  • A2 Некорректная аутентификация и управление сессией
  • A3 Утечка чувствительных данных
  • A4 Внедрение внешних XML- сущностей (XXE)
  • A5 Нарушение контроля доступа
  • A6 Небезопасная конфигурация
  • A7 Межсайтовый скриптинг
  • A8 Небезопасная десериализация
  • A9 Использование компонентов с известными уязвимостями
  • A10 Отсутствие журналирования и мониторинга

Изменения

Новая редакция отличается как от редакции 2013, так и от первого релиз-кандидата 2017. XSS уязвимости покинули тройку лидеров, но туда перенеслась с 6 места утечка критичных (чувствительных данных) видимо последние громки утечки и взломы не прошли даром и консорциум OWASP решил сфокусировать внимание на этой проблеме.

Добавилось новый тип уязвимостей eXternal Entity XML (XXE). XXE Инъекция это тип атаки на приложение или препроцессор, которые анализируют ввод XML.

Также мы видим добавление пункта о небезопасной десериализации такого рода уязвимости могут приводить к удаленному выполнению кода, позволять повышать привилегии и многое другое.

Добавился пункт об отсутствии мониторинга по данным OWASP среднее время обнаружения инцидента составляет 200(!) дней.

Именно с такими основными угрозами веб-приложений и предстоит бороться до выхода следующего списка ТОП-10, скорее всего через 3-4 года.

Источник habrahabr.ru

Вступай в сообщества ITmentor Вконтакте и Facebook

Помогла статья? Оцените её!
0 из 5. Общее количество голосов - 0
 

You have no rights to post comments

Дмитрий Крикунов

Публикую статьи, обучающие курсы и новости по программированию: алгоритмам, языкам (С++, Java), параллельному программированию, паттернам и библиотекам (Qt, boost).