Open Web Application Security Project (OWASP) ได้มีการอัปเดตการจัดลำดับช่องโหว่สำหรับ Web Application ในปี 2021 หลังจากไม่ได้มีการเปลี่ยนใดๆมาตั้งแต่ 2017

จากภาพเราจะเห็นอันดับที่เปลี่ยนแปลงไปหลายตัว ซึ่งมีทั้งการเพิ่มหัวข้อใหม่ หรือขยายหัวข้อเดิมไปครอบคลุมเนื้อหาอื่นๆ สำหรับประเด็นที่น่าสนใจมีดังนี้
- Broken Access Control ขึ้นแท่นอันดับ 1 โดยพบว่ามี CWE อ้างอิงในหมวดนี้ถึง 34 รายการ จากการทดสอบแอปราว 94%
- Cryptographic Failures (เดิมคือ Sensitive Data Exposure) เลื่อนขึ้นมาสู่อันดับ 2 เพราะคือสาเหตุจากเหตุการณ์ที่เผยการเข้าถึงข้อมูลละเอียดอ่อนมากมาย รวมถึงการแทรกแซงระบบ
- Injection ตกลงสู่อันดับ 3 จากเดิมที่เป็นอันดับ 1 มาตลอด โดยจากการทดสอบ 94% ของแอปพลิเคชันเชื่อมโยงได้กับ CWE 33 รายการ โดย XSS เป็นส่วนหนึ่งในหมวดนี้ด้วย
- Insecure Design – เป็นประเภทใหม่ที่ว่าด้วยเรื่องของความผิดพลาดในการออกแบบและรั้งอันดับ 4
- Security Misconfiguration อันดับ 5เลื่อนขึ้นจาก OWASP ครั้งก่อน 1 ขั้น โดยรวมถึงเรื่อง XML External Entities (XXE) ด้วย
- Vulnerable and Outdated Components กระโดดมาสู่อันดับ 6 จาก 9 และเป็นประเภทเดียวที่ไม่มีการจับคู่กับ CVE ที่ประกอบด้วย CWE
- Identification and Authentication Failures หรือเดิมคือ ‘Broken Authentication’ ตกลงจากอันดับ 2 เพราะ OWASP ชี้ว่ามี Framework มารองรับได้มากขึ้นแล้ว
- Software and Data Integrity Failures เป็นเรื่องใหม่เช่นกัน โดยเน้นไปเกี่ยวกับการไม่ตรวจสอบ integrity ของการอัปเดตซอฟต์แวร์ ข้อมูลสำคัญ และการทำ CI/CD Pipeline นอกจากนี้ยังยุบรวมเรื่อง Insecure Deserialization เข้ามาในหมวดนี้
- Security Logging and Monitoring Failures (ชื่อเดิมคือ Insufficient Logging & Monitoring) ไต่ขึ้นมาสูงขึ้น 1 อันดับ โดยขยายหัวข้อชนิดของ Failure มากขึ้นกว่าเดิม แม้จะไม่มีผลสะท้อนจากการอ้างถึงของ CVE/CVSS มากนักแต่ความผิดพลาดในหมวดนี้มีผลโดยตรงกับเรื่อง Visibility, Incident Alerting และ Forensic
- SSRF รั้งอันดับสุดท้าย ซึ่งเกิดได้ไม่มากแต่ถูกอ้างอิงในอุตสาหกรรมสูง
สำหรับผู้สนใจเข้าไปศึกษากันถึงผลการวิเคราะห์กันโดยละเอียดได้ที่ https://owasp.org/Top10/
ที่มา : https://www.zdnet.com/article/owasp-updates-top-10-vulnerability-ranking-for-first-time-since-2017