Về OWASP
OWASP là tên viết tắt của The Open Worldwide Application Security Project – một tổ chức phi lợi nhuận hoạt động với mục đích cải thiện tính bảo mật của phần mềm.
OWASP Top Ten
OWASP Top 10 là tài liệu nâng cao nhận thức tiêu chuẩn dành cho các nhà phát triển và bảo mật ứng dụng web. Nó thể hiện sự đồng thuận rộng rãi về các rủi ro bảo mật nghiêm trọng nhất đối với các ứng dụng web.
Chúng ta sẽ cùng xem xét 10 rủi ro được đề cập trong tài liệu.
- Broken Access Control
Lỗi thường dẫn đến việc tiết lộ, sửa đổi hoặc phá hủy thông tin trái phép tất cả dữ liệu hoặc thực hiện chức năng kinh doanh ngoài giới hạn của người dùng.
- Cryptographic Failures
Liên quan đến việc bảo vệ dữ liệu khi truyền và ở trạng thái nghỉ. Ví dụ: mật khẩu, số thẻ tín dụng, hồ sơ sức khỏe, thông tin cá nhân và bí mật kinh doanh
- Injection
Đề cập đến việc “làm sạch” các dữ liệu đầu vào trước khi chúng được gửi về server để xử lý. Đây là lỗi phổ biến nhất và thường được các tin tặc sử dụng để tấn công website.
- Insecure Design
- Security Misconfiguration
Đề cập đến các vấn đề cấu hình hệ thống được sử dụng để chạy ứng dụng web, ví dụ hosting, vps, server… Ứng dụng web dù có bảo mật tốt, nhưng hạ tầng bị tấn công thì cũng không có tác dụng.
- Vulnerable and Outdated Components
Đề cập đến việc không kiểm soát các phiên bản của ứng dụng, của nền tảng phát triển, thư viện ứng dụng bên thứ ba….dẫn đến những rủi ro bị tin tặc tấn công .
- Identification and Authentication Failures
Đề cập đến việc xác thực thông tin người dùng, phạm vi về quyền được cấp phép trong hệ thống để hạn chế rủi ro truy cập và tấn công qua lỗ hổng xác thực danh tính.
- Software and Data Integrity Failuresicon Factors
Đề cập đến việc sử dụng các thư viện, hạ tầng từ bên cung cấp thứ 3 mà không đáng tin cậy.
- Security Logging and Monitoring Failures
Đề cập đến việc ghi chép lịch sử truy cập hoặc thao tác trên ứng dụng để có thể kiểm soát được các nguy cơ tấn công.
