Что такое OWASP?
OWASP - это открытый проект безопасности веб-приложений, состоящий из открытого сообщества, призванного дать организациям возможность разрабатывать, приобретать и поддерживать приложения, которым можно доверять.
OWASP-топ-десять-2017В OWASP мы находим:
- Стандарты и инструменты безопасности приложений Полные книги обзоров безопасности приложений, безопасной разработки исходного кода и обзоров безопасности исходного кода Стандартные средства управления безопасностью и библиотеки.
Все инструменты, документы и ресурсы бесплатны и открыты для всех, кто заинтересован в повышении безопасности приложений.
Риски безопасности веб-приложений
OWASP определяет следующую таблицу для оценки рисков уязвимости:
Риски уязвимости
Злоумышленники могут использовать разные векторы атак в приложении, чтобы нанести вред вашей организации. Каждый из различных векторов может быть или не быть достаточно серьезным, чтобы привлечь внимание к проблеме.
Иногда эти маршруты «легко» найти и использовать, а иногда очень сложно. Таким же образом они не могут повлиять на систему или вывести ее из строя.
Как рассчитывается риск?
OWASP Top 10 фокусируется на выявлении наиболее серьезных рисков для широкого круга организаций. Для каждого из этих рисков мы определили следующую схему рейтинга.
Схема оценки риска
Только организации знают специфику вашего бизнеса. Для данного приложения может не быть агента угрозы, способного выполнить указанную атаку. Следовательно, вы должны оценивать каждый риск и его влияние на бизнес.
OWASP Top 10
Что касается всех ранее представленных критериев, OWASP определяет 10 лучших документов, взвешивая наиболее распространенные уязвимости и с наибольшим риском в веб-приложениях, которые служат основой для большинства компаний и специалистов по безопасности, чтобы иметь общую стандартную методологию.
Этот документ со списком 10 наиболее распространенных уязвимостей обновляется каждые 3 года, поскольку многие уязвимости, риски или формы их использования, конечно, также развиваются со временем.
Последняя топ-10, признанная датированной 2013 годом, согласно трехлетней структуре, должна была выйти такой же в прошлом году, вместо этого организация из-за нескольких изменений в существующих уязвимостях решила отложить ее на год и удалить в 2017 году.
OWASP Top 10 2013 и OWSP Top 10 2017
На следующем изображении вы можете увидеть наиболее существенные различия между старой и новой версиями:
Наиболее существенные различия между старой и новой версиями
Как видно, он изменился только в нескольких уязвимостях, оставив неизменной основную структуру наиболее распространенных. Некоторые из основных нововведений новой версии 2017 года:
- A8 - CSRF исчезает как уязвимость в первой десятке, поскольку из-за определенных элементов управления, которые есть в приложениях, проведенное исследование показывает, что он встречается только в 5% текущих веб-приложений. Появляются новые уязвимости, которые вызывают ссылка на код приложения, например, A4, который относится к XML-инъекциям, обнаруженным в этом типе анализа кода. A4 и A7 старого образца 2013 года объединяются для создания новой уязвимости, которая охватывает оба, и который относится к неправильному управлению доступом к определенным частям / ресурсам информации, обрабатываемой приложениями. Другая новая уязвимость определяется из-за неправильного мониторинга и управления журналами для оценки безопасности приложений в случае нападение или вторжение
Хотя предыдущая десятка была модернизирована с начала 2017 года, до ее конца не было выпущено ее последней версии, которая кажется последней. В настоящее время он находится в процессе перевода на несколько языков, включая испанский, поэтому, возможно, он не претерпит слишком много важных изменений.
В Áudea мы не только следуем рекомендациям Top 10 для проведения всех аудитов наших веб-приложений, но также следуем методологии OWASP, прокомментированной в этой статье, чтобы проводить все тесты в них, которые включают все проблемы безопасности, которые может возникнуть в них.
Скачать оригинальный файл
