Ненадежное программное обеспечение подрывает безопасность критических инфраструктур, относящихся, например, к здравоохранению, обороне, энергетике или финансам. Программное обеспечение становится сложнее, устройств, подключенных к сети, становится больше, поэтому обеспечение безопасности ПО остается важной задачей. Быстрое развитие методов разработки ПО приводит к необходимости оперативно и безошибочно выявлять, а также устранять наиболее часто возникающие угрозы. Что такое OWASP OWASP […]

На 10 месте редакции рейтинга OWASP, расположилась уязвимость вектора A10:2021 – Server-Side Request Forgery (SSRF) что в переводе означает – подделка запросов на стороне сервера. SSRF – уязвимость, которая дает злоумышленнику следующие «возможности»: заставить целевой сервер отправлять запросы к произвольным внешним или внутренним ресурсам; нарушить работу служб; выполнить произвольный код на целевом сервере.   В […]

В обновленном рейтинге эта категория поднялась с 10 на 9 позицию. Категория значительно расширилась и помимо недостаточности ведения журналов вобрала в себя такие проблемы, как пропуски данных, некорректный вывод журналов и включение в них информации, которая считается конфиденциальной. Тестировать уязвимости этой категории непросто, но включение ее в рейтинг специалисты OWASP посчитали важным, так как относящиеся […]

На восьмой позиции в рейтинге OWASP 2021 года расположился «новичок» ТОПа – категория «Нарушения целостности программного обеспечения и данных». Как и большинство позиций рейтинга, этот вектор – комплексный. В его состав вошли уязвимости, которые злоумышленники способны использовать при обновлении программного обеспечения пользователем. Если приложение обновляется без проверки целостности, преступники могут загрузить свое поддельное обновление и […]

Категория, ранее известная как «Сбои аутентификации» в новом рейтинге OWASP, покинула ТОП-3 и сместилась со второго места на седьмое. Несмотря на явное снижение количества атак по данной категории, она все же остается в десятке наиболее критичных.  Признаки проблемы В актуальной редакции рейтинга OWASP вектор атаки А07:2021 соединил в себе сразу несколько уязвимостей, в том числе […]

В рейтинге 2017 года эта категория называлась «Использование компонентов с известными уязвимостями» и находилась на 9 месте. Аналитики проекта OWASP хорошо знакомы с такой проблематикой и постоянно работают над тестированием и оценкой рисков, связанных с ней. Это единственная категория, в которой нет каких-либо общих уязвимостей и воздействий (CVE), сопоставленных с включенными CWE (Common Weakness Enumeration […]

Рейтинг по API OWASP публикует с 2019 года. Недавно OWASP представила обновленный список. Мы решили затронуть эту тему и рассказать подробнее о потенциальных угрозах при реализации API. Было / стало Эта таблица представлена в исходнике. Мы выделили для наглядности те пункты, которые изменились в этом году. Чтобы понять, насколько новый топ-10 API может повлиять на […]

Мы возвращаемся к серии статей про рейтинг топ 10 OWASP 2021. Сегодня рассказываем про криптографический сбой A02:2021. В предыдущем рейтинге уязвимость занимала 3-ю строку и относилась к раскрытию конфиденциальных данных как одна из причин. Всё изменилось и этой уязвимости выделили отдельное место в рейтинге. Описание Такие данные, как номера кредитных карт, логины и пароли от […]

Продолжаем рассказывать об уязвимостях из рейтинга ТОП 10 OWASP. Ранее уже писали про небезопасный дизайн, а также знакомили вас с рейтингом в общем виде. Уязвимость А03.2021 Инъекции в рейтинге OWASP в 2021 году опустились на третью позицию. В статье раскроем подробнее понятие инъекций, когда они встречаются и как избежать эту уязвимость. Понятие и возникновение инъекций […]

Открываем серию статей о топ-10 OWASP. Категорию «А04:2021 – Небезопасный дизайн» проект ввел в 2021 году. В статье рассказываем, что же такое небезопасный дизайн, какие рекомендации дает OWASP во избежание этой уязвимости. Разница между безопасным и небезопасным дизайном Сама категория достаточно широка. В нее входят такие недостатки, как неэффективность управления или его полное отсутствие, недостаточное […]