OWASP Top 10 – 2017 – finalna wersja

21 listopada 2017, 23:55 | Aktualności | 0 komentarzy
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Po czterech latach dostępna jest nowa wersja dokumentu OWASP Top Ten – opisująca 10 największych ryzyk dotyczących bezpieczeństwa aplikacji webowych.

Edycja 2017 wprowadza sporo rewolucji, jest to m.in. pojawienie się kilku zupełnie nowych kategorii ryzyk:

XXE (na wysokiej pozycji czwartej),

– o którym mamy już od dawana sporo informacji na sekuraku – włączając w to przykładowe podatności (podatność w API Twitter, podatność w Solr).

Z nowości – mamy też dla Was kilkuminutowy film o XXE – to fragment nowej, filmowej sekcji w wersji premium naszego serwisu rozwal.to

Kolejny nowy punkt to Insecure Deserialization.

– tutaj ponownie mamy dobre informacje – u nas znajdziecie sporo materiałów w temacie – lektura na parę dni ;-) Dla javowców polecamy serię Mateusza Niezabitowskiego – tutaj, tutaj i tutaj. Pythonowców zainteresuje ten wątek, a fani PHP powinni zerknąć tutaj czy tytaj. Oczywiście na lodzie nie zostawiamy też osób działających w technologiach Microsoftu czy rubistów ;-)

Dla pewności – na pierwszym miejscu trzyma się cały czas kategoria Injection (SQL injection, OS Command injection, etc.) – to dla osób które nie wierzą, że w 2017 roku te podatności są cały czas bardzo częste.

Jeśli chodzi o cały dokument – jest on bardziej nakierowany na ryzyko – co widać np. po wskazaniu negatywnych efektów wykorzystania każdej klasy podatności (impact) – na dwie kategorie – techniczną i biznesową (wraz z pokazaniem prostych scenariuszy). Zobaczcie przykładową tabelę ryzyk:

Ryzyka wg OWASP Top 10 – 2017

Na koniec (ostatnia – dziesiąta kategoria) mamy punkt: Insufficient Logging & Monitoring – czyli sprawdzenie czy nasz system w ogóle zapisuje informacje, które mogą być przydatne do wykrycia ataku / prób ataku. Wygląda na to, że działania typowo defensywne po raz pierwszy trafiły do OWASP Top 10 :-)

Twórcy dokumentu zaznaczają też, że zapewnili większą otwartość – np. przez dostępność systemu na Githubie – czy możliwość prześledzenia wpływu zgłoszeń od firm realizujących testy (do powstania OWASP TOP 10 2017 przyczyniło się przeanalizowanie bezpieczeństwa 114 000 aplikacji!).

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz