OWASP Top 10 : Update 10 อันดับการโจมตี Web Application ปี 2021

OWASP Top 10 : Update 10 อันดับการโจมตี Web Application ปี 2021
OWASP หรือ Open Web Application Security Project คือ มาตราฐานความปลอดภัยของเว็บแอปพลิเคชัน ได้ทำการจัดอันดับช่องโหว่ที่มีความรุนแรง และพบเจอได้บ่อยในเว็บแอปพลิเคชัน 10 อันดับขึ้นมา และได้รับการตอบรับเป็นอย่างดีจากนักพัฒนาเว็บแอปพลิเคชันทั่วโลก ได้รับการยึดถือเป็นมาตรฐานการตรวจสอบช่องโหว่เว็บแอปพลิเคชัน ที่อธิบายรายละเอียดของช่องโหว่ที่พบได้บ่อยและมีความรุนแรง 10 อันดับแรกขึ้นมา เชิญอัปเดตรายละเอียดแต่ละช่องโหว่ ได้ดังนี้

อันดับ 1 – Broken Access Control
ได้มีการขยับอันดับขึ้นมาจากอันดับที่ 5 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ในอันดับที่ 1 ของ OWASP Top 10 สำหรับปี 2021 นี้ โดยที่ 94% ของ Application ที่ถูกทดสอบด้วยบางรูปแบบของการโจมตีประเภทนี้ พบว่า มีจำนวน 34 CWEs (Common Weakness Enumeration) ที่ถูกจัดว่าเป็น Broken Access Control ซึ่งถือว่ามากที่สุดในการโจมตีทุกประเภทที่เกิดขึ้นกับ Application ที่นำมาทดสอบ

อันดับ 2 – Cryptographic Failures
ได้มีการขยับอันดับขึ้นมาเล็กน้อยหนึ่งตำแหน่ง จาก อันดับที่ 3 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ที่ อันดับที่ 2 ของ OWASP Top 10 ปี 2021 โดยก่อนหน้านี้มีชื่อเรียกว่า “Sensitive Data Exposure” ซึ่งจะกล่าวถึงผลกระทบจากการโดนโจมตีกว้างๆ มากกว่าต้นตอของปัญหา การเปลี่ยนชื่อหมวดหมู่นี้ จะมุ่งความสนใจไปที่ความล้มเหลวที่เกี่ยวข้องกับการเข้ารหัส ซึ่งจะเป็นจุดเริ่มต้นของการนำไปสู่การรั่วไหลของข้อมูลที่ละเอียดอ่อน (Sensitive Data) รวมถึงการแทรกแซงระบบต่างๆ อีกด้วย

อันดับ 3 – Injection
ได้มีการขยับอันดับลงมาสองตำแหน่งจากอันดับที่ 1 ของ OWASP Top 10 สำหรับปี 2017 ลงมาอยู่ในอันดับที่ 3 ของ OWASP Top 10 สำหรับปี 2021 โดยที่ 94% ของ Application ที่ถูกทดสอบด้วยบางรูปแบบของการโจมตีประเภทนี้พบว่า มีจำนวน 33 CWEs ที่ถูกจัดว่าเป็นการโจมตีประเภท Injection ซึ่งถูกพบมากที่สุดเป็นอันดับที่ 2 ของการโจมตีที่พบเจอใน Application ทั้งหมด โดยการโจมตีในรูปแบบที่เรียกว่า Cross-site Scripting ได้กลายมาเป็นส่วนหนึ่งของการโจมตีในหมวดหมู่นี้ไปแล้ว จากการจัดอันดับ OWASP Top 10 ในปีล่าสุด

อันดับ 4 – Insecure Design
ถือเป็นหมวดหมู่ใหม่ในปี 2021 ที่จะมุ่งความสนใจไปที่ความเสี่ยงที่เกิดขึ้นจากการออกแบบระบบที่มีจุดบกพร่อง

อันดับ 5 – Security Misconfiguration
ได้มีการขยับอันดับขึ้นมาเล็กน้อยหนึ่งตำแหน่ง จาก อันดับที่ 6 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ที่ อันดับที่ 5 ของ OWASP Top 10 ปี 2021 มี 90% ของ Application ถูกทดสอบด้วยบางรูปแบบของการทำ Misconfiguration และเมื่อพบว่าปัจจุบันนี้ Software ต่างๆ มีการปรับปรุงให้สามารถปรับแต่งได้หลากหลายมากยิ่งขึ้น ก็ยิ่งส่งผลให้เราเห็นอันดับของหมวดหมู่ในการโจมตีประเภทนี้ ขยับสูงขึ้นอย่างไม่ต้องสงสัย ซึ่งหมวดหมู่เดิมสำหรับ XML External Entities (XXE) ก็ถูกรวมให้อยู่ในหมวดหมู่นี้ด้วยเช่นเดียวกัน

อันดับ 6 – Vulnerable and Outdated Components
ที่แต่ก่อนใช้ชื่อว่า Using Components with Known Vulnerabilities ได้มีการขยับอันดับขึ้นมาจาก อันดับที่ 9 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ใน อันดับที่ 6 ของ OWASP Top 10 สำหรับปี 2021 นี้ ซึ่งสำหรับหมวดหมู่นี้ยังคงเป็นปัญหาเดิมๆ ที่ทางทีมงานยังไม่สามารถหาวิธีที่จะทดสอบ รวมถึงประเมินความเสี่ยงได้อย่างชัดเจน อีกทั้งยังเป็นเพียงหมวดหมู่เดียวที่ไม่มี CVE (Common Vulnerabilities and Exposures) ใดๆที่จับคู่ตรงกันกับ CWE ได้อีกด้วย ส่งผลให้ต้องใช้ปัจจัยอื่นๆ ในการให้คะแนนสำหรับหมวดหมู่นี้แทน

อันดับ 7 – Identification and Authentication Failures
ที่แต่ก่อนใช้ชื่อว่า Broken Authentication และได้มีการขยับอันดับลงมาจาก อันดับที่ 2 ของ OWASP Top 10 สำหรับปี 2017 ลงมาอยู่ใน อันดับที่ 7 ของ OWASP Top 10 สำหรับปี 2021 นี้ โดยได้รวมเอา CWE ที่เกี่ยวข้องกับการยืนยันตัวตนที่ล้มเหลวเอาไว้อีกด้วย ซึ่งหมวดหมู่นี้ยังถือเป็นส่วนหนึ่งของ OWASP Top 10 อยู่แต่การที่ตำแหน่งตกลงมาค่อนข้างเยอะเป็นเพราะ ในปัจจุบันนี้มี Framework ต่างๆที่เข้ามาช่วยรองรับได้มากขึ้นแล้วนั่นเอง

อันดับ 8 – Software and Data Integrity Failures
ถือเป็นหมวดหมู่ใหม่ในปี 2021 ที่จะมุ่งความสนใจไปที่การตั้งสมมุติฐาน ที่เกี่ยวข้องกับกับการทำ Software update, ข้อมูลที่มีความสำคัญ, CI/CD (Continuous Integration/Continuous Delivery) Pipeline โดยที่ไม่มีการตรวจสอบความถูกต้อง โดยที่การโจมตีในรูปแบบของ Insecure Deserialization จากปี 2017 ก็ได้ถูกจัดให้อยู่ในหมวดหมู่นี้ด้วยเช่นเดียวกัน

อันดับ 9 – Security Logging and Monitoring Failures
มาจากชื่อเดิมที่ว่า Insufficient Logging & Monitoring ซึ่งหมวดหมู่นี้ได้ถูกเพิ่มเข้ามาจาก Industry survey ในอันดับที่ 3 และได้มีการขยับอันดับขึ้นมาจาก อันดับที่ 10 ของ OWASP Top 10 สำหรับปี 2017 ขึ้นมาอยู่ใน อันดับที่ 9 ของ OWASP Top 10 สำหรับปี 2021 นี้ โดยหมวดหมู่นี้ได้มีการขยาย Scope ออกไปให้ครอบคลุมการล้มเหลวหลายๆแบบ และถึงแม้ว่าจะเป็นการยากที่จะทำการทดสอบ รวมถึงไม่ได้มีข้อมูล CVE/CVSS อ้างอิงมากนัก แต่อย่างไรก็ตาม ผลของการโจมตีในหมวดหมู่นี้จะส่งผลกระทบโดยตรงกับ Visibility, incident alerting, และการทำ forensics

อันดับ 10 – Server-Side Request Forgery
ถือเป็นหมวดหมู่ใหม่ในปี 2021 ที่ถูกเพิ่มเข้ามาจาก Industry survey ในอันดับที่ 1 ซึ่งข้อมูลที่ได้รับเกี่ยวกับการโจมตีในหมวดหมู่นี้ ยังคงมีอยู่น้อยมาก ถึงแม้ว่าจะได้รับข้อมูลจาก Security community members ต่างๆว่า เป็นเรื่องที่สำคัญและน่าจับตามองก็ตามที

ที่มา : https://owasp.org/Top10/

หากคุณสนใจบริการด้าน Security หรือต้องการคำปรึกษาอื่นๆ เพิ่มเติม

ติดต่อเราได้ที่ marketing@tangerine.co.th หรือ โทร 02 285 5511

ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

Share on social media

Wittawat Hemwannanurak

Business Development Manager - Cybersecurity

Tangerine Expertise

Related Solution

Google Workspace มีอะไรใหม่
calendar editor meet chatcloud highlight productivity workcloud highlight productivity work transformationgmail calendar editor meet

Protected: Google Workspace

There is no excerpt because this is a protected post.

Expand Interests

All and More

  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Dell EMC
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • VMware
All
  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Dell EMC
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • VMware
CiscoSecurity

Protected: บริหารจัดการอัตโนมัติด้วย Cisco Evolved Programmable Network Manager

There is no excerpt because this is a protected post.

Security

Protected: การใช้ Secure Access Service Edge (SASE) เพิ่มประสิทธิภาพขององค์กร

There is no excerpt because this is a protected post.

G SuiteGoogle CloudGoogle Workspace

Protected: ตอบโจทย์องค์กรในยุค Hybrid Work รองรับผู้เข้าร่วมถึง 500 คนต่อหนึ่งการประชุมด้วย Google Meet

There is no excerpt because this is a protected post.

CiscoSecurity

Protected: Cisco Webex : New Feature ที่ช่วยให้การทำ Meeting ง่าย สะดวกยิ่งขึ้น

There is no excerpt because this is a protected post.

Dev Sec Ops
HighlightHybrid Cloud & Multi CloudVMware

ความท้าทายของ CIO ยุคใหม่ สู่ทางลัดการพัฒนาแอปพลิเคชัน ให้ทันสมัย เร็วขึ้น ปลอดภัย และตอบโจทย์ลูกค้า

“เกือบ 90% ของ CIO และ SVP เชื่อว่าการปรับปรุง Application Portfolio ถือป็นกุญแจสำคัญในการปรับปรุง Customer Experience” Ref. Forrester Consulting, March 2020

Scroll to Top

ติดต่อ tangerine

Tel: +66 2 2855511   |   Email: info@tangerine.co.th




      This website uses cookies to ensure you get the best experience on our website. View Privacy Policy