CDIC 2023

Top 10 OWASP 2021 ออกแล้ว!

Open Web Application Security Project (OWASP) ได้มีการอัปเดตการจัดลำดับช่องโหว่สำหรับ Web Application ในปี 2021 หลังจากไม่ได้มีการเปลี่ยนใดๆมาตั้งแต่ 2017

credit : OWASP.org

จากภาพเราจะเห็นอันดับที่เปลี่ยนแปลงไปหลายตัว ซึ่งมีทั้งการเพิ่มหัวข้อใหม่ หรือขยายหัวข้อเดิมไปครอบคลุมเนื้อหาอื่นๆ สำหรับประเด็นที่น่าสนใจมีดังนี้

  • Broken Access Control ขึ้นแท่นอันดับ 1 โดยพบว่ามี CWE อ้างอิงในหมวดนี้ถึง 34 รายการ จากการทดสอบแอปราว 94% 
  • Cryptographic Failures (เดิมคือ Sensitive Data Exposure) เลื่อนขึ้นมาสู่อันดับ 2 เพราะคือสาเหตุจากเหตุการณ์ที่เผยการเข้าถึงข้อมูลละเอียดอ่อนมากมาย รวมถึงการแทรกแซงระบบ 
  • Injection ตกลงสู่อันดับ 3 จากเดิมที่เป็นอันดับ 1 มาตลอด โดยจากการทดสอบ 94% ของแอปพลิเคชันเชื่อมโยงได้กับ CWE 33 รายการ โดย XSS เป็นส่วนหนึ่งในหมวดนี้ด้วย
  • Insecure Design – เป็นประเภทใหม่ที่ว่าด้วยเรื่องของความผิดพลาดในการออกแบบและรั้งอันดับ 4
  • Security Misconfiguration อันดับ 5เลื่อนขึ้นจาก OWASP ครั้งก่อน 1 ขั้น โดยรวมถึงเรื่อง XML External Entities (XXE) ด้วย
  • Vulnerable and Outdated Components กระโดดมาสู่อันดับ 6 จาก 9 และเป็นประเภทเดียวที่ไม่มีการจับคู่กับ CVE ที่ประกอบด้วย CWE
  • Identification and Authentication Failures หรือเดิมคือ ‘Broken Authentication’ ตกลงจากอันดับ 2 เพราะ OWASP ชี้ว่ามี Framework มารองรับได้มากขึ้นแล้ว
  • Software and Data Integrity Failures เป็นเรื่องใหม่เช่นกัน โดยเน้นไปเกี่ยวกับการไม่ตรวจสอบ integrity ของการอัปเดตซอฟต์แวร์ ข้อมูลสำคัญ และการทำ CI/CD Pipeline นอกจากนี้ยังยุบรวมเรื่อง Insecure Deserialization เข้ามาในหมวดนี้
  • Security Logging and Monitoring Failures (ชื่อเดิมคือ Insufficient Logging & Monitoring) ไต่ขึ้นมาสูงขึ้น 1 อันดับ โดยขยายหัวข้อชนิดของ Failure มากขึ้นกว่าเดิม แม้จะไม่มีผลสะท้อนจากการอ้างถึงของ CVE/CVSS มากนักแต่ความผิดพลาดในหมวดนี้มีผลโดยตรงกับเรื่อง Visibility, Incident Alerting และ Forensic
  • SSRF รั้งอันดับสุดท้าย ซึ่งเกิดได้ไม่มากแต่ถูกอ้างอิงในอุตสาหกรรมสูง

สำหรับผู้สนใจเข้าไปศึกษากันถึงผลการวิเคราะห์กันโดยละเอียดได้ที่ https://owasp.org/Top10/ 

ที่มา : https://www.zdnet.com/article/owasp-updates-top-10-vulnerability-ranking-for-first-time-since-2017


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก [Guest Post]

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก รับมือการขโมยข้อมูลระดับสูง แฮ็กเกอร์มักใช้การโจมตีทางวิศวกรรมสังคมเพื่อเข้าถึงข้อมูลประจำตัวขององค์กรและเจาะระบบเครือข่ายขนาดใหญ่ เมื่อโจมตีเข้าสู่เครือข่ายองค์กร แฮ็กเกอร์มักจะใช้ข้อมูลประจำตัวการเข้าสู่ระบบของพนักงานที่ถูกขโมยเพื่อเข้าถึง VPN และระบบเครือข่าย

Whoscall เตือน!! ระวังมิจฉาชีพใช้ AI ปลอมเสียง หลอกลวงเหยื่อ [Guest Post]

Gogolook ผู้พัฒนาแอปพลิเคชัน Whoscall และผู้ให้บริการทางด้านเทคโนโลยี เพื่อความเชื่อมั่น (TrustTech) เตือนภัยมิจฉาชีพในประเทศไทยเริ่มใช้วิธีหลอกลวงใหม่ด้วยเทคโนโลยี AI ปลอมเสียง คำเตือนดังกล่าวเกิดขึ้นในขณะที่ Gogolook เข้าร่วมเป็นพันธมิตรองค์กรต่อต้านกลโกงระดับโลก GASA (The Global …