OWASP Top 10 2017

    image
     
    Состоялся финальный релиз Топ-10 уязвимостей от OWASP — наиболее критичных рисков безопасности веб-приложений. Обновление происходит примерно раз в 3-4 года, этот релиз затрагивает текущие и будущие проблемы безопасности веб приложений.

    На проект OWASP Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других. OWASP Топ-10 является признанной методологией оценки уязвимостей веб-приложений во всем мире. Проект OWASP Топ-10 отражает наиболее значимые угрозы веб-приложению.

    OWASP Top 10 2013


    Список самых опасных рисков (уязвимостей) веб-приложений от 2013 года:

    • A1 Внедрение кода
    • A2 Некорректная аутентификация и управление сессией
    • A3 Межсайтовый скриптинг
    • A4 Небезопасные прямые ссылки на объекты
    • A5 Небезопасная конфигурация
    • A6 Утечка чувствительных данных
    • A7 Отсутствие контроля доступа к функциональному уровню
    • A8 Подделка межсайтовых запросов
    • A9 Использование компонентов с известными уязвимостями
    • A10 Невалидированные редиректы

    OWASP Top 10 2017


    Список самых опасных рисков (уязвимостей) веб-приложений от 2017 года:

    • A1 Внедрение кода
    • A2 Некорректная аутентификация и управление сессией
    • A3 Утечка чувствительных данных
    • A4 Внедрение внешних XML- сущностей (XXE)
    • A5 Нарушение контроля доступа
    • A6 Небезопасная конфигурация
    • A7 Межсайтовый скриптинг
    • A8 Небезопасная десериализация
    • A9 Использование компонентов с известными уязвимостями
    • A10 Отсутствие журналирования и мониторинга

    Изменения


    Новая редакция отличается как от редакции 2013.



    XSS уязвимости покинули тройку лидеров, но туда перенеслась с 6 места утечка критичных (чувствительных данных) — видимо последние громки утечки и взломы не прошли даром и консорциум OWASP решил сфокусировать внимание на этой проблеме.

    Добавилось новый тип уязвимостей — eXternal Entity XML (XXE). XXE Инъекция — это тип атаки на приложение или препроцессор, которые анализируют ввод XML.

    Также мы видим добавление пункта о небезопасной десериализации — такого рода уязвимости могут приводить к удаленному выполнению кода, позволять повышать привилегии и многое другое.

    Добавился пункт об отсутствии мониторинга — по данным OWASP среднее время обнаружения инцидента составляет 200(!) дней.

    Открытые редиректы и CSRF покинули 10 самых значимых уязвимостей. Общая тенденция изменения списка OWASP говорит о смещении приоритетов уязвимостей/векторов атак из client-side в server-side.

    Ссылки


    Проект OWASP
    PDF версия OWASP Top 10 2017
    OWASP testing guide на русском
    • +26
    • 9,1k
    • 5
    Pentestit 57,09
    Информационная безопасность
    Поделиться публикацией
    Комментарии 5
    • 0
      Странно, что убрали CSRF… Уже забыли Егора Хомякова? )
      • 0
        Так с CSFR давно уже успешно борятся тем, что просто забивают на него. Если надо, то этот CSRF не сможно обойти
        • 0

          Позвольте полюбопытствовать и как же обойдете грамотно реализованную защиту от csrf?

          • 0
            Тем же MITM. Опять же защита должна быть в комплексе. Нельзя говорить, что только CSRF. Перехват токена csrf и дальше подмена токена сессии и фактически вы перехватили контроль csrf в свои руки. Это сложно, но возможно.
            CSRF он усложнит процесс взлома, но не полностью исключит его.
            • 0
              Ну… следуя такой логике тогда уже вобще защищать ничего не нужно, без должной физической защиты ;)

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое