Участники проекта Open Web Application Security Project (OWASP) уже десять лет составляют список Топ-10 самых опасных уязвимостей в веб-приложениях, стараясь привлечь внимание всех веб-разработчиков. На сайте OWASP каждая из уязвимостей разбирается подробно.

Рейтинг отражает не только распространенность, но и опасность угрозы. Первая версия Топ-10 вышла в 2003 году, следующие — в 2004, 2007 и 2010 гг. Предварительную версию нынешнего списка подготовили в феврале 2013 года, с тех пор она подробно обсуждалась на форумах OWASP, по результатам обсуждения внесены необходимые правки — и сейчас представлена окончательная версия.

Список OWASP Топ-10 основан на восьми базах данных от семи компаний, включая четыре консалтинговые фирмы и трех вендоров SaaS. Общая база содержит более 500 000 уязвимостей в сотнях организаций и тысячах приложений.

  • A1 Внедрение кода
  • A2 Некорректная аутентификация и управление сессией
  • A3 Межсайтовый скриптинг (XSS)
  • A4 Небезопасные прямые ссылки на объекты
  • A5 Небезопасная конфигурация
  • A6 Утечка чувствительных данных
  • A7 Отсутствие контроля доступа к функциональному уровню
  • A8 Подделка межсайтовых запросов (CSRF)
  • A9 Использование компонентов с известными уязвимостями
  • A10 Невалидированные редиректы

С 2010 года список претерпел некоторые изменения, показанные в таблице. Тройка лидеров осталось прежней, разве что некорректная аутентификация и управление сессией поднялась с третьего места на второе, а межсайтовый скриптинг опустился со второго на третье. Подделка межсайтовых запросов опустилась с пятого на восьмое место, а небезопасная конфигурация поднялась с шестого на пятое.

Небезопасное криптографическое хранение вместе с недостаточной криптографической защитой транспортного протокола внесены в категорию «утечка чувствительных данных». Уязвимость с ограничением URL расширена до отсутствия контроля доступа к функциональному уровню. Из «небезопасной конфигурации» выделена отдельная категория «использование компонентов с известными уязвимостями».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии