Top 10 OWASP 2021 ออกแล้ว!

Open Web Application Security Project (OWASP) ได้มีการอัปเดตการจัดลำดับช่องโหว่สำหรับ Web Application ในปี 2021 หลังจากไม่ได้มีการเปลี่ยนใดๆมาตั้งแต่ 2017

จากภาพเราจะเห็นอันดับที่เปลี่ยนแปลงไปหลายตัว ซึ่งมีทั้งการเพิ่มหัวข้อใหม่ หรือขยายหัวข้อเดิมไปครอบคลุมเนื้อหาอื่นๆ สำหรับประเด็นที่น่าสนใจมีดังนี้

• Broken Access Control ขึ้นแท่นอันดับ 1 โดยพบว่ามี CWE อ้างอิงในหมวดนี้ถึง 34 รายการ จากการทดสอบแอปราว 94% 
• Cryptographic Failures (เดิมคือ Sensitive Data Exposure) เลื่อนขึ้นมาสู่อันดับ 2 เพราะคือสาเหตุจากเหตุการณ์ที่เผยการเข้าถึงข้อมูลละเอียดอ่อนมากมาย รวมถึงการแทรกแซงระบบ 
• Injection ตกลงสู่อันดับ 3 จากเดิมที่เป็นอันดับ 1 มาตลอด โดยจากการทดสอบ 94% ของแอปพลิเคชันเชื่อมโยงได้กับ CWE 33 รายการ โดย XSS เป็นส่วนหนึ่งในหมวดนี้ด้วย
• Insecure Design – เป็นประเภทใหม่ที่ว่าด้วยเรื่องของความผิดพลาดในการออกแบบและรั้งอันดับ 4
• Security Misconfiguration อันดับ 5เลื่อนขึ้นจาก OWASP ครั้งก่อน 1 ขั้น โดยรวมถึงเรื่อง XML External Entities (XXE) ด้วย
• Vulnerable and Outdated Components กระโดดมาสู่อันดับ 6 จาก 9 และเป็นประเภทเดียวที่ไม่มีการจับคู่กับ CVE ที่ประกอบด้วย CWE
• Identification and Authentication Failures หรือเดิมคือ ‘Broken Authentication’ ตกลงจากอันดับ 2 เพราะ OWASP ชี้ว่ามี Framework มารองรับได้มากขึ้นแล้ว
• Software and Data Integrity Failures เป็นเรื่องใหม่เช่นกัน โดยเน้นไปเกี่ยวกับการไม่ตรวจสอบ integrity ของการอัปเดตซอฟต์แวร์ ข้อมูลสำคัญ และการทำ CI/CD Pipeline นอกจากนี้ยังยุบรวมเรื่อง Insecure Deserialization เข้ามาในหมวดนี้
• Security Logging and Monitoring Failures (ชื่อเดิมคือ Insufficient Logging & Monitoring) ไต่ขึ้นมาสูงขึ้น 1 อันดับ โดยขยายหัวข้อชนิดของ Failure มากขึ้นกว่าเดิม แม้จะไม่มีผลสะท้อนจากการอ้างถึงของ CVE/CVSS มากนักแต่ความผิดพลาดในหมวดนี้มีผลโดยตรงกับเรื่อง Visibility, Incident Alerting และ Forensic
• SSRF รั้งอันดับสุดท้าย ซึ่งเกิดได้ไม่มากแต่ถูกอ้างอิงในอุตสาหกรรมสูง

สำหรับผู้สนใจเข้าไปศึกษากันถึงผลการวิเคราะห์กันโดยละเอียดได้ที่ https://owasp.org/Top10/ 

ที่มา : https://www.zdnet.com/article/owasp-updates-top-10-vulnerability-ranking-for-first-time-since-2017