Các nhà nghiên cứu bảo mật của OWASP đã đề xuất bảng cập nhật danh sách mười rủi ro bảo mật ứng dụng web quan trọng nhất. Lần cập nhật cuối cùng là vào tháng 11 năm 2017 và danh sách mới nhất đã được đưa ra để đánh giá trước khi được chính thức phê chuẩn. Danh sách top 10 lỗ hổng bảo mật hàng đầu được của OWASP thường được sử dụng làm tiêu chuẩn coding và kiểm thử
Danh sách các đe dọa về bảo mật của OWASP được sắp xếp ba hoặc bốn năm một lần để phản ánh mối đe dọa hiện tại. Tuy nhiên năm nay đã có những thay đổi thú vị trong đó có một mối đe dọa bảo mật lần đầu tiên được sắp xếp ở đầu bảng. Bên cạnh đó có 3 mối đe dọa mới được đưa vào danh sách.
Trước hết hãy cùng tìm hiểu về tổ chức WOASP
WOASP là gì?
Open Web Application Security Project (OWASP) là một tổ chức phi lợi nhuận dành riêng cho việc cải thiện tính bảo mật của phần mềm. OWASP hoạt động theo mô hình ‘cộng đồng mở’, nơi bất kỳ ai cũng có thể tham gia và đóng góp vào các dự án, sự kiện, trò chuyện trực tuyến, v.v. Nguyên tắc của OWASP là tất cả các tài liệu và thông tin đều miễn phí và dễ dàng truy cập trên trang web của họ, cho tất cả mọi người. OWASP cung cấp mọi thứ từ công cụ, video, diễn đàn, dự án cho đến sự kiện. Nói tóm lại, OWASP là một kho lưu trữ tất cả mọi thứ về bảo mật-ứng dụng web, được hỗ trợ bởi kiến thức và kinh nghiệm sâu rộng của các cộng tác viên cộng đồng mở.
Top 10 lỗ hổng OWASP là gì?
Top 10 lỗ hổng OWASP là tài liệu trực tuyến trên trang web của OWASP cung cấp hướng dẫn xếp hạng và khắc phục cho 10 rủi ro bảo mật ứng dụng web quan trọng nhất. Báo cáo dựa trên sự đồng thuận giữa các chuyên gia bảo mật từ khắp nơi trên thế giới. Các rủi ro được xếp hạng và dựa trên tần suất các lỗi bảo mật được phát hiện, mức độ nghiêm trọng của các lỗ hổng và mức độ ảnh hưởng tiềm tàng của chúng. Mục đích của báo cáo là cung cấp cho các nhà phát triển và chuyên gia bảo mật ứng dụng web cái nhìn sâu sắc về các rủi ro bảo mật phổ biến nhất để họ có thể kết hợp các phát hiện và khuyến nghị của báo cáo vào thực tiễn bảo mật của họ, do đó giảm thiểu sự hiện diện của những rủi ro đã biết này trong ứng dụng của họ.
OWASP Top 10 hoạt động như thế nào và tại sao nó lại quan trọng?
OWASP duy trì danh sách Top 10 và đã làm như vậy kể từ năm 2003. Cứ sau 2-3 năm, danh sách này được cập nhật theo những tiến bộ và thay đổi trong thị trường AppSec (Application Security). Tầm quan trọng của OWASP nằm ở thông tin hữu ích mà nó cung cấp; nó đóng vai trò như một danh sách kiểm tra chính và là tiêu chuẩn phát triển ứng dụng Web nội bộ cho nhiều tổ chức lớn nhất thế giới.
Các chuyên gia thường coi việc tổ chức không đạt được Top 10 lỗ hổng OWASP là một dấu hiệu cho thấy tổ chức đó có thể không tuân thủ đủ các tiêu chuẩn về bảo mật. Việc tích hợp Top 10 vào vòng đời phát triển phần mềm (SDLC) thể hiện cam kết tổng thể đối với các phương pháp tốt nhất trong ngành để phát triển các ứng dụng an toàn.
Những thay đổi trong danh sách bảo mật WOASP trong lần cập nhật này
Có ba danh mục mới, bốn danh mục được đổi tện và phạm vi, và một số được hợp nhất trong Top 10 cho năm 2021
Chúng ta có thể thấy những thay đổi về thứ hạng của top 10 WOASP 2021 như sau:
1/ A01:2021-Broken Access Control
Broken Access Control là lỗ hỗng trong hệ thống xác thực. Khi các chức năng của ứng dụng liên quan đến xác thực và quản lý session được triển khai không chính xác, tin tặc có thể dễ dàng xâm nhập, ăn cắp thông tin tài khoản, mật khẩu và khai thác các lỗ hổng khác bằng cách sử dụng các thông tin đã đánh cắp
Lỗ hổng Broken Access Control đã di chuyển lên đầu từ vị trí thứ năm; 94% ứng dụng đã được kiểm tra đối với một số hình thức Broken Access Control. 34 CWE (Common Weakness Enumeration – Liệt kê các điểm yếu chung) được ánh xạ (CWEs Mapped) tới Broken Access Control có nhiều lần xuất hiện trong các ứng dụng hơn bất kỳ danh mục nào khác.
