Top 10 OWASP 2021 ออกแล้ว!

Open Web Application Security Project (OWASP) ได้มีการอัปเดตการจัดลำดับช่องโหว่สำหรับ Web Application ในปี 2021 หลังจากไม่ได้มีการเปลี่ยนใดๆมาตั้งแต่ 2017

credit : OWASP.org

จากภาพเราจะเห็นอันดับที่เปลี่ยนแปลงไปหลายตัว ซึ่งมีทั้งการเพิ่มหัวข้อใหม่ หรือขยายหัวข้อเดิมไปครอบคลุมเนื้อหาอื่นๆ สำหรับประเด็นที่น่าสนใจมีดังนี้

  • Broken Access Control ขึ้นแท่นอันดับ 1 โดยพบว่ามี CWE อ้างอิงในหมวดนี้ถึง 34 รายการ จากการทดสอบแอปราว 94% 
  • Cryptographic Failures (เดิมคือ Sensitive Data Exposure) เลื่อนขึ้นมาสู่อันดับ 2 เพราะคือสาเหตุจากเหตุการณ์ที่เผยการเข้าถึงข้อมูลละเอียดอ่อนมากมาย รวมถึงการแทรกแซงระบบ 
  • Injection ตกลงสู่อันดับ 3 จากเดิมที่เป็นอันดับ 1 มาตลอด โดยจากการทดสอบ 94% ของแอปพลิเคชันเชื่อมโยงได้กับ CWE 33 รายการ โดย XSS เป็นส่วนหนึ่งในหมวดนี้ด้วย
  • Insecure Design – เป็นประเภทใหม่ที่ว่าด้วยเรื่องของความผิดพลาดในการออกแบบและรั้งอันดับ 4
  • Security Misconfiguration อันดับ 5เลื่อนขึ้นจาก OWASP ครั้งก่อน 1 ขั้น โดยรวมถึงเรื่อง XML External Entities (XXE) ด้วย
  • Vulnerable and Outdated Components กระโดดมาสู่อันดับ 6 จาก 9 และเป็นประเภทเดียวที่ไม่มีการจับคู่กับ CVE ที่ประกอบด้วย CWE
  • Identification and Authentication Failures หรือเดิมคือ ‘Broken Authentication’ ตกลงจากอันดับ 2 เพราะ OWASP ชี้ว่ามี Framework มารองรับได้มากขึ้นแล้ว
  • Software and Data Integrity Failures เป็นเรื่องใหม่เช่นกัน โดยเน้นไปเกี่ยวกับการไม่ตรวจสอบ integrity ของการอัปเดตซอฟต์แวร์ ข้อมูลสำคัญ และการทำ CI/CD Pipeline นอกจากนี้ยังยุบรวมเรื่อง Insecure Deserialization เข้ามาในหมวดนี้
  • Security Logging and Monitoring Failures (ชื่อเดิมคือ Insufficient Logging & Monitoring) ไต่ขึ้นมาสูงขึ้น 1 อันดับ โดยขยายหัวข้อชนิดของ Failure มากขึ้นกว่าเดิม แม้จะไม่มีผลสะท้อนจากการอ้างถึงของ CVE/CVSS มากนักแต่ความผิดพลาดในหมวดนี้มีผลโดยตรงกับเรื่อง Visibility, Incident Alerting และ Forensic
  • SSRF รั้งอันดับสุดท้าย ซึ่งเกิดได้ไม่มากแต่ถูกอ้างอิงในอุตสาหกรรมสูง

สำหรับผู้สนใจเข้าไปศึกษากันถึงผลการวิเคราะห์กันโดยละเอียดได้ที่ https://owasp.org/Top10/ 

ที่มา : https://www.zdnet.com/article/owasp-updates-top-10-vulnerability-ranking-for-first-time-since-2017


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

คำเตือนของ FBI : โจรกำลังใช้ Deepfakes เพื่อสมัครงานเทคโนโลยีระยะไกล

ท่ามกลางการเปลี่ยนแปลงทางดิจิทัลอย่างต่อเนื่อง กับปัญหาด้านเศรษฐกิจ ภาวะการว่างงานสูงส่งผลให้จำนวนการสมัครงานต่างต่อแถวกันเข้าสัมภาษณ์งานมากขึ้นเช่นกัน การประยุกต์ใช้รูปแบบการสัมภาาษงานออนไลน์เป็นสิ่งที่ดีและปลอดภัยต่อการแพร่เชื้อไวรัส  

เชิญร่วมงานสัมมนา “การตลาดในโลกที่เน้นความเป็นส่วนตัว – PDPA ส่งผลต่อการตลาดในปัจจุบันอย่างไร”

SoftBank ร่วมกับ ADA, Treasure Data และ D-Serve ขอเชิญนักการตลาดและผู้ที่สนใจเข้าร่วมงานสัมมนา “การตลาดในโลกที่เน้นความเป็นส่วนตัว – PDPA ส่งผลต่อการตลาดในปัจจุบันอย่างไร” ในวันอังคารที่ 5 กรกฎาคม …