OWASP Top 10 ฉบับปี 2017 ล่าสุด เปิดให้ดาวน์โหลดเวอร์ชัน RC แล้ว

OWASP (Open Web Application Security Project) องค์กรไม่แสวงหาผลกำไรที่เน้นวิจัยทางด้าน Web Application Security ออกเอกสาร OWASP Top 10 ฉบับใหม่ ปี 2017 เวอร์ชัน Release Candidate เพื่อเก็บคอมเมนต์และกระแสตอบรับจากผู้เชี่ยวชาญจากทั่วโลก ผู้ที่สนใจสามารถดาวน์โหลดเอกสารได้ฟรี

OWASP Top 10 เป็นเอกสารงานวิจัยทางด้าน Web Application Security ที่รวบรวม 10 อันดับช่องโหว่ที่ส่งผลกระทบรุนแรงต่อเว็บแอพพลิเคชันมากที่สุด จัดอันดับโดยผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยหลากหลายสาขาจากทั่วโลก ซึ่งเป็นเอกสารที่แนะนำให้ทุกองค์กรนำไปใช้เพื่อเป็นแนวทางในการอุดช่องโหว่และรับมือกับภัยคุกคามที่อาจเกิดขึ้นบนเว็บแอพพลิเคชัน

“OWASP Top 10 ปี 2017 นี้รวบรวมความเสี่ยงล่าสุด และแนวทางปฏิบัติที่ดีที่สุดสำหรับรับมือกับภัยคุกคามบนเว็บแอพพลิเคชัน ซึ่งแนะนำให้ทั้ง IT Admin และ Developer ศึกษา เพื่อที่จะได้ออกแบบแอพพลิเคชันและระบบรักษาความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพ” — I-SECURE ผู้ให้บริการ Managed Security Services ชื่อดังระบุ

ตารางด้านล่างแสดงผลการเปรียบเทียบ OWASP Top 10 – 2013 และ 2017 RC

จะเห็นว่าความเสี่ยงบางรายการของปี 2013 ถูกรวมเข้ากับความเสี่ยงใหม่ในปี 2017 ยกเว้น A10 – Unvalidated Redirects and Forwards ที่หายไป ในขณะที่ OWASP Top 10 – 2017 มีการเพิ่มความเสี่ยงใหม่เข้ามา 3 รายการ คือ

  • A4 – Broken Access Control: เคยถูกยกมาเป็นประเด็นครั้งแรกในปี 2003/2004 เป็นความเสี่ยงทางด้านฟังก์ชันของแอพพลิเคชันที่เกี่ยวข้องกับการพิสูจน์ตัวตนและการบริหารจัดการเซสชันซึ่งถูกพัฒนาอย่างไม่ถูกต้องเหมาะสม ช่วยให้แฮ็คเกอร์สามารถแฮ็ครหัสผ่าน กุญแจที่ใช้เข้ารหัส โทเค็นของเซสชัน หรือเจาะช่องโหว่เพื่อขโมยตัวตนของผู้ใช้ได้
  • A7 – Insufficient Attack Protection: แอพพลิเคชันและ API ขาดความสามารถพื้นฐานในการตรวจจับ ป้องกัน และตอบสนองต่อการโจมตีแบบ Manual และ Automated
  • A10 – Underprotected APIs: แอพพลิเคชันสมัยใหม่มีการใช้ Client Applications และ APIs เป็นจำนวนมาก เช่น JavaScript, SOAP/XML, REST/JSON, RPC, GWT และอื่นๆ ซึ่ง API เหล่านี้ส่วนใหญ่ไม่ได้รับการป้องกัน หรือมีช่องโหว่เป็นจำนวนมากแอบแฝงอยู่

สรุปคำอธิบายความเสี่ยงของ Web Application 10 อันดับแรก

ดาวน์โหลดเอกสาร OWASP Top 10 – 2017 Release Candidate [PDF]

วิธีการที่ดีที่สุดสำหรับลดความเสี่ยงทั้ง 10 รายการนี้คือการเขียนโค้ดให้มั่นคงปลอดภัยตามแนวคิด Secure Software Development Lifecycle อย่างไรก็ตาม สำหรับองค์กรที่มีข้อจำกัดด้านการแก้ไขซอร์สโค้ด แนะนำให้เพิ่มมาตรการควบคุม เช่น Web Application Firewall เพื่ออุดช่องโหว่ดังกล่าว ซึ่งทาง I-SECURE และ UIH พร้อมให้บริการ Managed WAF ตั้งแต่การให้คำปรึกษา ออกแบบ ติดตั้ง และปรับแต่งนโยบายด้านความมั่นคงปลอดภัย เพื่อให้มั่นใจได้ว่า องค์กรจะพร้อมรับมือกับภัยคุกคามทั้ง 10 รายการนี้ได้อย่างมีประสิทธิภาพ

   



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยค้นพบวิธีป้องกันไม่ให้ Petya Ransomware โจมตีได้ชั่วคราวแล้ว

Amit Serper นักวิจัยด้านความมั่นคงปลอดภัยจาก Cybereason ได้ออกมาเปิดเผยถึงวิธีการป้องกันไม่ให้ Petya Ransomware ตัวใหม่ที่กำลังระบาดอยู่นี้ทำการโจมตีเครื่องคอมพิวเตอร์ได้สำเร็จ

Email สำหรับจ่ายค่าไถ่ Petya Ransomware ถูกผู้ให้บริการสั่งปิด เหยื่อยืนยันการจ่ายค่าไถ่ไม่ได้แล้ว

นับเป็นข่าวร้ายสำหรับเหยื่อของ Petya Ransomware ที่ระบาดอย่างหนักใน 3 วันที่ผ่านมา เมื่อ Posteo ผู้ให้บริการ Email ที่ผู้พัฒนา Petya ใช้ในการติดต่อเหยื่อเพื่อรับการยืนยันค่าไถ่และส่งกุญแจถอดรหัสให้ สั่งปิดอีเมล์ wowsmith123456@posteo.net …