OWASP
Bezpieczeństwo danych

Aktualizacja listy OWASP top 10

Posted on by Securivy - Bezpieczeństwo i Outsourcing IT

We wrześniu 2021 roku pojawiła się nowa wersja rankingu OWASP top 10. Ostatnia aktualizacja listy miała miejsce w 2017 roku. Co zmieniło się od tamtego czasu oraz jakie wnioski możemy wyciągnąć z aktualizacji?

Zacznijmy od początku – czym jest OWASP Top 10?

Open Web Application Security to międzynarodowa organizacja non-profit zajmująca się bezpieczeństwem aplikacji internetowych. Ich publikacja – OWASP Top 10 to regularnie aktualizowany raport zawierający najczęściej występujące i najbardziej krytyczne podatności dla aplikacji webowych. Ranking opracowywany jest przez ekspertów, poprzez ocenę ryzyka obejmującą wykrywalność słabych punktów systemu, a także inwazyjność konsekwencji ich przełamania. OWASP Top 10 jest szeroko wykorzystywany przez wiele organizacji w celu zwiększenia świadomości potencjalnych zagrożeń.

Do września 2021 roku lista ta obejmowała następujące podatności:

  1. Injection
  2. Broken Authentication
  3. Sensitive Data Exposure
  4. XML External Entities (XXE)
  5. Broken Access Control
  6. Security Misconfigurations
  7. Cross-Site Scripting
  8. Insecure Deserialization
  9. Using Components with Known Vulnerabilities
  10. Insufficient Logging and Monitoring

Wraz z aktualizacją nastąpiły pewne zmiany w kolejności występowania danych podatności. Do listy dodanych zostało także kilka nowości. Z najważniejszymi zmianami możecie zapoznać się w dalszej części artykułu.

Testy penetracyjne OWASP

Pentesty OWASP mają na celu zidentyfikowanie luk w zabezpieczeniach, na podstawie sporządzonego rankingu. Testy penetracyjne wykorzystywane są do bezpiecznej i kontrolowanej identyfikacji podatności, pomagają w usuwaniu ewentualnych słabości systemu. Rozwiązanie to, to także wspieranie świadomego podejmowania decyzji dotyczących przyszłych inwestycji w bezpieczeństwo IT.

Aktualizacja OWASP Top 10 – jakie zmiany zaszły?

Pierwsze miejsce na zaktualizowanej liście zajmuje problem z kontrolą dostępu, czyli podatności związane z uwierzytelnianiem i autoryzacją. Luka ta, występowała w trakcie testów znacznie częściej, niż jakakolwiek inna kategoria w rankingu i okazała się tą najbardziej krytyczną. Zagrożenia związane z tym typem podatności to przede wszystkim nieautoryzowany dostęp do modyfikacji danych użytkowników oraz możliwość nadawania przywilejów administratora w celu instalowania złośliwego oprogramowania w systemie.

Na drugie miejsce, w 2021 roku trafiła kategoria A02:2021 – Cryptographic Failures. Podatność ta, związana jest z awariami kryptograficznymi i prowadzi często do ujawnienia danych wrażliwych oraz naruszenia bezpieczeństwa infrastruktury IT. Obecność tej kategorii na podium, sygnalizuje o konieczności szyfrowania baz danych zawierających poufne informacje.

A03:2021 Injection to jedna z najstarszych i najbardziej powszechnie wykorzystywanych podatności. Kategoria ta, w 2021 roku nieznacznie spadła w rankingu, za sprawą pojawienia się bardziej zaawansowanych mechanizmów cyberataków.

Nową podatnością na liście OWASP jest A04:2021 – Insecure Design. Skupia się ona na ryzyku związanym z wadami projektowymi aplikacji.

Jedno miejsce wyżej, w stosunku do rankingu z 2017 roku, zajmuje A05:2021 Security Misconfiguration. Kategoria ta obejmuje zagrożenia związane ze zbyt szerokim nadaniem uprawnień i przywilejów.

Podatność z 2017 roku – Broken Authentication zyskała nowe określenie, jakim jest Identification and Authentication Failures. Kategoria ta spadła z drugiego miejsca na siódme. Wynika to z faktu, iż firmy coraz świadomiej podchodzą do tematu technik uwierzytelniania i korzystają z opcji poświadczenia wieloskładnikowego.

Do nowości należy także luka A08:2021 – Software and Data Integrity Failures. Związana jest ona z błędami z aktualizacjami oprogramowania oraz problemami z deserializacją.

Kategoria z 2017 roku – A10:2017 w 2021 roku trafiła na miejsce 9 pod nazwą A09:2021 – Security Logging and Monitoring Failures. Podatność obejmuje błędy w raportowaniu oznak włamań do systemu.

Kategoria A10:2021 – Server Side Request Forgery została dodana za sprawą ankiety przeprowadzonej wśród członków społeczności ds. bezpieczeństwa. Ma ona związek ze wzrostem liczby aplikacji internetowych opartych na chmurze oraz upowszechnianiem ataków SSRF (Server-side request forgery).

OWASP 10

Chroń firmowy system przed podatnościami OWASP Top 10

Zabezpieczenie infrastruktury IT i zapewnienie bezpieczeństwa w cyberprzestrzeni jest integralną częścią sukcesu Twojej organizacji. Zmiany w rankingu OWASP pokazują, że wzrasta świadomość użytkowników w temacie potencjalnych zagrożeń. Z drugiej strony – stale pojawiają się nowe techniki cyberataków, które są zagrożeniem dla infrastruktury IT firmy.

Czy masz pod kontrolą luki w Twoim firmowym systemie? Zadbaj o tę kwestię już dziś.

5/5 - (1 vote)
Securivy - Bezpieczeństwo i Outsourcing IT

Jesteśmy młodym zespołem, dla którego priorytetem jest bezpieczeństwo oraz satysfakcja klienta. Securivy to innowacyjne podejście, elastyczność oraz powiew świeżości w świecie IT.