Ideell stiftelse Open Web Application Security Project (OWASP) har gitt ut et oppdatert utkast til sin rangering av de 10 beste sårbarhetene, de første endringene i listen siden november 2017.
Den nye listen inneholder betydelige endringer, inkludert fremveksten av Broken Access Control, som flyttet fra femte på listen til nummer 1. Organisasjonen sa at 94% av applikasjonene er testet for en eller annen form for ødelagt tilgangskontroll og “de 34 CWE -ene kartlagt til Broken Access Control hadde flere forekomster i applikasjoner enn noen annen kategori. ”
Kryptografiske feil flyttet også opp på listen til nummer 2 på grunn av forbindelsen til eksponering av sensitiv data og systemkompromiss. Injeksjonen flyttet ned til det tredje stedet, men OWASP bemerket at 94% av applikasjonene ble testet for en eller annen form for injeksjon, som nå inkluderer skripting på tvers av nettsteder.
En ny kategori – Usikker design – tok seg inn på det fjerde stedet på listen etterfulgt av feil feilkonfigurasjon, som gikk opp ett sted sammenlignet med 2017 -listen.
Sikkerhetsfeilkonfigurasjon inkluderer nå eksterne enheter, og listens forfattere sa at det ikke var overraskende med tanke på at 90% av programmene ble testet for en eller annen form for feilkonfigurasjon, og at det har vært flere skift til svært konfigurerbar programvare.
Sårbare og utdaterte komponenter ble rangert som nummer 9 i 2017, men gikk opp til nummer 6 for årets rangering.
“Det er den eneste kategorien som ikke har noen CVE -er kartlagt til de inkluderte CWE -ene, så en standard utnyttelse og effektvekter på 5,0 er tatt med i poengsummen deres, “bemerket listens forfattere.
OWASP
Identifikasjons- og autentiseringsfeil – tidligere kalt Broken Authentication – falt betydelig fra nummer 2 til 7 , med OWASP som forklarer at den økte tilgjengeligheten av standardiserte rammer har bidratt til å løse den.
Programvare- og dataintegritetsfeil er en helt ny kategori for 2021 og fokuserer først og fremst på forutsetninger knyttet til programvareoppdateringer, kritiske data og CI/CD -rørledninger uten å verifisere integriteten.
“En av de høyeste vektede påvirkningene fra CVE/CVSS -data kartlagt til de 10 CWE -ene i denne kategorien. Usikker deserialisering fra 2017 er nå en del av denne større kategorien,” sa OWASP.
< p>Sikkerhetslogging og overvåkingsfeil var tidligere sist på listen, men flyttet opp ett sted og har utvidet seg til å omfatte andre typer feil. Selv om disse er utfordrende å teste for, kan de “direkte påvirke synlighet, varsling om hendelser og rettsmedisin.”
Sist på listen er forfalskning på serversiden, som har en “relativt lav” forekomst, men ble sitert høyt av fagfolk i bransjen.
OWASP sa at totalt sett var det tre nye kategorier og fire andre som enten hadde navn- eller omfangsendringer for 2021 -listen. OWASP, som har satt listen sammen i mer enn et tiår, utarbeider listen basert på bidrag fra data og bransjeundersøkelser.
“Vi gjør dette av en grunnleggende grunn, og ser på de bidro dataene ser på fortiden. AppSec -forskere tar seg tid til å finne nye sårbarheter og nye måter å teste dem på. Det tar tid å integrere disse testene inn i verktøy og prosesser, “sa OWASP.
“Når vi på en pålitelig måte kan teste en svakhet i stor skala, har det sannsynligvis gått år. For å balansere dette synet bruker vi en bransjeundersøkelse for å spørre folk i frontlinjen hva de ser på som vesentlige svakheter som dataene kanskje ikke viser ennå.”
Ben Pick, senior applikasjonssikkerhetskonsulent ved nVisium og en av lederne for Northern Virginia OWASP Chapter, sa til ZDNet at OWASP Top 10 ikke er ment å bli brukt til samsvar, men det blir ofte sett på på denne måten.
“Elementene som er oppført for øyeblikket, er ment å øke bevisstheten om trender i bransjen angående sårbarheter og bedrifter som virksomhetene som frivillig brukte dataene deres står overfor – spesielt for de som kanskje ikke har en sikkerhetsbakgrunn,” forklarte Pick.
“Samlet sett samsvarer dette levende dokumentet med risikoene jeg har observert i ulike vurderinger, og jeg vil fortsette å bruke denne ressursen for å lære om nye typer trusler. OWASP Topp 10 er fremdeles i utkast og vil bli redigert og forbedret etter hvert som flere av sikkerhetsindustrien vurderer innholdet. “
Jayant Shukla, CTO for K2 Cyber Security, la til at i stedet for at gamle risikoer forsvinner, har OWASP konsolidert eksisterende risiko i flere kategorier, og nye risikoer er lagt til, noe som gjenspeiler de økte truslene for webapplikasjoner.
Shukla bemerket at en av grunnene til at angrepsspørsmål om forfalskning på serversiden blir stadig mer alvorlige, er på grunn av den raske økningen i bruken av mikrotjenester i bygningsapplikasjoner.
“Disse nye risikokategoriene understreker behovet for å skifte til venstre og forbedre førproduksjonstesting. Dessverre er disse problemene ofte vanskelige å finne under testing, og noen ganger oppstår de og er bare et problem når forskjellige applikasjonsmoduler samhandler, noe som gjør dem enda vanskeligere å oppdage, “sa Shukla.
“Faktisk har National Institute of Standards and Technologies anerkjent disse manglene, og i fjor oppdaterte de rammeverket for applikasjonssikkerhet for SP800-53 for å inkludere Runtime Application Self Protection og Interactive Application Security Testing for å bedre beskytte mot disse kritiske programvaresvakhetene. Det er på tide at programvareutviklingsindustrien begynte og tok i bruk disse mer effektive teknologiene. “
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det er bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Digital Transformation Security TV Datahåndtering CXO datasentre