OWASP TOP-10

Ненадежное программное обеспечение подрывает безопасность критических инфраструктур, относящихся, например, к здравоохранению, обороне, энергетике или финансам. Программное обеспечение становится сложнее, устройств, подключенных к сети, становится больше, поэтому обеспечение безопасности ПО остается важной задачей. Быстрое развитие методов разработки ПО приводит к необходимости оперативно и безошибочно выявлять, а также устранять наиболее часто возникающие угрозы. OWASP (Open Web Application Security...

На 10 месте редакции рейтинга OWASP, расположилась уязвимость вектора A10:2021 – Server-Side Request Forgery (SSRF) что в переводе означает - подделка запросов на стороне сервера. SSRF – уязвимость, которая дает злоумышленнику следующие «возможности»: В подверженной атаке системе, совершаемые сервером запросы переходят под контроль злоумышленнику. При получении пользовательской ссылки сервер не проверяет переданный в ней адрес и обращается к указанному ресурсу. SSRF возникает, когда злоумышленник...

В обновленном рейтинге эта категория поднялась с 10 на 9 позицию. Категория значительно расширилась и помимо недостаточности ведения журналов вобрала в себя такие проблемы, как пропуски данных, некорректный вывод журналов и включение в них информации, которая считается конфиденциальной. Тестировать уязвимости этой категории непросто, но включение ее в рейтинг специалисты OWASP посчитали важным, так как относящиеся к ней сбои оказывают непосредственное влияние на оповещение об инцидентах и их видимость , проведение экспертиз...

На восьмой позиции в рейтинге OWASP 2021 года расположился «новичок» ТОПа – категория «Нарушения целостности программного обеспечения и данных». Как и большинство позиций рейтинга, этот вектор - комплексный. В его состав вошли уязвимости, которые злоумышленники способны использовать при обновлении программного обеспечения пользователем. Если приложение обновляется без проверки целостности, преступники могут загрузить свое поддельное обновление и вместе с ним вредоносный код. Также уязвимость может...

Категория, ранее известная как «Сбои аутентификации» в новом рейтинге OWASP, покинула ТОП-3 и сместилась со второго места на седьмое. Несмотря на явное снижение количества атак по данной категории, она все же остается в десятке наиболее критичных. В актуальной редакции рейтинга OWASP вектор атаки А07:2021 соединил в себе сразу несколько уязвимостей, в том числе связанных с: Чтобы обезопасить ИТ-инфраструктуру от таких атак , важно корректно подтверждать личности (производить аутентификацию) пользователей и управлять их сеансами...

В рейтинге 2017 года эта категория называлась «Использование компонентов с известными уязвимостями» и находилась на 9 месте. Аналитики проекта OWASP хорошо знакомы с такой проблематикой и постоянно работают над тестированием и оценкой рисков, связанных с ней. Это единственная категория, в которой нет каких-либо общих уязвимостей и воздействий (CVE), сопоставленных с включенными CWE (Common Weakness Enumeration (общий перечень недостатков безопасности), поэтому в ее оценке эксплойт учтен по умолчанию, а удельный «вес» воздействия принят равным 5,0...