Az OWASP idén is összeállította a leggyakoribb webes sérülékenységek listáját. Azt is megvizsgálták, mi változott az elmúlt két évben.
Az OWASP (Open Web Application Security Project) pár hete ismét összegyűjtötte azokat a sérülékenységeket, amelyek a webes alkalmazásoknál veszélyeztetik a biztonságunkat. Ezek egy jó része odafigyeléssel megelőzhető lenne. A toplistát, melyet 2003-ban készítettek el először, legutóbb 2010-ben frissítették. (Az új összeállításról a
Biztonságportál készített összefoglalót.)
Nem történt radikális változás ■ A lista alapját nyolc sérülékenységi adatbázis adja, melyeket az alkalmazásbiztonsággal foglalkozó szervezet bocsátottak az OWASP rendelkezésére. Az összeállításkor több szempont szerint rangsorolják az egyes sérülékenységeket. Fontos szempont volt többe között az egyes sérülékenységek kihasználhatósága, a felismerhetősége, valamint a kockázatuk. Érdekes, hogy 2010-hez képest nincs nagyobb változás: a lista első öt helyén ugyanazok a kockázatok állnak most is, mint három éve.
OWASP Top10 (forrás: owasp.org, a táblázat nagyítható)
A 2013-as lista első helyén a kódbefecskendezésre lehetőséget adó sérülékenységek állnak. Ide tartozik a gyakran emlegetett SQL injection hibák mellett például az LDAP injection is. Második az authentikációs rendellenességekre és a munkamenet-kezelés hiányosságaira visszavezethető sebezhetőségtípus, amely jellemzően jogosulatlan hozzáférésre, jelszavak és bizalmas információk megszerzésére ad lehetőséget. Harmadik az XSS (Cross-Site Scripting), ami jogosulatlan kód (script) futtatását vagy a felhasználói munkamenetek feletti irányítás átvételét segítheti.
Most is az első ötbe került a jogosulatlan adatelérést biztosító objektumhivatkozásokban, valamint a nem megfelelő konfigurációs beállításokban rejlő kockázat. Ez utóbbi a szerverek, szerveralkalmazások, keretrendszerek és adatbázisok biztonsági szempontból hiányos vagy rossz paraméterezésében, illetve a nem naprakészen tartott alkalmazásokban rejlő kockázatokat fedi le.
Új kategóriák ■ Némileg nehezíti az ide és a 2010-es lista összevetését az, hogy az OWASP új sérülékenységi kategóriákat is bevezetett, néhány régebben használtat pedig összevont. Felkerültek például olyan hibatípusok, amelyek a bizalmas adatok helytelen kezelésére és tárolására, funkciószintű hozzáférésvezérlésre, ismert sérülékenységeket tartalmazó komponensek használatára vagy hibás átirányításokra vezethetők vissza.
Az OWASP célja a listával, hogy a webes alkalmazásfejlesztők és -üzemeltetők figyelmét felhívja azokra a kockázatokra, melyekre kiemelten figyelniük kell(ene). De azt a szervezet is hagsúlyozta, hogy nem csak a listán szereplő sérülékenységek okozhatnak gondot. A kutatási anyag
innen tőlthető le (.pdf). A gyakorlati felhasználásra pedig az
OWASP Hungary oldalán is találhatók érzékletes példák.