2/ A02:2021-Cryptographic Failures
Cryptographic Failures trước đây có tên gọi là Sensitive Data Expose, đã chuyển một vị trí để lên # 2. Trọng tâm cho sự thay đổi ở đây là các lỗi liên quan đến cryptography (mật mã) thường dẫn đến việc lộ dữ liệu nhạy cảm hoặc xâm phạm hệ thống.
3/ A03: 2021-Injection
Injection trượt xuống vị trí thứ ba và không còn nằm ở vị trí đầu nữa. 94% ứng dụng đã được thử nghiệm cho một số hình thức injection, và 33 CWE được ánh xạ vào danh mục này có số lần xuất hiện nhiều thứ hai trong các ứng dụng. Lỗ hổng bảo mật Cross-site Scripting (XSS) vốn đứng thứ 7 trong lần cập nhật năm 2017 hiện là một phần của Injection trong thay đổi 2021 này.
Xem thêm về SQL Injection
4/ A04:2021-Insecure Design
A04:2021-Insecure Design là một danh mục mới trong top 10 lỗ hổng WOSP năm 2021, tập trung vào các rủi ro liên quan đến lỗi thiết kế. Nếu chúng ta thực sự muốn “đi sang trái” trong ngành công nghiệp phần mềm, chúng ta sẽ cần sử dụng nhiều hơn các mô hình hóa đe dọa (threat modeling), các nguyên tắc và mẫu thiết kế an toàn cũng như các kiến trúc tham chiếu.
5/A05:2021-Security Misconfiguration
Security Misconfiguration (Cấu hình bảo mật sai) tăng lên vị trí #5 từ # 6 trong phiên bản top 10 WOASP 2017; 90% ứng dụng đã được kiểm tra về một số dạng cấu hình sai. Với sự thay đổi nhiều hơn trong phần mềm có cấu hình cao, không có gì ngạc nhiên khi thấy danh mục này càng quan trọng hơn. Một danh mục khác XML External Entities (XXE) trong phiên bản trước hiện là một phần của danh mục Security Misconfiguration trong lần cập nhật này.
6/Vulnerable and Outdated Components
Vulnerable and Outdated Components trước đây tên là Using Components with Known Vulnerabilities. Danh mục này tăng từ vị trí thứ 9 vào năm 2017 và là một vấn đề đã biết mà chúng ta phải vật lộn để kiểm tra và đánh giá rủi ro. Đây là danh mục duy nhất không có bất kỳ CVE(Common Vulnerabilities and Exposures – Những lỗ hổng và rủi ro thường thấy) nào được ánh xạ tới các CWE.
7/A07:2021-Identification and Authentication Failures
Identification and Authentication Failures trước đây có tên gọi là Broken Authentication trượt xuống từ vị trí thứ hai trong phiên bảng 2017 và hiện bao gồm các CWE liên quan nhiều hơn đến lỗi nhận diện (identification). Danh mục này vẫn là một phần không thể thiếu của Top 10, nhưng các framework hiện đại đã giúp cho rủi ro này thấp hơn.
8/A08:2021-Software and Data Integrity Failures
Software and Data Integrity Failures (Lỗi toàn vẹn dữ liệu và phần mềm) là một danh mục mới trong top 10 OWASP năm 2021, tập trung vào việc đưa ra các giả định liên quan đến cập nhật phần mềm, dữ liệu quan trọng và đường ống CI / CD mà không xác minh tính toàn vẹn. Một trong những tác động có trọng số cao nhất từ dữ liệu CVE / CVSS được ánh xạ tới 10 CWE trong danh mục này. Danh mục Insecure Deserialization trong phiên bảng năm 2017 hiện là một phần của danh mục lớn hơn này.
9/A09:2021-Security Logging and Monitoring Failure
Security Logging and Monitoring Failure (lỗi theo dõi và ghi nhật ký bảo mật) trước đây là Insufficient Logging & Monitoring, tăng lên từ # 10 trước đây. Danh mục này được mở rộng để bao gồm nhiều loại lỗi hơn, khó kiểm tra và không được thể hiện tốt trong dữ liệu CVE / CVSS. Tuy nhiên, các lỗi trong danh mục này có thể ảnh hưởng trực tiếp đến khả năng hiển thị, cảnh báo sự cố và điều tra số (forensics).
10/A10:2021-Server-Side Request Forgery
Server-Side Request Forgery (SSRF – Truy vấn yêu cầu phía máy chủ ) là danh mục mới trong top 10 lỗ hổng OWASP 2021. SSRF được thêm vào từ cuộc khảo sát của các chuyên gia trong ngành. Các cuộc tấn công SSRF thường nhắm vào các hệ thống nội bộ đằng sau một firewall mà các mạng bên ngoài không thể truy cập được. Tin tặc chiếm quyền kiểm soát máy chủ back-end để gửi các yêu cầu giả mạo.
Tài liệu tham khảo và thông tin chi tiết:
1/ Introduction to OWASP Top 10 2021
2/Open Web Application Security Project Top 10 (OWASP Top 10)
