Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
OWASP Top Ten 2017 – RC1
OWASP właśnie udostępnił długo wyczekiwaną wersję release candidate dokumentu Top Ten – czyli w pewnym uproszeniu listę dziesięciu najistotniejszych klas podatności w aplikacjach webowych.
Jakie szykują się zmiany? Mamy przede wszystkim zupełnie nowe, dwie kategorie:
A7 – Insufficient Attack Protection
A10 – Underprotected APIs
W A7 czytamy między innymi:
The application or API should identify the attacks, block any viable attacks, and provide details on the attacker and characteristics of the attack.
Czyli musimy wbudować bezpieczeństwo / reakcję na ataki w samą aplikację. Tutaj OWASP rekomenduje np. AppSensor czy WAF-y jak np. mod_security.
Pierwszy raz wyeksponowane zostały API jako istotny fragment bezpieczeństwa aplikacji (kategoria A10). Dla zainteresowanych tematem polecam na początek nasze mini opracowanie w temacie bezpieczeństwa webservices/API REST.
Wydanie finalnego dokumentu OWASP Top Ten 2017 planowane jest maksymalnie za kilka miesięcy.
–ms