OWASP Top 10 : Update 10 อันดับการโจมตี Web Application ปี 2021

OWASP หรือ Open Web Application Security Project คือ มาตราฐานความปลอดภัยของเว็บแอปพลิเคชัน ได้ทำการจัดอันดับช่องโหว่ที่มีความรุนแรง และพบเจอได้บ่อยในเว็บแอปพลิเคชัน 10 อันดับขึ้นมา และได้รับการตอบรับเป็นอย่างดีจากนักพัฒนาเว็บแอปพลิเคชันทั่วโลก ได้รับการยึดถือเป็นมาตรฐานการตรวจสอบช่องโหว่เว็บแอปพลิเคชัน ที่อธิบายรายละเอียดของช่องโหว่ที่พบได้บ่อยและมีความรุนแรง 10 อันดับแรกขึ้นมา เชิญอัปเดตรายละเอียดแต่ละช่องโหว่ ได้ดังนี้

อันดับ 1 – Broken Access Control
ได้มีการขยับอันดับขึ้นมาจากอันดับที่ 5 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ในอันดับที่ 1 ของ OWASP Top 10 สำหรับปี 2021 นี้ โดยที่ 94% ของ Application ที่ถูกทดสอบด้วยบางรูปแบบของการโจมตีประเภทนี้ พบว่า มีจำนวน 34 CWEs (Common Weakness Enumeration) ที่ถูกจัดว่าเป็น Broken Access Control ซึ่งถือว่ามากที่สุดในการโจมตีทุกประเภทที่เกิดขึ้นกับ Application ที่นำมาทดสอบ

อันดับ 2 – Cryptographic Failures
ได้มีการขยับอันดับขึ้นมาเล็กน้อยหนึ่งตำแหน่ง จาก อันดับที่ 3 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ที่ อันดับที่ 2 ของ OWASP Top 10 ปี 2021 โดยก่อนหน้านี้มีชื่อเรียกว่า “Sensitive Data Exposure” ซึ่งจะกล่าวถึงผลกระทบจากการโดนโจมตีกว้างๆ มากกว่าต้นตอของปัญหา การเปลี่ยนชื่อหมวดหมู่นี้ จะมุ่งความสนใจไปที่ความล้มเหลวที่เกี่ยวข้องกับการเข้ารหัส ซึ่งจะเป็นจุดเริ่มต้นของการนำไปสู่การรั่วไหลของข้อมูลที่ละเอียดอ่อน (Sensitive Data) รวมถึงการแทรกแซงระบบต่างๆ อีกด้วย

อันดับ 3 – Injection
ได้มีการขยับอันดับลงมาสองตำแหน่งจากอันดับที่ 1 ของ OWASP Top 10 สำหรับปี 2017 ลงมาอยู่ในอันดับที่ 3 ของ OWASP Top 10 สำหรับปี 2021 โดยที่ 94% ของ Application ที่ถูกทดสอบด้วยบางรูปแบบของการโจมตีประเภทนี้พบว่า มีจำนวน 33 CWEs ที่ถูกจัดว่าเป็นการโจมตีประเภท Injection ซึ่งถูกพบมากที่สุดเป็นอันดับที่ 2 ของการโจมตีที่พบเจอใน Application ทั้งหมด โดยการโจมตีในรูปแบบที่เรียกว่า Cross-site Scripting ได้กลายมาเป็นส่วนหนึ่งของการโจมตีในหมวดหมู่นี้ไปแล้ว จากการจัดอันดับ OWASP Top 10 ในปีล่าสุด

อันดับ 4 – Insecure Design
ถือเป็นหมวดหมู่ใหม่ในปี 2021 ที่จะมุ่งความสนใจไปที่ความเสี่ยงที่เกิดขึ้นจากการออกแบบระบบที่มีจุดบกพร่อง

อันดับ 5 – Security Misconfiguration
ได้มีการขยับอันดับขึ้นมาเล็กน้อยหนึ่งตำแหน่ง จาก อันดับที่ 6 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ที่ อันดับที่ 5 ของ OWASP Top 10 ปี 2021 มี 90% ของ Application ถูกทดสอบด้วยบางรูปแบบของการทำ Misconfiguration และเมื่อพบว่าปัจจุบันนี้ Software ต่างๆ มีการปรับปรุงให้สามารถปรับแต่งได้หลากหลายมากยิ่งขึ้น ก็ยิ่งส่งผลให้เราเห็นอันดับของหมวดหมู่ในการโจมตีประเภทนี้ ขยับสูงขึ้นอย่างไม่ต้องสงสัย ซึ่งหมวดหมู่เดิมสำหรับ XML External Entities (XXE) ก็ถูกรวมให้อยู่ในหมวดหมู่นี้ด้วยเช่นเดียวกัน

