OWASP cập nhật danh sách 10 nguy cơ bảo mật web hàng đầu năm 2021

Top 10 năm nay có 3 danh mục mới, 4 danh mục có những thay đổi về tên, phạm vi và một số hợp nhất, cụ thể:

1. Kiểm soát truy cập bị hỏng (Broken Access Control).

2. Lỗi mật mã (Cryptographic Failures) trước đây được gọi là phơi nhiễm dữ liệu nhạy cảm.

3. Chèn mã (Injection).

4. Thiết kế không an toàn (Insecure Design).

5. Cấu hình sai bảo mật (Security Misconfiguration).

6. Các thành phần dễ bị tổn thương và lỗi thời (Vulnerable and Outdated Components).

7. Nhận dạng và xác thực không thành công (Identification and Authentication Failures).

8. Lỗi toàn vẹn phần mềm và dữ liệu (Software and Data Integrity Failures).

9. Ghi nhật ký bảo mật và theo dõi các lỗi (trước đây là ghi nhật ký và giám sát không đủ) (Security Logging and Monitoring Failures).

10. Giả mạo yêu cầu phía máy chủ (Server-Side Request Forgery)

Sean Wright - kỹ sư bảo mật ứng dụng chính tại Immersive Labs nhận định rằng: "Danh sách Top 10 cho thấy mặc dù việc bảo mật ứng dụng đã được quan tâm trong thời gian gần đây, tuy nhiên vẫn còn rất nhiều việc cần phải làm. Một nửa nguy cơ đã xuất hiện trong các Top 10 kể từ năm 2003, nhưng sau 18 năm phát triển công nghệ, thử nghiệm và học hỏi vẫn chưa đủ để khắc phục những sai sót này. Điều này có nghĩa cần thay đổi cách tiếp cận đối với việc bảo mật ứng dụng".

Wright cho biết việc áp dụng phương pháp tiếp cận kết hợp công nghệ và con người để giải quyết các lỗ hổng này sẽ cải thiện tính bảo mật của ứng dụng và hy vọng sẽ giải quyết được một số vấn đề ảnh hưởng nhất trong hai thập kỷ qua.

John Andrews, Phó Chủ tịch của Global Channel tại Invicti nói rằng, Top 10 năm 2021 của OWASP có cái nhìn bao quát hơn nhiều so với các phiên bản trước, điều này gửi đi một thông điệp rõ ràng rằng việc tìm kiếm và sửa chữa các lỗ hổng chỉ là một phần của bảo mật ứng dụng hiện đại.

Andrews cho biết, các danh mục mới như Thiết kế không an toàn, Phần mềm và Dữ liệu không toàn vẹn củng cố hai xu hướng chính của ngành: chuyển sang thực hiện kiểm tra bảo mật từ giai đoạn đầu của quá trình phát triển và gần đây là tập trung vào bảo mật chuỗi cung ứng phần mềm.

Nhưng ông cũng nói thêm rằng: "Mặt trái của cách tiếp cận mới theo hướng toàn cảnh này không giống như các phiên bản ban đầu, Top 10 của năm 2021 không còn là một danh sách kiểm tra kiểm tra lỗ hổng đơn giản, có thể hạn chế tính hữu ích của nó như một tiêu chuẩn bảo mật ứng dụng không chính thức nhưng được sử dụng rộng rãi".

Chris Wysopal chuyên gia bảo mật và đồng thời là CTO của Veracode nhận định, các vấn đề về chèn mã và cấu hình sai thường có thể được khắc phục bằng một vài dòng mã, nhưng các lỗi như thiết kế không an toàn có thể mất vài ngày hoặc vài tuần để sửa chữa. Đây là lý do tại sao điều quan trọng là phải bắt được một số sai sót ở giai đoạn thiết kế hoặc trong quá trình phát triển, khi đó chúng có thể được sửa dễ dàng hơn nhiều.