ผ่านไป 4 ปีหลังจาก Open Web Application Security Project (OWASP) ได้ออกรายงาน OWASP Top 10 ปี 2013 ซึ่งเป็นรายงานการวิเคราะห์ความเสี่ยงด้านความมั่นคงปลอดภัยบนเว็บแอพพลิเคชัน 10 อันดับเพื่อให้นักพัฒนาและผู้ดูแลระบบรักษาความมั่นคงปลอดภัยได้นำไปศึกษาและวางมาตรการควบคุมเพื่อรับมือกับการโจมตีบนเว็บแอพพลิเคชัน ล่าสุด OWASP ได้อัปเดตรายการความเสี่ยงทั้ง 10 อันดับใหม่แล้ว

OWASP Top 10 ปี 2017 นี้ ความเสี่ยงบน Web Application อันดับหนึ่งยังคงเป็น Injection ตามมาด้วย Broken Authentication นอกจากนี้ยังมีความเสี่ยงใหม่ 3 แบบที่เข้ามาติดอันดับ ได้แก่

• XML External Entity Vulnerabilities – การตั้งค่า XML Parser อย่างไม่เหมาะสมอาจนำไปสู่ช่องโหว่หลากหลายแบบ เช่น ไฟล์ข้อมูลภายในถูกเปิดเผย การสแกนพอร์ต การรันคำสั่งแปลกปลอมจากระยะไกล (RCE) หรือ DoS เป็นต้น
• Insecure Deserialization – การแปลงข้อมูล Serialization ให้เป็น Deserialization อย่างไม่เหมาะสมอาจก่อให้เกิดช่องโหว่ RCE หรือนำไปสู่การโจมตีแบบ Replay Attacks, Injection Attacks และ Privilege Escalation Attacks ได้
• Insufficient Logging and Monitoring – การจัดเก็บและเฝ้าระวัง Log ไม่ดีเพียงพอ รวมกับการทำ Incident Response อย่างไร้ประสิทธิภาพ อาจทำให้การโจมตีขยายวงกว้างมากยิ่งขึ้น ซึ่งกว่าจะรู้ตัวทุกอย่างก็สายไปเสียแล้ว

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่

https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf