Международная организация Open Web Application Security Project (OWASP), занимающаяся анализом наиболее опасных ошибок в веб-приложениях, обновила список десяти самых популярных из них. Первые два места не изменились: безусловным лидером осталась возможность инъекции постороннего кода через пользовательские данные (PHP, SQL и другие инъекции), а второе место сохранила за собой слабая процедура аутентификации, ошибки в которой и позволяют хакерам захватывать веб-ресурсы. Бывшие на третьем месте XSS-атаки переместились на седьмое место, а на третье место теперь вышли ошибки публикации важной информации, которые раньше располагались на шестом месте. На четвертом в нынешнем рейтинге расположился новый тип уязвимости - внешние XML-объекты (XXE), которые могут быть загружены в браузер и переопределить проведение приложения по умолчанию. На пятое место попал класс уязвимостей, который связан с нарушением контроля доступа и который объединил две существовавшие ранее уязвимости: небезопасную ссылку на объекты (четвертое место в прошлом рейтинге) и отсутствие функций контроля доступа (седьмое место). Также в новом рейтинге появилось ещё два новых класса уязвимостей: небезопасная десерелизация (восьмое место - речь в основном идёт о Java) и недостаточная регистрация и мониторинг (последнее десятое место).
Первоисточник: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
Комментариев нет:
Отправить комментарий