อันดับ 6 – Vulnerable and Outdated Components
ที่แต่ก่อนใช้ชื่อว่า Using Components with Known Vulnerabilities ได้มีการขยับอันดับขึ้นมาจาก อันดับที่ 9 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ใน อันดับที่ 6 ของ OWASP Top 10 สำหรับปี 2021 นี้ ซึ่งสำหรับหมวดหมู่นี้ยังคงเป็นปัญหาเดิมๆ ที่ทางทีมงานยังไม่สามารถหาวิธีที่จะทดสอบ รวมถึงประเมินความเสี่ยงได้อย่างชัดเจน อีกทั้งยังเป็นเพียงหมวดหมู่เดียวที่ไม่มี CVE (Common Vulnerabilities and Exposures) ใดๆที่จับคู่ตรงกันกับ CWE ได้อีกด้วย ส่งผลให้ต้องใช้ปัจจัยอื่นๆ ในการให้คะแนนสำหรับหมวดหมู่นี้แทน

อันดับ 7 – Identification and Authentication Failures
ที่แต่ก่อนใช้ชื่อว่า Broken Authentication และได้มีการขยับอันดับลงมาจาก อันดับที่ 2 ของ OWASP Top 10 สำหรับปี 2017 ลงมาอยู่ใน อันดับที่ 7 ของ OWASP Top 10 สำหรับปี 2021 นี้ โดยได้รวมเอา CWE ที่เกี่ยวข้องกับการยืนยันตัวตนที่ล้มเหลวเอาไว้อีกด้วย ซึ่งหมวดหมู่นี้ยังถือเป็นส่วนหนึ่งของ OWASP Top 10 อยู่แต่การที่ตำแหน่งตกลงมาค่อนข้างเยอะเป็นเพราะ ในปัจจุบันนี้มี Framework ต่างๆที่เข้ามาช่วยรองรับได้มากขึ้นแล้วนั่นเอง

อันดับ 8 – Software and Data Integrity Failures
ถือเป็นหมวดหมู่ใหม่ในปี 2021 ที่จะมุ่งความสนใจไปที่การตั้งสมมุติฐาน ที่เกี่ยวข้องกับกับการทำ Software update, ข้อมูลที่มีความสำคัญ, CI/CD (Continuous Integration/Continuous Delivery) Pipeline โดยที่ไม่มีการตรวจสอบความถูกต้อง โดยที่การโจมตีในรูปแบบของ Insecure Deserialization จากปี 2017 ก็ได้ถูกจัดให้อยู่ในหมวดหมู่นี้ด้วยเช่นเดียวกัน

อันดับ 9 – Security Logging and Monitoring Failures
มาจากชื่อเดิมที่ว่า Insufficient Logging & Monitoring ซึ่งหมวดหมู่นี้ได้ถูกเพิ่มเข้ามาจาก Industry survey ในอันดับที่ 3 และได้มีการขยับอันดับขึ้นมาจาก อันดับที่ 10 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ใน อันดับที่ 9 ของ OWASP Top 10 สำหรับปี 2021 นี้ โดยหมวดหมู่นี้ได้มีการขยาย Scope ออกไปให้ครอบคลุมการล้มเหลวหลายๆแบบ และถึงแม้ว่าจะเป็นการยากที่จะทำการทดสอบ รวมถึงไม่ได้มีข้อมูล CVE/CVSS อ้างอิงมากนัก แต่อย่างไรก็ตาม ผลของการโจมตีในหมวดหมู่นี้จะส่งผลกระทบโดยตรงกับ Visibility, incident alerting, และการทำ forensics

อันดับ 10 – Server-Side Request Forgery
ถือเป็นหมวดหมู่ใหม่ในปี 2021 ที่ถูกเพิ่มเข้ามาจาก Industry survey ในอันดับที่ 1 ซึ่งข้อมูลที่ได้รับเกี่ยวกับการโจมตีในหมวดหมู่นี้ ยังคงมีอยู่น้อยมาก ถึงแม้ว่าจะได้รับข้อมูลจาก Security community members ต่างๆว่า เป็นเรื่องที่สำคัญและน่าจับตามองก็ตามที

ที่มา : https://owasp.org/Top10/

หากคุณสนใจบริการด้าน Security หรือต้องการคำปรึกษาอื่นๆ เพิ่มเติม

ติดต่อเราได้ที่ marketing@tangerine.co.th หรือ โทร 02 285 5511

ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

Share on social media