Včera, 12. června 2013, s konečnou platností byla vypuštěna nová verze desíti nejzávažnějších slabin zabezpečení webových apolikací – OWASP Top 10 2013.
Bezpečnostní hrozby se neustále mění. Klíčovými faktory těchto změn jsou pokroky útočníků a vznik nových technologií s novými zranitelnostmi. Chceme-li na poli zabezpečení s těmito tendencemi držet krok, musíme aktualizovat i přehled slabin zabezpečení, tedy i OWASP Top 10. Oproti verzi z roku 2010 k nám přichází s pěti změnami:
Broken Authentication and Session Management (chybná autentizace a správa sezení): Tento typ slabin se posunul ze třetí pozice A3 na druhou, závažnější, pozici A2. A to proto, že se ukázalo, že tento typ chyb je mnohem rozšířenější, než se jevilo dříve.
Cross-Site Request Forgery (CSRF): Z původní páté pozice A5 se závažnost posunula až na osmé místo A8. Důvodem je zřejmě fakt, že na seznamu OWASP Top Ten je již šest let – organizace a vývojáři se na CSRF více zaměřili a to zapříčinilo snížení počtu CSRF chyb v aplikacích.
Byla rozšířena položka Failure to Restict URL Access (špatná kontrola ACL na URL): Došlo k přejmenování, rozšíření problému a ke změně závažnosti. Nový název je Missing Function Level Acces Control. Existuje totiž mnoho jiných špatných kontrol ACL, nejen přes URL. Položka Failure to Restict URL Access v OWASP Top 10 byla na pozici A8. Missing Function Level Acces Control je nyní na závažnější pozici A7.
Byly spojeny dva typy chyb – Insecure Cryptographic Storage (nezabezpečené ukládání) a Inffucient Transport Layer Protection (nezabezpečená komunikace): Stal se z nich nový typ chyb Sensitive Data Exposure (expozice citlivých dat). Kromě řízení přístupu, jenž je zahrnut v OWASP Top 10 2013 v A4 a A7, se týká ochrany dat od okamžiku, kdy jsou poskytnuta uživatelem, přes zaslání a uložení v aplikaci až po poslání zpět do prohlížeče.
Přibyl typ chyb s označením Using Know Vulnerable Components (využití známých zranitelností komponent). V OWASP Top 10 se tento problém uváděl pod kategorií A6 Security Misconfiguration. Protože možnosti využití známých zranitelností výrazně zvyšuje riziko, vznikl tento samostatný typ chyb, jenž je umístěn na pozici A9.
Předešlou a součanou verzi OWASP Top 10 můžeme porovnat v následujících tabulkách:
Petr Závodský se zabývá QA, testováním a bezpečnosti IT. Před touto prací se živil jako penetrační tester, vývojář, tester SW, pozorovatel meteorů, dělník. Je nadšenec OWASP a speciálního astronomického vzdělávání.
