публично. Мы
полагаем, что это одна из самых больших и разносторонних
баз данных по уязвимостям, которая когда-либо собиралась
публично.
Продолжайте совершенствоваться. Топ-10 OWASP не стоит на
месте и продолжит меняться. Даже без внесения каких-либо
правок в код в приложениях могут появиться уязвимости,
поскольку обнаруживаются новые векторы атак, а методы
эксплуатации уязвимостей совершенствуются. Для получения
дополнительной информации рекомендуем ознакомиться с
советами, представленными в конце Топ-10 в разделах "Что
делать Разработчикам, Тестировщикам, Организациям и
Менеджерам приложений".
Мыслите позитивно. Если вы хотите прекратить искать уязвимости
и готовы перейти к созданию надежной системы обеспечения
безопасности приложений, то в качестве отправной точки для
разработчиков может послужить проект Реализации проактивной
защиты OWASP, а Стандарт подтверждения безопасности
приложений OWASP (ASVS) станет хорошим руководством для
проверяющих организации и приложения по выбору параметров,
подлежащих контролю.
Используйте инструменты грамотно. Уязвимости могут быть
комплексными и скрываться глубоко в коде. В большинстве
случаев наиболее эффективным подходом к поиску и устранению
недостатков в безопасности является привлечение экспертов,
вооруженных продвинутыми инструментами. Но не рекомендуется
полагаться исключительно на инструменты, поскольку это дает
ложное ощущение безопасности.
Развивайтесь во всех направлениях. Сосредоточьтесь на том,
чтобы сделать безопасность неотъемлемой частью вашей
культуры разработки. Дополнительную информацию можно
получить, ознакомившись с Моделью обеспечения безопасности
ПО (SAMM).
Поскольку участников проекта намного больше, чем
доступного здесь места, мы создали специальную страницу с
указанием внесенного ими вклада. Мы искренне благодарим
организации за их решение оказаться на передовой и
поделиться своими данными с сообществом. Надеемся, что
подобная практика будет продолжаться и все больше
организаций будет в этом участвовать; возможно, это станет
одним из ключевых этапов в реализации безопасности на
основе фактических данных. Создание Топ-10 OWASP было
бы невозможным без участия всех этих удивительных людей.
Также мы хотим поблагодарить более 500 участников проекта,
которые потратили свое время на завершение данного
исследования. Мнения этих людей помогли выделить две
новые категории для Топ-10. Мы ценим все комментарии,
высказывания и критические отзывы, а также потраченное
время и хотим выразить вам нашу благодарность.
Хотим поблагодарить участников, которые оставляли свои
конструктивные замечания и тратили время на
рецензирование нового выпуска Топ-10. На сколько это
возможно, мы перечислили их на странице ‘Благодарности’.
И наконец, хотим заранее поблагодарить всех переводчиков,
которые будут переводить данный выпуск Топ-10 на
различные языки, помогая тем самым сделать Топ-10 OWASP
более доступным.
ЧН
4
Что нового
Что изменилось в 2017 году по сравнению с 2013-м?
Многое изменилось за последние четыре года, поэтому Топ-10 OWASP также требовались изменения. Мы полностью реорганизовали Топ-10, обновили
методологию, применили новый процесс сбора данных, наладили взаимодействие с сообществом, пересмотрели уровни критичности, переписали все
угрозы с нуля и добавили ссылки на наиболее распространенные фреймворки и языки.
За последние годы основные технологии и архитектура приложений сильно изменились:
• Микросервисы, написанные на node.js и Spring Boot, заменяют традиционные монолитные приложения. С приходом микросервисов прибавилось
проблем с безопасностью, таких как установление доверия между микросервисами, контейнерами, управление критичными данными и т. п. Код, к
которому раньше не предполагалось обращение через интернет, теперь располагается за API или веб-сервисами RESTful и может быть использован
одностраничными и мобильными приложениями. Архитектурные допущения в коде, касающиеся, например, доверенных вызывающих функций, более
не актуальны.
• Одностраничные приложения, разработанные с использованием JavaScript-фреймворков (таких как Angular и React), позволяют создавать
многофункциональные, модульные интерфейсы. Функциональные возможности клиентов, которые традиционно обеспечивались на стороне сервера,
также добавляют проблем с безопасностью.
• JavaScript в настоящее время является основным языком в сети интернет, node.js работает на стороне сервера, а современные веб-фреймворки
(такие как Bootstrap, Electron, Angular и React) запускаются в клиентах.
Новые угрозы, выделенные на основе данных:
• A4:2017-Внешние сущности XML (XXE) — новая категория, выделенная на основе данных, полученных при помощи инструментов тестирования
безопасности исходного кода (SAST).
Новые угрозы, выделенные сообществом:
Мы попросили сообщество
Последние комментарии
12 часов 39 минут назад
16 часов 47 минут назад
17 часов 4 минут назад
17 часов 24 минут назад
20 часов 6 минут назад
1 день 3 часов назад