Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

OWASP Top Ten 2017 – RC1

12 kwietnia 2017, 18:59 | W biegu | 0 komentarzy

OWASP właśnie udostępnił długo wyczekiwaną wersję release candidate dokumentu Top Ten – czyli w pewnym uproszeniu listę dziesięciu najistotniejszych klas podatności w aplikacjach webowych.

OWASP Top Ten 2017 RC1

Jakie szykują się zmiany? Mamy przede wszystkim zupełnie nowe, dwie kategorie:

A7 – Insufficient Attack Protection
A10 – Underprotected APIs

W A7 czytamy między innymi:

The application or API should identify the attacks, block any viable attacks, and provide details on the attacker and characteristics of the attack.

Czyli musimy wbudować bezpieczeństwo / reakcję na ataki w samą aplikację. Tutaj OWASP rekomenduje np. AppSensor czy WAF-y jak np. mod_security.

Pierwszy raz wyeksponowane zostały API jako istotny fragment bezpieczeństwa aplikacji (kategoria A10). Dla zainteresowanych tematem polecam na początek nasze mini opracowanie w temacie bezpieczeństwa webservices/API REST.

Wydanie finalnego dokumentu OWASP Top Ten 2017 planowane jest maksymalnie za kilka miesięcy.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz