Dự án bảo mật ứng dụng (OWASP) là một cộng đồng dành riêng cho các tổ chức phát triển, mua và duy trì các ứng dụng và API có thể tin cậy.
Đặc điểm của OWASP:
- Các công cụ và tiêu chuẩn bảo mật ứng dụng
- Hoàn thành các cuốn sách về kiểm tra bảo mật ứng dụng, mã an toàn phát triển và xem xét mã an toàn
- Trình bày và video
- Cheat sheet trên nhiều chủ đề phổ biến
- Các thư viện và điều khiển bảo mật tiêu chuẩn
- Các chương địa phương trên toàn thế giới
- Nghiên cứu tiên tiến
- Hội nghị mở rộng trên toàn thế giới
- Danh sách mail
OWASP Top 10 là một tài liệu về bảo mật ứng dụng web. Nó thể hiện sự đồng thuận rộng rãi về những rủi ro bảo mật quan trọng nhất đối với các ứng dụng web. Các thành viên của dự án bao gồm nhiều chuyên gia bảo mật từ khắp nơi trên thế giới, những người đã chia sẻ kiến thức chuyên môn của mình để tạo ra danh sách này.
Xem thêm tại: https://www.owasp.org
OWASP Top 10 - 2010
|
OWASP Top 10 - 2013
|
OWASP Top 10 - 2017
|
A1 – Injection
|
A1 – Injection
|
A1 - Injection
|
A2 – Cross-Site Scripting (XSS)
|
A2 – Broken Authentication and Session Management
|
A2 - Broken Authentication
|
A3 – Broken Authentication and Session Management
|
A3 – Cross-Site Scripting (XSS)
|
A3 - Sensitive Data Exposure
|
A4 – Insecure Direct Object References
|
A4 – Insecure Direct Object References
|
A4 - XML External Entity (XXE)
|
A5 – Cross-Site Request Forgery (CSRF)
|
A5 – Security Misconfiguration
|
A5 - Broken Access Control
|
A6 – Security Misconfiguration
|
A6 – Sensitive Data Exposure
|
A6 - Security Misconfiguration
|
A7 – Insecure Cryptographic Storage
|
A7 – Missing Function Level Access Control
|
A7 - Cross-Site Scripting (XSS)
|
A8 - Failure to Restrict URL Access
|
A8 - Cross-Site Request Forgery (CSRF)
|
A8 - Insecure Deserialization
|
A9 - Insufficient Transport Layer Protection
|
A9 - Using Components with Known Vulnerabilities
|
A9 - Using Components with Known Vulnerabilities
|
A10 – Unvalidated Redirects and Forwards
|
A10 – Unvalidated Redirects and Forwards
|
A10 - Insufficient
Logging & Monitoring |
Những rủi ro bảo mật ứng dụng
Những kẻ tấn công có thể sử dụng nhiều đường tấn công khác nhau thông qua ứng dụng của bạn để gây hại cho doanh nghiệp hoặc tổ chức của bạn. Những con đường này đại diện cho một nguy cơ có thể hoặc có thể không nghiêm trọng, nhưng cũng đủ làm bạn chú ý.
Đôi khi, những con đường này rất dễ để nhìn thấy và cũng có thể rất khó tìm ra. Vì vậy mà tác hại nó gây ra có thể không để lại hậu quả gì hoặc gây ra thiệt hại vô cùng lớn. Để xác định rủi ro, cần phải đánh giá các khả năng liên quan đến từng tác nhân gây nguy hiểm, hướng tấn công, điểm yếu về bảo mật, mặt kĩ thuật (lập trình) và tác động kinh doanh đối với tổ chức của bạn.
OWASP Top 10 tập trung vào việc xác định những rủi ro nghiêm trọng nhất cho môt loạt các tổ chức dựa trên OWASP Risk Rating Methodology
- A1:2017 Injection
- A2:2017 Broken Authentication
- A3:2017 Sensitive Data Exposure
- A4:2017 XML External Entities (XXE)
- A5:2017 Broken Access Control
- A6:2017 Security Misconfiguration
- A7:2017 Cross-Site Scripting (XSS)
- A8:2017 Insecure Deserialization
- A9:2017 Using Components with Known Vulnerabilities
- A10:2017 Insufficient Logging and Monitoring
Nhận xét
Đăng nhận xét