OWASP Top 10 ฉบับปี 2017 ล่าสุด เปิดให้ดาวน์โหลดเวอร์ชัน RC แล้ว

OWASP (Open Web Application Security Project) องค์กรไม่แสวงหาผลกำไรที่เน้นวิจัยทางด้าน Web Application Security ออกเอกสาร OWASP Top 10 ฉบับใหม่ ปี 2017 เวอร์ชัน Release Candidate เพื่อเก็บคอมเมนต์และกระแสตอบรับจากผู้เชี่ยวชาญจากทั่วโลก ผู้ที่สนใจสามารถดาวน์โหลดเอกสารได้ฟรี

OWASP Top 10 เป็นเอกสารงานวิจัยทางด้าน Web Application Security ที่รวบรวม 10 อันดับช่องโหว่ที่ส่งผลกระทบรุนแรงต่อเว็บแอพพลิเคชันมากที่สุด จัดอันดับโดยผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยหลากหลายสาขาจากทั่วโลก ซึ่งเป็นเอกสารที่แนะนำให้ทุกองค์กรนำไปใช้เพื่อเป็นแนวทางในการอุดช่องโหว่และรับมือกับภัยคุกคามที่อาจเกิดขึ้นบนเว็บแอพพลิเคชัน

“OWASP Top 10 ปี 2017 นี้รวบรวมความเสี่ยงล่าสุด และแนวทางปฏิบัติที่ดีที่สุดสำหรับรับมือกับภัยคุกคามบนเว็บแอพพลิเคชัน ซึ่งแนะนำให้ทั้ง IT Admin และ Developer ศึกษา เพื่อที่จะได้ออกแบบแอพพลิเคชันและระบบรักษาความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพ” — I-SECURE ผู้ให้บริการ Managed Security Services ชื่อดังระบุ

ตารางด้านล่างแสดงผลการเปรียบเทียบ OWASP Top 10 – 2013 และ 2017 RC

จะเห็นว่าความเสี่ยงบางรายการของปี 2013 ถูกรวมเข้ากับความเสี่ยงใหม่ในปี 2017 ยกเว้น A10 – Unvalidated Redirects and Forwards ที่หายไป ในขณะที่ OWASP Top 10 – 2017 มีการเพิ่มความเสี่ยงใหม่เข้ามา 3 รายการ คือ

  • A4 – Broken Access Control: เคยถูกยกมาเป็นประเด็นครั้งแรกในปี 2003/2004 เป็นความเสี่ยงทางด้านฟังก์ชันของแอพพลิเคชันที่เกี่ยวข้องกับการพิสูจน์ตัวตนและการบริหารจัดการเซสชันซึ่งถูกพัฒนาอย่างไม่ถูกต้องเหมาะสม ช่วยให้แฮ็คเกอร์สามารถแฮ็ครหัสผ่าน กุญแจที่ใช้เข้ารหัส โทเค็นของเซสชัน หรือเจาะช่องโหว่เพื่อขโมยตัวตนของผู้ใช้ได้
  • A7 – Insufficient Attack Protection: แอพพลิเคชันและ API ขาดความสามารถพื้นฐานในการตรวจจับ ป้องกัน และตอบสนองต่อการโจมตีแบบ Manual และ Automated
  • A10 – Underprotected APIs: แอพพลิเคชันสมัยใหม่มีการใช้ Client Applications และ APIs เป็นจำนวนมาก เช่น JavaScript, SOAP/XML, REST/JSON, RPC, GWT และอื่นๆ ซึ่ง API เหล่านี้ส่วนใหญ่ไม่ได้รับการป้องกัน หรือมีช่องโหว่เป็นจำนวนมากแอบแฝงอยู่

สรุปคำอธิบายความเสี่ยงของ Web Application 10 อันดับแรก

ดาวน์โหลดเอกสาร OWASP Top 10 – 2017 Release Candidate [PDF]

วิธีการที่ดีที่สุดสำหรับลดความเสี่ยงทั้ง 10 รายการนี้คือการเขียนโค้ดให้มั่นคงปลอดภัยตามแนวคิด Secure Software Development Lifecycle อย่างไรก็ตาม สำหรับองค์กรที่มีข้อจำกัดด้านการแก้ไขซอร์สโค้ด แนะนำให้เพิ่มมาตรการควบคุม เช่น Web Application Firewall เพื่ออุดช่องโหว่ดังกล่าว ซึ่งทาง I-SECURE และ UIH พร้อมให้บริการ Managed WAF ตั้งแต่การให้คำปรึกษา ออกแบบ ติดตั้ง และปรับแต่งนโยบายด้านความมั่นคงปลอดภัย เพื่อให้มั่นใจได้ว่า องค์กรจะพร้อมรับมือกับภัยคุกคามทั้ง 10 รายการนี้ได้อย่างมีประสิทธิภาพ

   



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ระวัง !! ดูหนังเพลินๆ อาจถูกแฮ็คคอมพิวเตอร์ผ่านไฟล์ Subtitle ที่โหลดมาได้

Check Point ผู้ให้บริหารโซลูชัน Next-generation Firewall ยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนถึงช่องโหว่บนโปรแกรมเล่นวิดีโอ ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้างไฟล์ Subtitle แบบพิเศษขึ้น เพื่อใช้ลอบรันคำสั่งบนเครื่องคอมพิวเตอร์เป้าหมายได้ตามต้องการ

สัมภาษณ์คุณสุทัศน์ GM แห่ง Express Software Group ผู้พัฒนาระบบซอฟต์แวร์บัญชีชื่อดังของไทย กับการก้าวสู่ Cloud ในปัจจุบัน

ทางทีมงาน TechTalkThai มีโอกาสได้รับเชิญให้ไปสัมภาษณ์คุณสุทัศน์ สกุลนิวัฒน์ หนึ่งในผู้ร่วมก่อตั้งและ General Manager (GM) แห่งบริษัท เอ็กซ์เพรสซอฟท์แวร์กรุ๊ป จำกัด หรือที่สาย IT อย่างเราๆ รู้จักกันในชื่อซอฟต์แวร์บัญชี …