OWASP, открытый проект безопасности приложений, накануне представил для обсуждения новую версию списка десяти самых опасных угроз. В сравнении с OWASP Top 10 2007 изменениям подверглись четыре позиции. Меня удивило, что инклуд-баг Malicious File Execution был исключен из списка якобы в силу того, что PHP стал более безопасным по умолчанию. Видимо Jeremiah Grossman и компания не учли, что LFI (local file include) по степени риска теперь можно практически приравнять к RFI (remote file include). Возможно к 2010 бажных версий PHP будет намного меньше, но, несмотря на это, косячить в коде будут всегда. А может обнаружатся еще какие-нибудь новые уязвимости 🙂
Итак, сама десятка самых опасных угроз:
- A1 Injection (всякого рода инъекции, в т.ч. SQL, LDAP и т.д.)
- A2 Cross Site Scripting (не потерявший актуальности XSS)
- A3 Broken Authentication and Session Management (ошибки в архитектуре аутентификации и управления сессиями)
- A4 Insecure Direct Object References (незащищенные ресурсы и объекты, можно вспомнить случай с SVN)
- A5 Cross Site Request Forgery (CSRF)
- A6 Security Misconfiguration (небезопасная конфигурация окружения, различных фреймворков, платформы)
- A7 Failure to Restrict URL Access (несанкционированный доступ к функционалу, требующему особых привилегий – например обход проверки c помощью двойного слэша “//” в URL для получения доступа к управлению блогом в WordPress)
- A8 Unvalidated Redirects and Forwards (открытые редиректы, которые ведут к фишингу, HTTP Response Splitting и XSS)
- A9 Insecure Cryptographic Storage (небезопасное хранение важных данных)
- A10 Insufficient Transport Layer Protection (недостаточная защита данных при их передаче на транспортном уровне, например по HTTP вместо HTTPS).
Надеюсь, это неокончательная версия Top 10, ждем следующий релиз-кандидат.
Leave a Reply