воскресенье, 5 июня 2016 г.

Топ-10 OWASP: веб, гаджеты и облака (таблица)

В одной из прошлых статей мы уже вели небольшой рассказ о проекте OWASP и кратко касались ТОП-10 рейтинга веб-уязвимостей. Однако, веб-угрозы это не единственный на сегодня тренд. Порой более интереснее становится тема безопасности мобильных приложений, гаджетов, устройств IoT, а так же все более набирающих популярность облачных вычислений. И вот сегодня представляем вашему вниманию объединенную таблицу ТОП 10 уязвимостей по Web, Mobile и Cloud

Подспорье специалистам по ИБ — открытый проект обеспечения безопасности веб-приложений OWASP (Open Web Application Security Project). Сообщество OWASP объединяет корпорации, образовательные организации и частных лиц по всему миру и работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень. Среди самых востребованных документов организации — Проект Топ-10 OWASP, он применяется к различным приложениям, мобильным и облачным технологиям, регулярно обновляется, на него опираются множество стандартов, инструментов и организаций, работающих в области ИБ.


Топ-10 угроз различным типам приложений
  
Веб-приложения  Мобильные приложенияОблачные технологии
A1 Внедрение кода M1 Слабый контроль на стороне сервераR1 Подотчетность и собственность данных
A2 Некорректная аутентификация и управление сессией   М2 Небезопасное хранение данных  R2 Идентификация пользователей
A3 Межсайтовый скриптинг (XSS) M3 Недостаточная защита транспортного уровня R3 Соответствие нормативным требованиям
A4 Небезопасные прямые ссылки на объекты M4 Компрометация данных R4 Непрерывность бизнеса и отказоустойчивость
A5 Небезопасная конфигурацияM5 Слабая авторизация и аутентификацияR5 Конфиденциальность данных и вторичное использование
A6 Утечка чувствительных данныхM6 Использование небезопасных криптографических методовR6 Сервис и интеграция данных
A7 Отсутствие контроля доступа к функциональному уровнюМ7 Инъекции на стороне клиентаR7 Режим коллективной и физической безопасности
A8 Подделка межсайтовых запросов (CSRF)M8 Доверие ненадежным входным параметрамR8 Анализ инцидентов и судебная практика
A9 Использование компонентов с известными уязвимостямиM9 Неправильное управление сеансомR9 Безопасность инфраструктуры
A10 Невалидированные редиректыM10 Недостаточная защита двоичных данных R10 Использование непроизводственных сред работы ПО


Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...