OWASP Top 10 Project

Dự án bảo mật ứng dụng (OWASP) là một cộng đồng dành riêng cho các tổ chức phát triển, mua và duy trì các ứng dụng và API có thể tin cậy.

Đặc điểm của OWASP:

• Các công cụ và tiêu chuẩn bảo mật ứng dụng
• Hoàn thành các cuốn sách về kiểm tra bảo mật ứng dụng, mã an toàn phát triển và xem xét mã an toàn
• Trình bày và video
• Cheat sheet trên nhiều chủ đề phổ biến
• Các thư viện và điều khiển bảo mật tiêu chuẩn
• Các chương địa phương trên toàn thế giới
• Nghiên cứu tiên tiến
• Hội nghị mở rộng trên toàn thế giới
• Danh sách mail

OWASP Top 10 là một tài liệu về bảo mật ứng dụng web. Nó thể hiện sự đồng thuận rộng rãi về những rủi ro bảo mật quan trọng nhất đối với các ứng dụng web. Các thành viên của dự án bao gồm nhiều chuyên gia bảo mật từ khắp nơi trên thế giới, những người đã chia sẻ kiến ​​thức chuyên môn của mình để tạo ra danh sách này.

Xem thêm tại: https://www.owasp.org

Danh sách AWASP Top 10 qua các năm:

OWASP Top 10 - 2010	OWASP Top 10 - 2013	OWASP Top 10 - 2017
A1 – Injection	A1 – Injection	A1 - Injection
A2 – Cross-Site Scripting (XSS)	A2 – Broken Authentication and Session Management	A2 - Broken Authentication
A3 – Broken Authentication and Session Management	A3 – Cross-Site Scripting (XSS)	A3 - Sensitive Data Exposure
A4 – Insecure Direct Object References	A4 – Insecure Direct Object References	A4 - XML External Entity (XXE)
A5 – Cross-Site Request Forgery (CSRF)	A5 – Security Misconfiguration	A5 - Broken Access Control
A6 – Security Misconfiguration	A6 – Sensitive Data Exposure	A6 - Security Misconfiguration
A7 – Insecure Cryptographic Storage	A7 – Missing Function Level Access Control	A7 - Cross-Site Scripting (XSS)
A8 - Failure to Restrict URL Access	A8 - Cross-Site Request Forgery (CSRF)	A8 - Insecure Deserialization
A9 - Insufficient Transport Layer Protection	A9 - Using Components with Known Vulnerabilities	A9 - Using Components with Known Vulnerabilities
A10 – Unvalidated Redirects and Forwards	A10 – Unvalidated Redirects and Forwards	A10 - Insufficient Logging & Monitoring

Những rủi ro bảo mật ứng dụng

Những kẻ tấn công có thể sử dụng nhiều đường tấn công khác nhau thông qua ứng dụng của bạn để gây hại cho doanh nghiệp hoặc tổ chức của bạn. Những con đường này đại diện cho một nguy cơ có thể hoặc có thể không nghiêm trọng, nhưng cũng đủ làm bạn chú ý.

Đôi khi, những con đường này rất dễ để nhìn thấy và cũng có thể rất khó tìm ra. Vì vậy mà tác hại nó gây ra có thể không để lại hậu quả gì hoặc gây ra thiệt hại vô cùng lớn. Để xác định rủi ro, cần phải đánh giá các khả năng liên quan đến từng tác nhân gây nguy hiểm, hướng tấn công, điểm yếu về bảo mật, mặt kĩ thuật (lập trình) và tác động kinh doanh đối với tổ chức của bạn.

OWASP Top 10 tập trung vào việc xác định những rủi ro nghiêm trọng nhất cho môt loạt các tổ chức dựa trên OWASP Risk Rating Methodology

1. A1:2017 Injection
2. A2:2017 Broken Authentication
3. A3:2017 Sensitive Data Exposure
4. A4:2017 XML External Entities (XXE)
5. A5:2017 Broken Access Control
6. A6:2017 Security Misconfiguration
7. A7:2017 Cross-Site Scripting (XSS)
8. A8:2017 Insecure Deserialization
9. A9:2017 Using Components with Known Vulnerabilities
10. A10:2017 Insufficient Logging and Monitoring