Dziś ukazała się zaktualizowana wersja rankingu OWASP Top 10 zawierającego najpopularniejsze podatności występujące w oprogramowaniu. Do dziś, obowiązującą wersją był ranking TOP 10 z roku 2017, który wyglądał tak:

OWASP Top 10 - 2017

Za to zaktualizowany ranking wygląda następująco:

Co z tego wynika?

Przetasowania

Na pierwsze miejsce wskakują problemy z kontrolą dostępu, czyli wszelkiej maści podatności związane z uwierzytelnieniem czy autoryzacją. Na miejscu drugim pojawia się “Cryptographic Failures” który wcześniej był punktem trzecim nazwanym “Sensitive Data Exposure“. Czyżby badanie bezpieczeństwa kryptografii wracało do łask?

Dalsza część jednak zupełnie nie przypomina nazw podatności jakie powszechnie znamy – widzimy, że OWASP odchodzi od wyszczególniania pojedynczych rodzajów podatności na rzecz koncentrowania się na konceptach związanych z projektowaniem i wytwarzaniem oprogramowania w bezpieczny sposób.

W ten oto sposób, jak czytamy na stronie projektu OWASP, Kategoria 3. (Injection) zawiera w sobie np. XSS, który wcześniej był osobną pozycją na liście, a można uznać go także za wstrzyknięcie Javascriptu, a kategoria 5 (Misconfiguration) zawiera np. takie podatności jak XXE. Na próżno szukać też innych obecnych we wcześniejszych rankingach problemów takich jak CSRF, czy niebezpieczna Deserializacja. Są one teraz częściami innych, większych kategorii.

Na ostatnim miejscu pojawia się SSRF, po raz pierwszy w rankingu OWASP jako osobna podatność.

Coś dla developerów

Pojawiło się za to trochę nowości takich jak “8. Software and Data Integrity Failures” czy “4. Insecure Design“. Jest to jasny znak, że OWASP zauważa związek z właściwym procesem tworzenia oprogramowania i stara się adresować błędy już na tym etapie, zamiast skupiać się tylko na wynikach, czyli finalnie występujących podatnościach. Zwrócenie uwagi na cały proces jakim jest bezpieczeństwo dopełnia obecny już w 2017 punkt dotyczący monitorowania i logowania czyli zbierania informacji na temat incydentów, dzięki którym możliwe jest łatwiejsze usprawnianie bezpieczeństwa na podstawie informacji o tym, co poszło nie tak.

A co ze “starymi” podatnościami?

Oczywiście wszystkie “stare” podatności, takie jak XSS, CSRF, SQL Injection itd. nie zniknęły i cały czas występują. Zmiany w rankingu OWASP po pierwsze, agregują je w bardziej generyczne punkty, co można tłumaczyć tym, że w obecnej chwili liczba znanych podatności bezpieczeństwa jest bardzo duża, więc zasadne jest ich pogrupowanie dla czytelności. Po drugie, obrazuje to trend w bezpieczeństwie zwany “shift left security“, czyli zwrócenie uwagi także na etap tworzenia oprogramowania ponieważ problemom najlepiej zapobiegać u źródeł, zamiast gasić pożary.

Opublikowany przez OWASP ranking jest póki co draftem, jednak można się spodziewać że oficjalna, finalna wersja nie będzie znacząco od niego odbiegać.

Pełny artykuł o tym jak ranking został zaktualizowany i na jakiej podstawie wybrano do niego podatności możesz znaleźć TUTAJ.