OWASP Top 10 2017 RC1 ออกแล้วแจ้

  ติดต่อ

ไม่รู้จะไปเขียนในไหน เอามาลงในนี้ก่อนแล้วกัน

OWASP เป็นองค์กรที่ไม่แสวงผลกำไรที่ออกมาป่าวประกาศ แนะนำ รณรงค์ให้นักพัฒนาโปรแกรมเขียนกันให้อย่างปลอดภัยไม่โดนเจาะ หรือโจมตีได้ ได้ออก 10 อันดับ ความเสี่ยงสูงสุดออกมาแล้วแจ้ แต่ว่านี่ยังไม่ใช่ version เต็มนะครับ แต่ลำดับนี่น่าจะชัดเจนแล้วแน่นอน เหลือแต่เก็บรายละเอียดขั้นสุดท้ายออก version 1 เต็ม ๆ

เรื่องรายละเอียดเดี๋ยวว่ากัน สำหรับลำดับที่เปลี่ยนไปดูจากรูปข้างล่างนะครับ



สิ่งที่เปลี่ยนไปอย่างชัดเจนคือ มีการรวม A4 กับ A7 ซึ่งความเห็นส่วนตัวนั้นผมเห็นด้วยเพราะว่ามันความเสี่ยงมันไปในทางเดียวกัน โดยกลับไปใช้ชื่อเก่าคือ Broken Access Control นะครับ

ทีนี้สิ่งที่เพิ่มขึ้นมาใหม่มี 2 อย่างคือ A7 ตัวใหม่ Insufficient Attack Protection ซึ่งตัว A7 ใหม่นี้จะพูดถึงในส่วนของการป้องกันที่ไม่เพียงพอ รวมไปถึงการตอบสนองต่อการโจมตี และ Virtual Patching ซึ่งเป็นการอุดรูรั่วชั่วคราวกันการโจมตีที่กำลังเกิดขึ้นนะครับ

ตัวที่ 2 A10 Underprotected APIs ซึ่งมาเบียดเจ้าเก่า A10 เจ้าเก่า Open Redirect ให้ตกอันดับไปโดยมีตัวใหม่นี้มาแทนนะครับ ซึ่งตัวนี้เหมือนเป็นการขยายขอบเขตไปถึงตัว API ซึ่งบางทีเรามีการป้องกันในส่วนของตัวเว็บเป็นอย่างดีแต่ลืมป้องกันในส่วนของ API ไปก็อาจจะเป็นปัญหาใหญ่ได้นะครับ

สำหรับรายละเอียดของแต่ละตัวโปรดตามไปอ่าน Link ข้างล่างนี้ไปเลย

Ref: OWASP Top 10 2017 RC1

บันทึกนี้เขียนที่ GotoKnow โดย  ใน Nata's Knowledge(may be silly sometimes ^^")

หมายเลขบันทึก: 627402, เขียน: , แก้ไข, 2017-04-11 10:29:52+07:00 +07 Asia/Bangkok, สัญญาอนุญาต: ครีเอทีฟคอมมอนส์แบบ แสดงที่มา-ไม่ใช้เพื่อการค้า-ไม่ดัดแปลง, อ่าน: คลิก

คำสำคัญ (Tags) #hacking#security#web security#OWASP

บันทึกล่าสุด 

ความเห็น (0)