ตั้งแต่เมื่อปี 2556 ทาง Open Web Application Security Project (OWASP)ได้จัดอันดับ 10 ความเสี่ยงด้านความปลอดภัยบนแอพพลิเคชั่นที่ร้ายแรงที่สุด ซึ่งถือเป็นข้อมูลที่ทรงอิทธิพลและถูกนำไปใช้ในการวางมาตรฐานด้านความปลอดภัยบนแอพพลิเคชั่นอย่างกว้างขวางมาก
สำหรับปี 2560 นี้ มีความเสี่ยงแบบใหม่ที่ถูกเพิ่มเข้ามาในรายการท็อป 10 ของ OWASP อยู่ 3 รายการ ได้แก่
• XML external entities (XXE) เข้ามาครั้งแรกก็ขึ้นเป็นอันดับ 4 ทันที โดยความเสี่ยงของเว็บแอพนี้เกิดจากการตั้งค่าตัวประมวลผล XML ไม่ระวังมากพอ โดยเปิดให้มีการอ้างข้อมูลจากภายนอกบนเอกสาร XML ทำให้ผู้โจมตีสามารถใช้แหล่งข้อมูลภายนอกดังกล่าวในการโจมตี หรือแม้กระทั่งการสั่งรันโค้ดจากระยะไกล รวมไปถึงการบังคับให้เปิดเผยข้อมูลไฟล์ภายในองค์กร หรือไฟล์แชร์ผ่าน SMB ได้ด้วยซึ่งทาง CA Veracode ได้แนะนำให้ทำการทดสอบความปลอดภัยของแอพแบบสแตติกหรือ SAST ที่มีการตรวจสอบการอ้างอิงข้อมูลและการตั้งค่าอย่างครอบคลุม
• การถอดรหัสข้อมูลหรือ Deserialize อย่างไม่ปลอดภัย เข้ามาครั้งแรกในอันดับ 8 ซึ่งช่องโหว่นี้เปิดให้ผู้โจมตีรันโค้ดบนแอพได้จากระยะไกล รวมไปถึงการเปลี่ยนแปลงหรือลบอ๊อพเจ็กต์ข้อมูลที่ถูกเข้ารหัสซีเรียล (หรือเขียนอยู่บนดิสก์), ใช้ในการโจมตีแบบ Injection, หรือแม้แต่ยกระดับอำนาจการเข้าถึงอย่างไม่ถูกต้อง ซึ่งบั๊ก Deserialization นี้ถูกพบมากเป็นประวัติการณ์ในปีที่แล้ว ซึ่งจากการวิจัยของ CA Veracode พบว่า แอพจาวากว่า 53.3 เปอร์เซ็นต์ ใช้ไลบรารี Apache Commons Collectionsที่มีช่องโหว่ Insecure Deserializationนี้อยู่ โดยทาง CA Veracode แนะนำให้ใช้ทูลความปลอดภัยสำหรับแอพโดยเฉพาะในการตรวจจับช่องโหว่นี้ และจำเป็นต้องทดสอบด้วยการเจาะระบบจำลองเป็นประจำด้วย
• การบันทึก Log และเฝ้าตรวจสอบที่ไม่เพียงพอเข้ามาครั้งแรกในอันดับสุดท้าย ทั้งนี้เพราะการบันทึกเหตุการณ์ที่ไม่เพียงไอ และการประสานการทำงานเข้ากับระบบตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างไม่มีประสิทธิภาพ จะเปิดช่องให้ผู้โจมตีแอบแฝงเข้ามาฝังอยู่บนระบบเงียบๆ นานเป็นหลายสัปดาห์หรือหลายเดือนก่อนจะตรวจพบได้ อีกทั้ง ข้อมูล Log ถือเป็นสิ่งจำเป็นในการลดความเสี่ยงใน 9 อันดับที่เหลือด้วย ทั้งนี้ CA Veracode แนะนำให้เอาใจแฮ็กเกอร์มาใส่ใจเรา ด้วยการเขียนรายการช่องทางต่างๆ เพื่อดูว่าบริเวณใดบ้างที่เราไม่ได้มีการเฝ้าตรวจสอบอย่างเพียงพอ
สรุปอันดับความเสี่ยงบนเว็บแอพที่ร้ายแรงที่สุด จากอันดับ 1 – 10 เรียงตามความร้ายแรง ในปี 2560 เป็นดังต่อไปนี้
1. การใส่โค้ดฝังเข้าระบบหรือ Injection
2. กระบวนการยืนยันตัวตนที่มีช่องโหว่
3. การเปิดเผยข้อมูลที่อ่อนไหว
4. การอ้างข้อมูลภายนอกจาก XML
5. การควบคุมการเข้าถึงที่มีช่องโหว่
6. การตั้งค่าความปลอดภัยที่ผิดพลาด
7. การรันคริปต์ข้ามเว็บไซต์
8. การถอดรหัส Deserialize ที่ไม่ปลอดภัย
9. การใช้องค์ประกอบที่มีช่องโหว่
10. การบันทึก Log และเฝ้าติดตามระบบที่ไม่เพียงพอ
อ่านทั้งหมดที่นี่ – http://www.veracode.com/blog/security-news/owasp-top-10-updated-2017-here%E2%80%99s-what-you-need-know