В одной из прошлых статей мы уже вели небольшой рассказ о проекте OWASP и кратко касались ТОП-10 рейтинга веб-уязвимостей. Однако, веб-угрозы это не единственный на сегодня тренд. Порой более интереснее становится тема безопасности мобильных приложений, гаджетов, устройств IoT, а так же все более набирающих популярность облачных вычислений. И вот сегодня представляем вашему вниманию объединенную таблицу ТОП 10 уязвимостей по Web, Mobile и Cloud
Подспорье специалистам по ИБ — открытый проект обеспечения безопасности веб-приложений OWASP (Open Web Application Security Project). Сообщество OWASP объединяет корпорации, образовательные организации и частных лиц по всему миру и работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень. Среди самых востребованных документов организации — Проект Топ-10 OWASP, он применяется к различным приложениям, мобильным и облачным технологиям, регулярно обновляется, на него опираются множество стандартов, инструментов и организаций, работающих в области ИБ.
Топ-10 угроз различным типам приложений
| Веб-приложения | Мобильные приложения | Облачные технологии |
| A1 Внедрение кода | M1 Слабый контроль на стороне сервера | R1 Подотчетность и собственность данных |
| A2 Некорректная аутентификация и управление сессией | М2 Небезопасное хранение данных | R2 Идентификация пользователей |
| A3 Межсайтовый скриптинг (XSS) | M3 Недостаточная защита транспортного уровня | R3 Соответствие нормативным требованиям |
| A4 Небезопасные прямые ссылки на объекты | M4 Компрометация данных | R4 Непрерывность бизнеса и отказоустойчивость |
| A5 Небезопасная конфигурация | M5 Слабая авторизация и аутентификация | R5 Конфиденциальность данных и вторичное использование |
| A6 Утечка чувствительных данных | M6 Использование небезопасных криптографических методов | R6 Сервис и интеграция данных |
| A7 Отсутствие контроля доступа к функциональному уровню | М7 Инъекции на стороне клиента | R7 Режим коллективной и физической безопасности |
| A8 Подделка межсайтовых запросов (CSRF) | M8 Доверие ненадежным входным параметрам | R8 Анализ инцидентов и судебная практика |
| A9 Использование компонентов с известными уязвимостями | M9 Неправильное управление сеансом | R9 Безопасность инфраструктуры |
| A10 Невалидированные редиректы | M10 Недостаточная защита двоичных данных | R10 Использование непроизводственных сред работы ПО |
Комментариев нет:
Отправить комментарий
Вы можете добавить свой комментарий...
Примечание. Отправлять комментарии могут только участники этого блога.