ไม่รู้จะไปเขียนในไหน เอามาลงในนี้ก่อนแล้วกัน

OWASP เป็นองค์กรที่ไม่แสวงผลกำไรที่ออกมาป่าวประกาศ แนะนำ รณรงค์ให้นักพัฒนาโปรแกรมเขียนกันให้อย่างปลอดภัยไม่โดนเจาะ หรือโจมตีได้ ได้ออก 10 อันดับ ความเสี่ยงสูงสุดออกมาแล้วแจ้ แต่ว่านี่ยังไม่ใช่ version เต็มนะครับ แต่ลำดับนี่น่าจะชัดเจนแล้วแน่นอน เหลือแต่เก็บรายละเอียดขั้นสุดท้ายออก version 1 เต็ม ๆ

เรื่องรายละเอียดเดี๋ยวว่ากัน สำหรับลำดับที่เปลี่ยนไปดูจากรูปข้างล่างนะครับ

สิ่งที่เปลี่ยนไปอย่างชัดเจนคือ มีการรวม A4 กับ A7 ซึ่งความเห็นส่วนตัวนั้นผมเห็นด้วยเพราะว่ามันความเสี่ยงมันไปในทางเดียวกัน โดยกลับไปใช้ชื่อเก่าคือ Broken Access Control นะครับ

ทีนี้สิ่งที่เพิ่มขึ้นมาใหม่มี 2 อย่างคือ A7 ตัวใหม่ Insufficient Attack Protection ซึ่งตัว A7 ใหม่นี้จะพูดถึงในส่วนของการป้องกันที่ไม่เพียงพอ รวมไปถึงการตอบสนองต่อการโจมตี และ Virtual Patching ซึ่งเป็นการอุดรูรั่วชั่วคราวกันการโจมตีที่กำลังเกิดขึ้นนะครับ

ตัวที่ 2 A10 Underprotected APIs ซึ่งมาเบียดเจ้าเก่า A10 เจ้าเก่า Open Redirect ให้ตกอันดับไปโดยมีตัวใหม่นี้มาแทนนะครับ ซึ่งตัวนี้เหมือนเป็นการขยายขอบเขตไปถึงตัว API ซึ่งบางทีเรามีการป้องกันในส่วนของตัวเว็บเป็นอย่างดีแต่ลืมป้องกันในส่วนของ API ไปก็อาจจะเป็นปัญหาใหญ่ได้นะครับ

สำหรับรายละเอียดของแต่ละตัวโปรดตามไปอ่าน Link ข้างล่างนี้ไปเลย

Ref: OWASP Top 10 2017 RC1