Thứ tự sắp xếp theo mức độ nguy hiểm của các lỗ hổng OWASP Top 10 đã có sự thay đổi đáng kể trong phiên bản năm 2021 này.
A01: Vào năm 2021, lỗi kiểm soát truy cập hỏng (Broken Access Control) đã di chuyển lên từ vị trí thứ 5 lên vị trí thứ nhất. Các lỗi này xảy ra vì thiếu các tính năng phát hiện lỗi tự động hoặc các hàm kiểm tra và đánh giá chưa hiệu quả do lỗi ở việc phân quyền trong hệ thống. Hacker có thể lợi dụng lỗi này để truy cập vào quyền người dùng để thêm, sửa, xóa các bản ghi.
A02: Lỗi mật mã (Cryptographic Failures), những lỗi mật mã gây ra những hậu quả nghiêm trọng khi chúng là nguyên nhân của việc lộ các dữ liệu nhạy cảm quan trọng hoặc xâm phạm hệ thống.
A03: Lỗi chèn mã độc (Injection) sẽ lợi dụng lỗ hổng từ các câu lệnh truy vấn của ứng dụng. Hacker sẽ lợi dụng chèn một đoạn mã SQL để nắm quyền thực thi website và khai thác dữ liệu cơ sở dữ liệu (database) khi khách hàng nhập vào những biểu mẫu (form) trên trang web.
A04: Lỗi thiết kế không bảo mật (Insecure Design) là một trong những danh mục mới trong top 10 lỗ hổng OWASP 2021. Tin tặc lợi dụng khai thác các sai sót trong thiết kế website để tấn công người dùng.
A05: Lỗi cấu hình bảo mật sai (Security Misconfiguration) di chuyển tăng một bậc lên vị trí thứ 6 do nhà quản trị không cập nhật các cấu hình bảo mật mới được cập nhật mỗi ngày. Dẫn đến tình trạng cấu hình bảo mật được xây dựng không chắc chắn tại các tại cơ sở hạ tầng của website, nền tảng khung phần mềm (framework), máy chủ,…
A06: Là lỗi đến từ các thành phần bảo mật dễ bị tổn hại và lỗi thời (Vulnerable and Outdated Components)
A07: Lỗi xác nhận hổng (Broken Authentication) vào năm 2017 được thay thế bằng lỗi nhận dạng và xác thực (Identification and Authentication Failures). Đây là một danh mục không thể thiếu tại OWASP Top 10, bên cạnh đó các tiêu chuẩn hóa được cập nhật mới của framework giúp giảm thiểu lỗi này.
A08: Một danh mục mới được tạo ra cho OWASP Top 10 2021 chính là lỗi toàn vẹn dữ liệu và phần mềm (Software and Data Integrity Failures), tập trung vào việc đưa ra các giả định liên quan đến cập nhật phần mềm, dữ liệu quan trọng và đường ống CI/CD mà không xác minh tính toàn vẹn. Một trong những tác động có trọng số cao nhất từ dữ liệu hệ thống chấm điểm lỗ hổng phổ biến và hệ thống chấm điểm lỗ hổng chung (CVE/CVSS) được đánh điểm tới 10 CWEs trong danh mục này. A8:2017 - Hủy đăng ký không an toàn hiện là một phần của danh mục lớn hơn này.
A09: Lỗi theo dõi và ghi nhật ký bảo mật (Security Logging and Monitoring Failures) trước đây là lỗi A10:2017 (Insufficient Logging and Monitoring) được thêm vào từ cuộc khảo sát cộng đồng OWASP Top 10, tăng từ vị trí thứ 10 trước đó lên vị trí thứ 9. Danh mục này được mở rộng để bao gồm nhiều loại lỗi hơn, khó kiểm tra và không được trình bày rõ ràng trong dữ liệu CVE/CVSS. Tuy nhiên, các lỗi trong danh mục này có thể ảnh hưởng trực tiếp đến khả năng hiển thị và cảnh báo sự cố.
A10: Truy vấn yêu cầu phía máy chủ (Server-Side Request Forgery) được thêm vào từ cuộc khảo sát trong cộng đồng OWASP Top 10.
0 Nhận xét