TTT Virtual Summit 2023

OWASP Top 10 ฉบับปี 2017 ล่าสุด เปิดให้ดาวน์โหลดเวอร์ชัน RC แล้ว

April 11, 2017 Featured Posts, IT Knowledge, IT Researches, IT Trends and Updates, Security, Vulnerability and Risk Management, Web Security

OWASP (Open Web Application Security Project) องค์กรไม่แสวงหาผลกำไรที่เน้นวิจัยทางด้าน Web Application Security ออกเอกสาร OWASP Top 10 ฉบับใหม่ ปี 2017 เวอร์ชัน Release Candidate เพื่อเก็บคอมเมนต์และกระแสตอบรับจากผู้เชี่ยวชาญจากทั่วโลก ผู้ที่สนใจสามารถดาวน์โหลดเอกสารได้ฟรี

OWASP Top 10 เป็นเอกสารงานวิจัยทางด้าน Web Application Security ที่รวบรวม 10 อันดับช่องโหว่ที่ส่งผลกระทบรุนแรงต่อเว็บแอพพลิเคชันมากที่สุด จัดอันดับโดยผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยหลากหลายสาขาจากทั่วโลก ซึ่งเป็นเอกสารที่แนะนำให้ทุกองค์กรนำไปใช้เพื่อเป็นแนวทางในการอุดช่องโหว่และรับมือกับภัยคุกคามที่อาจเกิดขึ้นบนเว็บแอพพลิเคชัน

“OWASP Top 10 ปี 2017 นี้รวบรวมความเสี่ยงล่าสุด และแนวทางปฏิบัติที่ดีที่สุดสำหรับรับมือกับภัยคุกคามบนเว็บแอพพลิเคชัน ซึ่งแนะนำให้ทั้ง IT Admin และ Developer ศึกษา เพื่อที่จะได้ออกแบบแอพพลิเคชันและระบบรักษาความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพ” — I-SECURE ผู้ให้บริการ Managed Security Services ชื่อดังระบุ

ตารางด้านล่างแสดงผลการเปรียบเทียบ OWASP Top 10 – 2013 และ 2017 RC

จะเห็นว่าความเสี่ยงบางรายการของปี 2013 ถูกรวมเข้ากับความเสี่ยงใหม่ในปี 2017 ยกเว้น A10 – Unvalidated Redirects and Forwards ที่หายไป ในขณะที่ OWASP Top 10 – 2017 มีการเพิ่มความเสี่ยงใหม่เข้ามา 3 รายการ คือ

  • A4 – Broken Access Control: เคยถูกยกมาเป็นประเด็นครั้งแรกในปี 2003/2004 เป็นความเสี่ยงทางด้านฟังก์ชันของแอพพลิเคชันที่เกี่ยวข้องกับการพิสูจน์ตัวตนและการบริหารจัดการเซสชันซึ่งถูกพัฒนาอย่างไม่ถูกต้องเหมาะสม ช่วยให้แฮ็คเกอร์สามารถแฮ็ครหัสผ่าน กุญแจที่ใช้เข้ารหัส โทเค็นของเซสชัน หรือเจาะช่องโหว่เพื่อขโมยตัวตนของผู้ใช้ได้
  • A7 – Insufficient Attack Protection: แอพพลิเคชันและ API ขาดความสามารถพื้นฐานในการตรวจจับ ป้องกัน และตอบสนองต่อการโจมตีแบบ Manual และ Automated
  • A10 – Underprotected APIs: แอพพลิเคชันสมัยใหม่มีการใช้ Client Applications และ APIs เป็นจำนวนมาก เช่น JavaScript, SOAP/XML, REST/JSON, RPC, GWT และอื่นๆ ซึ่ง API เหล่านี้ส่วนใหญ่ไม่ได้รับการป้องกัน หรือมีช่องโหว่เป็นจำนวนมากแอบแฝงอยู่

สรุปคำอธิบายความเสี่ยงของ Web Application 10 อันดับแรก

ดาวน์โหลดเอกสาร OWASP Top 10 – 2017 Release Candidate [PDF]

วิธีการที่ดีที่สุดสำหรับลดความเสี่ยงทั้ง 10 รายการนี้คือการเขียนโค้ดให้มั่นคงปลอดภัยตามแนวคิด Secure Software Development Lifecycle อย่างไรก็ตาม สำหรับองค์กรที่มีข้อจำกัดด้านการแก้ไขซอร์สโค้ด แนะนำให้เพิ่มมาตรการควบคุม เช่น Web Application Firewall เพื่ออุดช่องโหว่ดังกล่าว ซึ่งทาง I-SECURE และ UIH พร้อมให้บริการ Managed WAF ตั้งแต่การให้คำปรึกษา ออกแบบ ติดตั้ง และปรับแต่งนโยบายด้านความมั่นคงปลอดภัย เพื่อให้มั่นใจได้ว่า องค์กรจะพร้อมรับมือกับภัยคุกคามทั้ง 10 รายการนี้ได้อย่างมีประสิทธิภาพ

   

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video] IBM Sustainability Software โซลูชันที่ช่วยยกระดับให้ธุรกิจคุณเติบโตอย่างยั่งยืน โดย Metro Systems

ESG กำลังเป็นวาระสำคัญของธุรกิจองค์กรทั่วโลก ที่มีวิสัยทัศน์ในการดำเนินธุรกิจอย่างยั่งยืน เป็นมิตรกับสิ่งแวดล้อม และรักษาทรัพยากรที่หลากหลายของโลกใบนี้เพื่อผู้คนในยุคถัดไป

Google เปิดตัว Secure AI Framework แนวทางการสร้าง AI อย่างปลอดภัย

Google เปิดตัว Secure AI Framework ช่วยแนะนำแนวทางการสร้าง AI อย่างปลอดภัย

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand