Nhìn lại Top 10 OWASP 2021

Hi. Tự nhiên cái thấy đọc cái này cũng hay nên tổng hợp lại chia sẻ với mọi người

Chuyện là hôm nay đang làm spring security có liên quan đến csrf nên mình tìm hiểu và hỏi chat + suy đoán nhiều. Đoc được nhiều disscuss trên stackoverflow và biết là csrf đã out top 10 của OWASP (Open Worldwide Application Security Project) từ năm 2017 rồi. Kéo qua tab của họ thì thấy top 10 mới này và họ dự kiến update top 10 vào nửa năm 2025 này. Tới phần chính ngay nè.

Đã viết dài nhưng content vui nên cho người ta đọc nhanh nên xóa hết, giữ lại phần chính thôi. Nha

Mapping of changed in 2017-2021 top 10 OWASP (src: https://owasp.org/)

1. A01:2021 - Broken Access Control (Lỗi kiểm soát truy cập):

   • Thăng hạng: . tăng 4
   • Ý nghĩa: Không đúng quyền truy cập của người dùng, cho phép họ truy cập vào những tài nguyên hoặc chức năng mà họ không được phép.
   • CWEs (Common Weakness Enumerations): 34 CWEs liên quan đến lỗi này đã xuất hiện với tần suất nhiều nhất trong các ứng dụng được kiểm thử.

2. A02:2021 - Cryptographic Failures (Lỗi liên quan đến mã hóa):

   • Thăng hạng: Cryptographic Failures (trước đây là Sensitive Data Exposure) tăng 2.
   • Ý nghĩa: Điều này nhấn mạnh tầm quan trọng của việc sử dụng mã hóa đúng cách. Các lỗi mã hóa có thể dẫn đến lộ dữ liệu nhạy cảm hoặc thậm chí là xâm nhập hệ thống..
   • Tập trung: Tập trung vào các lỗi liên quan đến mã hóa, thay vì chứng “lộ dữ liệu”.

3. A03:2021 - Injection (Lỗi Injection):

   • Xuống hạng: Injection (bao gồm cả SQL Injection, NoSQL Injection) giảm 3.
   • Ý nghĩa: Tiêm chích dô đồ đó, cái này thì quá nổi tiếng.
   • XSS vào Injection: Cross-site Scripting (XSS) đươc thêm vào mục này nhe.
   • CWEs: 33 CWEs liên quan đến lỗi này có số lần xuất hiện cao thứ 2.

4. A04:2021 - Insecure Design (Thiết kế không an toàn):

   • Mục mới: Danh mục mới, cho thấy tầm quan trọng của việc thiết kế ứng dụng một cách an toàn ngay từ đầu. => Design vẻ dỏm, backend không thấy cũng dỏm luôn.
   • Ý nghĩa: Tập trung vào các rủi ro đến từ các lỗi thiết kế.
   • Đề xuất: Các tổ chức nên sử dụng threat modeling, secure design patterns và các nguyên tắc, cũng như các kiến trúc tham khảo.

5. A05:2021 - Security Misconfiguration (Cấu hình sai bảo mật):

   • Thăng hạng: Tăng 1
   • Ý nghĩa: Cấu hình sai bảo mật là một trong những vấn đề phổ biến nhất. Điều này xảy ra khi ứng dụng hoặc hệ thống được cấu hình sai, dẫn đến các lỗ hổng bảo mật.
   • XXE vào Misconfiguration: XML External Entities (XXE) trước đây là một danh mục riêng, giờ đây cũng được đưa vào đây.

6. A06:2021 - Vulnerable and Outdated Components (các tphan có nguy cơ và lỗi thời):

   • Thăng hạng: Các thành phần dễ bị tổn thương và lỗi thời 9 lên 6.
   • Ý nghĩa: Sử dụng các thư viện và framework lỗi thời là một vấn đề nghiêm trọng. Các thư viện này thường có các lỗ hổng bảo mật đã được biết đến.
   • Không CVEs: Đây là hạng mục duy nhất không có CVEs (Common Vulnerability and Exposures) nào, vì vậy ảnh hưởng được đánh giá mặc định là 5.0.

7. A07:2021 - Identification and Authentication Failures (Lỗi xác thực và nhận dạng):

   • Xuống hạng: Từ vị trí thứ 2 rớt rớt xuống 7, Identification and Authentication Failures (trước đây là Broken Authentication).
   • Ý nghĩa: Mặc dù thứ hạng giảm, lỗi xác thực và nhận dạng vẫn là một mối đe dọa nghiêm trọng. Điều này xảy ra khi hệ thống không xác thực người dùng đúng cách, cho phép kẻ tấn công giả mạo danh tính.
   • Bao gồm: Bao gồm các CWEs liên quan đến lỗi định danh.
   • Giảm nhờ Framework: Việc sử dụng các framework tiêu chuẩn đã giúp giảm thiểu vấn đề này.

8. A08:2021 - Software and Data Integrity Failures (Lỗi toàn vẹn phần mềm và dữ liệu):

   • Mục mới: Đây là một hạng mục mới, tập trung vào việc đảm bảo tính toàn vẹn của phần mềm và dữ liệu.
   • Ý nghĩa: Các lỗi liên quan đến việc cập nhật phần mềm, dữ liệu quan trọng và quy trình CI/CD (Continuous Integration/Continuous Delivery) có thể dẫn đến các hậu quả nghiêm trọng.
   • Insecure Deserialization: Insecure Deserialization từ 2017 cũng được đưa vào đây.
   • Ảnh hưởng cao: Các CVE/CVSS liên quan đến hạng mục này có ảnh hưởng rất lớn.

9. A09:2021 - Security Logging and Monitoring Failures (Lỗi ghi log và giám sát bảo mật):

   • Thăng hạng: Security Logging and Monitoring Failures (trước đây là Insufficient Logging & Monitoring) tăng 1.
   • Ý nghĩa: Các lỗi trong việc ghi log và giám sát có thể ảnh hưởng trực tiếp đến khả năng phát hiện và xử lý sự cố bảo mật.
   • Mở rộng: Bao gồm nhiều loại lỗi hơn.

10. A10:2021 - Server-Side Request Forgery (SSRF) (Tấn công giả mạo yêu cầu phía server):

    • Mục mới: SSRF là hạng mục mới được thêm vào danh sách, dựa trên ý kiến từ cộng đồng.
    • Ý nghĩa: SSRF xảy ra khi kẻ tấn công có thể thao túng server để thực hiện các request đến các tài nguyên bên trong hoặc bên ngoài mạng nội bộ.
    • Nguy hiểm: Mặc dù chưa có nhiều dữ liệu chứng minh mức độ phổ biến, đây vẫn là một mối nguy hiểm cần được quan tâm.

Kết Đọc chi tiết hơn ở trang của owasp nếu thích nhan. Hy vọng bài viết này sẽ hữu ích cho các bạn. Hãy cùng nhau tạo ra một không gian web an toàn hơn nhéeeee!