หลังจากที่รอกันมานานในที่สุด OWASP Top 10 2017 ก็มาแล้วครับ มาดูกันว่ามีอะไรบ้างครับ

OWASP Top 10 เป็นการจัดอันดับโดย OWASP ว่า Web Application ส่วนใหญ่เจอเรื่องอะไรมากที่สุดไล่เรียงเป็นลำดับ พร้อมกับให้รายละเอียดทั้งเรื่องความหมายของการโจมตี ตัวอย่างการโจมตี ความง่ายในการโจมตีและความรุนแรงของแต่ละการโจมตี และวิธีการป้องกันการโจมตีนั้นๆครับ

A1 Injection
A2 Broken Authentication
A3 Sensitive Data Exposure
A4 XML External Entities (XXE) [New]
A5 Broken Access Control [Merged]
A6 Security Misconfiguration
A7 Cross-Site Scripting (XSS)
A8 Insecure Deserialization [New, Community]
A9 Using Components with Known Vulnerabilities
A10 Insufficient Logging & Monitoring [New, Community]

OWASP 2017 มาการเปลี่ยนแปลงไปมากพอสมควรครับ จาก List จะเห็นว่ามีการเพิ่มเข้ามา 3 ข้อ และมีการ merge ของเก่าจาก A4, A7 อีก 1 ข้อ ลำดับก็มีการปรับเปลี่ยนไปเยอะครับ เรามาดูข้อใหม่ๆนิดนึงละกันครับ

  • XXE คือเรื่องการ parsing XML แล้วไปเรียก Entities ภายนอก อย่างพวกไฟล์ภายในเครื่องครับ
  • Insecure Deserialization คือการ parsing ข้อมูล serialisation ให้กลายเป็น deserialisation ซึ่งมีความเป็นไปได้ที่การ parsing นั้นจะผ่าน function บาง function ที่จะทำให้เกิด remote code execution ได้ หรืออาจทำให้เกิดการโจมตีแบบอื่นๆรวมถึง privilege escalation ได้อีกด้วย
  • Insufficient Logging & Monitoring คือเรื่องการ monitor พวก log หรือการเก็บ log ที่ไม่ดีพอ รวมถึงไม่มีเรื่องของการนำ log ไปทำ correlation กันดีพอ ทำให้กว่าจะเจอว่าถูกแฮ็คก็ผ่านไปนานเกินจนระบบไม่เหลืออะไรแล้วครับ

ก็ลองดูรายละเอียดเต็มๆได้เลยจาก link นี้ครับ