Hlavní navigace

OWASP Top Ten 2013

19. 9. 2013 4:06 (aktualizováno) | Petr Závodský

Včera, 12. června 2013, s konečnou platností byla vypuštěna nová verze desíti nejzávažnějších slabin zabezpečení webových apolikací – OWASP Top 10 2013.

Bezpečnostní hrozby se neustále mění. Klíčovými faktory těchto změn jsou pokroky útočníků a vznik nových technologií s novými zranitelnostmi. Chceme-li na poli zabezpečení s těmito tendencemi držet krok, musíme aktualizovat i přehled slabin zabezpečení, tedy i OWASP Top 10. Oproti verzi z roku 2010 k nám přichází s pěti změnami:

  1. Broken Authentication and Session Management (chybná autentizace a správa sezení): Tento typ slabin se posunul ze třetí pozice A3 na druhou, závažnější, pozici A2. A to proto, že se ukázalo, že tento typ chyb je mnohem rozšířenější, než se jevilo dříve.
  2. Cross-Site Request Forgery (CSRF): Z původní páté pozice A5 se závažnost posunula až na osmé místo A8. Důvodem je zřejmě fakt, že na seznamu OWASP Top Ten je již šest let – organizace a vývojáři se na CSRF více zaměřili a to zapříčinilo snížení počtu CSRF chyb v aplikacích.
  3. Byla rozšířena položka Failure to Restict URL Access (špatná kontrola ACL na URL): Došlo k přejmenování, rozšíření problému a ke změně závažnosti. Nový název je Missing Function Level Acces Control. Existuje totiž mnoho jiných špatných kontrol ACL, nejen přes URL.  Položka Failure to Restict URL Access v OWASP Top 10 byla na pozici A8. Missing Function Level Acces Control je nyní na závažnější pozici A7.
  4. Byly spojeny dva typy chyb – Insecure Cryptographic Storage (nezabezpečené ukládání) a Inffucient Transport Layer Protection (nezabezpečená komunikace): Stal se z nich nový typ chyb Sensitive Data Exposure (expozice citlivých dat). Kromě řízení přístupu, jenž je zahrnut v OWASP Top 10 2013 v A4 a A7, se týká ochrany dat od okamžiku, kdy jsou poskytnuta uživatelem, přes zaslání a uložení v aplikaci až po poslání zpět do prohlížeče.
  5. Přibyl typ chyb s označením Using Know Vulnerable Components (využití známých zranitelností komponent). V OWASP Top 10 se tento problém uváděl pod kategorií A6 Security Misconfiguration. Protože možnosti využití známých zranitelností výrazně zvyšuje riziko, vznikl tento samostatný typ chyb, jenž je umístěn na pozici A9.

Předešlou a součanou verzi OWASP Top 10 můžeme porovnat v následujících tabulkách:

 

OWASP Top 10 2010 OWASP Top 10 2013
A1 – Injection A1 – Injection
A2 – Cross-Site Scripting (XSS) A2 – Broken Authentication and Session Management
A3 – Broken Authentication and Session Management A3 – Cross-Site Scripting (XSS)
A4 – Insecure Direct Object References A4 – Insecure Direct Object References
A5 – Cross-Site Request Forgery (CSRF) A5 – Security Misconfiguration
A6 – Security Misconfiguration A6 – Sensitive Data Exposure
A7 – Insecure Cryptographic Storage A7 – Missing Function Level Access Control
A8 – Failure to Restict URL Access A8 – Cross-Site Request Forgery (CSRF)
A9 – Inufficient Transport Layer Protection A9 – Using Known Vulnerable Components
A10 – Unvalidated Redirects and Forwards A10 – Unvalidated Redirects and Forwards

Detailnější informace lze získat na webu projektu ucelený PDF dokument.