Участники проекта Open Web Application Security Project (OWASP) уже десять лет составляют список Топ-10 самых опасных уязвимостей в веб-приложениях, стараясь привлечь внимание всех веб-разработчиков. На сайте OWASP каждая из уязвимостей разбирается подробно.
Рейтинг отражает не только распространенность, но и опасность угрозы. Первая версия Топ-10 вышла в 2003 году, следующие — в 2004, 2007 и 2010 гг. Предварительную версию нынешнего списка подготовили в феврале 2013 года, с тех пор она подробно обсуждалась на форумах OWASP, по результатам обсуждения внесены необходимые правки — и сейчас представлена окончательная версия.
Список OWASP Топ-10 основан на восьми базах данных от семи компаний, включая четыре консалтинговые фирмы и трех вендоров SaaS. Общая база содержит более 500 000 уязвимостей в сотнях организаций и тысячах приложений.
- A1 Внедрение кода
- A2 Некорректная аутентификация и управление сессией
- A3 Межсайтовый скриптинг (XSS)
- A4 Небезопасные прямые ссылки на объекты
- A5 Небезопасная конфигурация
- A6 Утечка чувствительных данных
- A7 Отсутствие контроля доступа к функциональному уровню
- A8 Подделка межсайтовых запросов (CSRF)
- A9 Использование компонентов с известными уязвимостями
- A10 Невалидированные редиректы
С 2010 года список претерпел некоторые изменения, показанные в таблице. Тройка лидеров осталось прежней, разве что некорректная аутентификация и управление сессией поднялась с третьего места на второе, а межсайтовый скриптинг опустился со второго на третье. Подделка межсайтовых запросов опустилась с пятого на восьмое место, а небезопасная конфигурация поднялась с шестого на пятое.
Небезопасное криптографическое хранение вместе с недостаточной криптографической защитой транспортного протокола внесены в категорию «утечка чувствительных данных». Уязвимость с ограничением URL расширена до отсутствия контроля доступа к функциональному уровню. Из «небезопасной конфигурации» выделена отдельная категория «использование компонентов с известными уязвимостями».
