Интересно, что предыдущий подобный рейтинг составлялся в 2017 году и с того времени он существенно изменился.
подробнее о защите веб-приложений
Топ-10 главных уязвимостей в веб-приложениях:
- Нарушение контроля доступа (Broken Access Control)
- Сбои в криптографии (Cryptographic Failures)
- Внедрение кода (Injection)
- Небезопасный дизайн (Insecure Design)
- Неправильная конфигурация (Security Misconfiguration)
- Уязвимые и устаревшие компоненты (Vulnerable and Outdated Components)
- Ошибки идентификации и аутентификации (Identification and Authentication Failures)
- Нарушение целостности данных и программного обеспечения (Software and Data Integrity Failures)
- Журнал безопасности и сбои мониторинга (Security Logging and Monitoring Failures)
- Подделка запросов со стороны сервера или же SSRF (Server-Side Request Forgery)
Как составлялся данный рейтинг
OWASP собирает информацию от более чем 40 известных отраслевых компаний, которые занимаются обеспечением безопасности веб-приложений, а также проводят опрос среди специалистов из сферы информационной безопасности.
На что стоит обратить внимание в новом рейтинге
По сравнению с 2017 годом в рейтинге появилось две новые категории – «Небезопасный дизайн» и «Нарушение целостности данных и программного обеспечения».
Категория «Нарушение контроля доступа» по сравнению с 2017 годом поднялась сразу на 4 позиции и заняла первое место. В среднем, 3,81% протестированных веб-приложений имело данный тип уязвимости. Если в приложении есть нарушенный контроль доступа, это дает преступникам возможность получить доступ к конфиденциальным файлам и персональным данным пользователей.
Один из самых эффективных способов защиты веб-приложений от злоумышленников является использование Web Application Firewall – межсетевого экрана для приложений, обменивающихся данными через HTTP и HTTPS.
Для определения уязвимостей приложения требуется провести технический анализ, протестировать его на проникновение и проанализировать код. По всем этим вопросам вы можете обращаться к экспертам Softline Armenia.