10 nejčastejších zranitelností WEBU

Top 10 bezpečnostních rizik webových aplikací

Existují tři nové kategorie, čtyři kategorie se změnami pojmenování a rozsahu a určitá konsolidace v Top 10 pro rok 2021.

Nejčastější zranitelnosti webu

  1. A01:2021-Broken Access Control se posouvá z páté pozice nahoru; 94 % aplikací bylo testováno na nějakou formu nefunkčního řízení přístupu. 34 Common Weakness Enumerations (CWE) mapovaných do Broken Access Control mělo v aplikacích více výskytů než kterákoli jiná kategorie.
  2. A02:2021-Cryptographic Failures se posouvá o jednu pozici nahoru na číslo 2, dříve známé jako vystavení citlivým datům, což bylo spíše obecným příznakem než hlavní příčinou. Obnovený důraz je zde kladen na selhání související s kryptografií, která často vede k vystavení citlivých dat nebo kompromitaci systému.
  3. A03:2021-Injection sklouzne dolů na třetí pozici. 94 % aplikací bylo testováno na nějakou formu vstřikování a 33 CWE mapovaných do této kategorie má druhý největší výskyt v aplikacích. Cross-site Scripting je nyní součástí této kategorie v tomto vydání.
  4. A04:2021-Nezabezpečený design je nová kategorie pro rok 2021 se zaměřením na rizika související s chybami v designu. Pokud se jako odvětví skutečně chceme „posunout doleva“, vyžaduje to více používání modelování hrozeb, bezpečných návrhových vzorů a principů a referenčních architektur.
  5. A05:2021-Security Misconfiguration se posouvá nahoru z #6 v předchozím vydání; 90 % aplikací bylo testováno na nějakou formu nesprávné konfigurace. S dalšími posuny do vysoce konfigurovatelného softwaru není divu, že se tato kategorie posouvá nahoru. Dřívější kategorie pro externí entity XML (XXE) je nyní součástí této kategorie.
  6. A06:2021-Zranitelné a zastaralé komponenty byly dříve nazvány Používání komponent se známými zranitelnostmi a jsou na 2. místě v průzkumu komunity Top 10, ale také měly dostatek dat, aby se díky analýze dat dostaly do Top 10. Tato kategorie se v roce 2017 posunula z 9. místa a jedná se o známý problém, který se snažíme testovat a vyhodnocovat rizika. Je to jediná kategorie, která nemá žádné společné zranitelnosti a ohrožení (CVE) namapované na zahrnuté CWE, takže do jejich skóre jsou započítány výchozí váhy zneužití a dopadu 5,0.
  7. A07:2021-Identification and Authentication Failures bylo dříve Broken Authentication a klesá z druhé pozice a nyní zahrnuje CWE, které se více týkají selhání identifikace. Tato kategorie je stále nedílnou součástí Top 10, ale zdá se, že pomáhá zvýšená dostupnost standardizovaných rámců.
  8. A08:2021-Selhání integrity softwaru a dat je nová kategorie pro rok 2021, která se zaměřuje na vytváření předpokladů týkajících se aktualizací softwaru, důležitých dat a kanálů CI/CD bez ověřování integrity. Jeden z nejvyšších vážených dopadů dat Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mapovaných na 10 CWE v této kategorii. Nezabezpečená deserializace z roku 2017 je nyní součástí této větší kategorie.
  9. A09:2021-Selhání bezpečnostního protokolování a monitorování bylo dříve nedostatečné protokolování a monitorování a je přidáno z průmyslového průzkumu (č. 3), čímž se posunulo z předchozího čísla 10 nahoru. Tato kategorie je rozšířena tak, aby zahrnovala více typů poruch, je náročná na testování a není dobře zastoupena v datech CVE/CVSS. Selhání v této kategorii však může přímo ovlivnit viditelnost, upozornění na incidenty a forenzní analýzu.
  10. A10:2021-Padělání požadavku na straně serveru je přidáno z 10 nejlepších komunitních průzkumů (č. 1). Data ukazují relativně nízkou míru výskytu s nadprůměrným pokrytím testováním spolu s nadprůměrným hodnocením potenciálu zneužití a dopadu. Tato kategorie představuje scénář, kdy nám členové bezpečnostní komunity říkají, že je to důležité, i když to v současnosti není v datech znázorněno.

Komentáře

Kdokoliv může přidávat komentáře ke článkům bez registrace. Zadá si libovolnou přezdívku a napíše komentář.

Jak používat messenger Signál


SSL pro weby od 11/2015 zdarma


MS WINDOWS 10, 11 - sběr informací o uživateli


DEBIAN 12 (bookworm) - OS zdarma debian vyšel 10.6.2023

debian

debian - stáhnout nejnovější DEBIAN pro PC
debian edu - debian pro školy a školní prostředí, stažení DEBedu (torrent)


Zranitelnost „ROM-0“ routerů


Předali data tajným službám
Americké bezpečnostní agentuře (NSA) předali data Microsoft, Yahoo, Google, Facebook...


Itálie preferuje open source
Italský parlament schválil zákon, který nařizuje státním institucím pořizovat otevřený software před komerčním. To znamená LINUX místo MS-WINDOWS, LIBRE OFFICE místo MS OFFICE atd.

19.03. 2024 10:36:16
  • Redakční systém MRS
  • 10 nečastějších zranitelností WEBU
  • Esperantoesperanto - univerzální mezinárodní jazyk
  • Kryptografie okolo nás - kniha popisuje využití kryptografie v běžném životě
  • SMS zdarma - posílání SMS zdarma
  • proč LINUX
  • základy LINUXU
  • Software na úřadech - jeho otevřené alternativy
  • Řekněte sbohem Microsoftu
  • Rychlost připojení - změřte si svoji rychlost
  • SEO servis
  • Jak psát web
  • Zákony - občanský, autorský, obchodní zákoník atd.
  • Infosoud - nalezení stání a průběhu jednání
  • Soudní rozhodnutí - nalezení rozsudků
  • ARES - registr ekonomických subjektů
  • Katastr nemovitostí
  • Broďan - brodské nezávislé zpravodajství

vydělávejte
na burze kryptoměn

23.03. 2024 15:47:51
Návštěvy
Celkem: 299260
Týden: 875
Dnes: 103
  přihlásit poslední změna: 23.03. 2024 16:01:26