Top 10 OWASP 2021 ออกแล้ว!

Open Web Application Security Project (OWASP) ได้มีการอัปเดตการจัดลำดับช่องโหว่สำหรับ Web Application ในปี 2021 หลังจากไม่ได้มีการเปลี่ยนใดๆมาตั้งแต่ 2017

credit : OWASP.org

จากภาพเราจะเห็นอันดับที่เปลี่ยนแปลงไปหลายตัว ซึ่งมีทั้งการเพิ่มหัวข้อใหม่ หรือขยายหัวข้อเดิมไปครอบคลุมเนื้อหาอื่นๆ สำหรับประเด็นที่น่าสนใจมีดังนี้

  • Broken Access Control ขึ้นแท่นอันดับ 1 โดยพบว่ามี CWE อ้างอิงในหมวดนี้ถึง 34 รายการ จากการทดสอบแอปราว 94% 
  • Cryptographic Failures (เดิมคือ Sensitive Data Exposure) เลื่อนขึ้นมาสู่อันดับ 2 เพราะคือสาเหตุจากเหตุการณ์ที่เผยการเข้าถึงข้อมูลละเอียดอ่อนมากมาย รวมถึงการแทรกแซงระบบ 
  • Injection ตกลงสู่อันดับ 3 จากเดิมที่เป็นอันดับ 1 มาตลอด โดยจากการทดสอบ 94% ของแอปพลิเคชันเชื่อมโยงได้กับ CWE 33 รายการ โดย XSS เป็นส่วนหนึ่งในหมวดนี้ด้วย
  • Insecure Design – เป็นประเภทใหม่ที่ว่าด้วยเรื่องของความผิดพลาดในการออกแบบและรั้งอันดับ 4
  • Security Misconfiguration อันดับ 5เลื่อนขึ้นจาก OWASP ครั้งก่อน 1 ขั้น โดยรวมถึงเรื่อง XML External Entities (XXE) ด้วย
  • Vulnerable and Outdated Components กระโดดมาสู่อันดับ 6 จาก 9 และเป็นประเภทเดียวที่ไม่มีการจับคู่กับ CVE ที่ประกอบด้วย CWE
  • Identification and Authentication Failures หรือเดิมคือ ‘Broken Authentication’ ตกลงจากอันดับ 2 เพราะ OWASP ชี้ว่ามี Framework มารองรับได้มากขึ้นแล้ว
  • Software and Data Integrity Failures เป็นเรื่องใหม่เช่นกัน โดยเน้นไปเกี่ยวกับการไม่ตรวจสอบ integrity ของการอัปเดตซอฟต์แวร์ ข้อมูลสำคัญ และการทำ CI/CD Pipeline นอกจากนี้ยังยุบรวมเรื่อง Insecure Deserialization เข้ามาในหมวดนี้
  • Security Logging and Monitoring Failures (ชื่อเดิมคือ Insufficient Logging & Monitoring) ไต่ขึ้นมาสูงขึ้น 1 อันดับ โดยขยายหัวข้อชนิดของ Failure มากขึ้นกว่าเดิม แม้จะไม่มีผลสะท้อนจากการอ้างถึงของ CVE/CVSS มากนักแต่ความผิดพลาดในหมวดนี้มีผลโดยตรงกับเรื่อง Visibility, Incident Alerting และ Forensic
  • SSRF รั้งอันดับสุดท้าย ซึ่งเกิดได้ไม่มากแต่ถูกอ้างอิงในอุตสาหกรรมสูง

สำหรับผู้สนใจเข้าไปศึกษากันถึงผลการวิเคราะห์กันโดยละเอียดได้ที่ https://owasp.org/Top10/ 

ที่มา : https://www.zdnet.com/article/owasp-updates-top-10-vulnerability-ranking-for-first-time-since-2017


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] อันตรายที่ซ่อนอยู่จากการเปลี่ยนแปลงของโลกดิจิทัล

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย BSS Webinar เรื่อง “อันตรายที่ซ่อนอยู่จากการเปลี่ยนแปลงของโลกดิจิทัล” พร้อมแนะนำเทคนิคและเครื่องมือเพื่อสร้าง Cyber Resilience ให้ธุรกิจ ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Nextwave & Cycognito Webinar : Manage Risk and Secure your Organizations with Attack Surface Management [3พ.ย. 2564]

Nextwave (Thailand) ร่วมกับ Cycognito ขอเรียนเชิญ CEO, CTO, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง Webinar ในหัวข้อ “Manage Risk …