Статья Интересно Что такое OWASP Top Ten и с чем его едят.

[Emilio_Gaviriya]

OWASP Top Ten - это список наиболее критических уязвимостей веб-приложений, составляемый ежегодно некоммерческой организацией Open Web Application Security Project (OWASP). Список содержит наиболее распространенные уязвимости, на которые обращают внимание хакеры при атаках на веб-приложения.

OWASP Top Ten формируется на основе анализа данных о безопасности веб-приложений, собранных от сообщества специалистов по безопасности, консультантов, разработчиков и исследователей.

Процесс формирования OWASP Top Ten включает следующие шаги:​

• Сбор данных: OWASP собирает данные о уязвимостях веб-приложений из различных источников, таких как отчеты об уязвимостях, статистика использования уязвимостей в реальных атаках и исследования безопасности.
• Анализ данных: Собранные данные анализируются и классифицируются с целью выделения наиболее критических уязвимостей, которые наиболее широко используются злоумышленниками.
• Разработка списка: На основе анализа данных и экспертного мнения формируется список из наиболее актуальных уязвимостей веб-приложений - OWASP Top Ten.
• Обновление списка: OWASP Top Ten обновляется ежегодно или при необходимости, чтобы отразить изменения в угрозах и трендах в области безопасности.

Основные уязвимости:​

• Атака инъекции (Injection).
• Недостатки управления аутентификацией и сеансами (Broken Authentication).
• Недостатки защиты от межсайтового скриптинга (Cross-Site Scripting).
• Небезопасное объединение (Insecure Direct Object References).
• Недостатки управления доступом (Broken Access Control).
• Недостатки валидации данных (Security Misconfiguration).
• Межсайтовая запросная подделка (Cross-Site Request Forgery).
• Утечка конфиденциальных данных (Security Misconfiguration).
• Недостатки в защите от автоматизированных атак (Insufficient Security Detection).
• Уязвимости в защите от недостатков в компонентах (Broken Functional Access Control).