Let's
talk!
Let's talk!
Which
Channel?
DROP RESUME !
Get in touch

OWASP Top 10 Web Application Security Risks 2021

2021 standard awareness document for developers and web app
October 18, 2024
7

Key Highlights:

  • เราทำ Security เพื่อลดความเสี่ยงหรือปกป้องทรัพย์สินจากการถูกบุกรุก หรือโจรกรรม ให้อยู่ในระดับที่ยอมรับได้ภายใต้ทรัพยากรที่มีอยู่อย่างจำกัด
  • Open Web Application Security Project (OWASP) เป็นองค์กรไม่แสวงหาผลกำไรที่ให้ความรู้เกี่ยวกับการทำให้ระบบคอมพิวเตอร์ มีความปลอดภัยมากยิ่งขึ้น โดยจะมีการจัดอันดับความเสี่ยงด้านความปลอดภัยในทุก ๆ 3-4 ปีเพื่อใช้เป็นแหล่งอ้างอิงเพื่อลดความเสี่ยงในด้านความปลอดภัยของระบบ
  • ในปี 2021 มีการเปลี่ยนแปลงที่สำคัญในรายการ โดยเพิ่ม 3 หมวดใหม่ (Insecure Design, Software and Data Integrity Failures, Server-Side Request Forgery) และปรับเปลี่ยนชื่อและขอบเขตของ 4 หมวดเดิม
  • Broken Access Control ขยับขึ้นมาเป็นอันดับ 1 โดยพบในแอปพลิเคชัน 94% ที่ทดสอบ สะท้อนถึงความสำคัญของการควบคุมการเข้าถึงที่ปลอดภัย

ก่อนที่เราจะเข้าเนื้อหาของ OWASP Top 10 ขอเท้าความกันก่อนสักนิด สำหรับใครที่รู้อยู่แล้วสามารถข้ามไปอ่านในหัวข้ออื่นได้เลย

Security คืออะไร?

คือ การลดความเสี่ยงหรือปกป้องทรัพย์สินจากการถูกบุกรุก หรือโจรกรรม ให้อยู่ในระดับที่ยอมรับได้ภายใต้ทรัพยากรที่มีอยู่อย่างจำกัด การลดความเสี่ยงในการถูกบุกรุก หรือโจรกรรมนั้นทำได้หลายระดับยกตัวอย่างเช่น

  • Network security
  • Application security
  • Data security
  • Cloud security, Infrastructure security

แล้วเราทำ security เพื่อวัตถุประสงค์อะไร?

  • Confidentiality: การปกป้องความลับ หรือการจัดเก็บข้อมูลเพื่อความปลอดภัย โดยการความคุมระดับการเข้าถึงข้อมูลจากทั้งภายในและภายนอก เมื่อมีการควบคุบระดับการเข้าถึงของข้อมูลแล้วทำให้ลดโอกาสที่จะมีข้อมูลรั่วไหลโดยไม่ตั้งใจลดลง
  • Integrity: คือ ความถูกต้องของข้อมูลโดยระบบจะต้องไม่ให้ข้อมูลถูกลบหรือแก้ไขโดยบุคคลที่ไม่ได้รับอนุญาต
  • Availability: ระบบต้องมีความพร้อมใช้งานภายใต้สถานการณ์ต่างๆ รวมถึงไฟดับหรือภัยธรรมชาติ

OWASP คืออะไร?

Open Web Application Security Project (OWASP) เป็นองค์กรไม่แสวงหาผลกำไรที่ให้ความรู้เกี่ยวกับการทำให้ระบบคอมพิวเตอร์ มีความปลอดภัยมากยิ่งขึ้น โดยจะมีการจัดอันดับความเสี่ยงด้านความปลอดภัยในทุกๆปีเพื่อใช้เป็นแหล่งอ้างอิงเพื่อลดความเสี่ยงในด้านความปลอดภัยของระบบ การจัดอันดับในด้านความปลอดภัยหรือที่เราคุ้นกันดีคือ OWASP Top 10 เป็นเอกสารมาตรฐานที่สร้างความตระหนักรู้สำหรับนักพัฒนาและความปลอดภัยของแอปพลิเคชันเว็บ เอกสารนี้แสดงถึงความเห็นพ้องกันอย่างกว้างขวางเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดสำหรับแอปพลิเคชันเว็บ

นักพัฒนาทั่วโลกยอมรับว่านี่เป็นก้าวแรกสู่การเขียนโค้ดที่ปลอดภัยยิ่งขึ้น

บริษัทต่างๆ ควรนำเอกสารนี้ไปใช้และเริ่มกระบวนการเพื่อให้แน่ใจว่าแอปพลิเคชันเว็บของตนมีความเสี่ยงเหล่านี้น้อยที่สุด การใช้ OWASP Top 10 อาจเป็นก้าวแรกที่มีประสิทธิภาพที่สุดในการเปลี่ยนแปลงวัฒนธรรมการพัฒนาซอฟต์แวร์ภายในองค์กรของคุณ ให้เป็นวัฒนธรรมที่ผลิตโค้ดที่ปลอดภัยมากขึ้น

เอกสาร OWASP Top 10 นี้จะมีการปรับปรุงทุกๆ 3-4 ปี เพื่อให้สอดคล้องกับภัยคุกคามและความเสี่ยงใหม่ๆ ที่เกิดขึ้น ทำให้องค์กรสามารถปรับตัวและรับมือกับความท้าทายด้านความปลอดภัยที่เปลี่ยนแปลงไปได้อย่างต่อเนื่อง การนำ OWASP Top 10 ไปใช้ไม่เพียงแต่จะช่วยปกป้องแอปพลิเคชันจากภัยคุกคามที่พบบ่อยเท่านั้น แต่ยังช่วยสร้างพื้นฐานสำหรับวิธีปฏิบัติด้านความปลอดภัยที่ครอบคลุมมากขึ้นในกระบวนการพัฒนาซอฟต์แวร์ขององค์กร

Top 10 Web Application Security Risks - Final List 2021

ข้อมูลดังกล่าวเป็นของปี 2021 โดยในฉบับ 2021 มีการเพิ่มหมวดหมู่ใหม่ 3 หมวด, 4 หมวดที่มีการเปลี่ยนแปลงชื่อและขอบเขต และมีการรวมกลุ่มบางหมวดใน Top 10 สำหรับปี 2021 อย่างไรก็ตาม OWASP วางแผนไว้ว่าจะปล่อย OWASP Top 10:2025 ในช่วงครึ่งปีแรกของปี 2025 โดยทำการเก็บข้อมูลตั้งแต่วันนี้จนถึง ธันวาคม 2024  

A01:2021-Broken Access Control

การควบคุมการเข้าถึงที่ไม่ปลอดภัย ย้ายขึ้นมาจากอันดับที่ 5 โดย 94% ของแอปพลิเคชันที่ทดสอบพบปัญหานี้ในรูปแบบใดรูปแบบหนึ่ง Common Weakness Enumerations (CWEs) 34 รายการที่เกี่ยวข้องกับ Broken Access Control พบในแอปพลิเคชันมากกว่าหมวดหมู่อื่นๆ

A02:2021-Cryptographic Failures

ความล้มเหลวในการเข้ารหัส เลื่อนขึ้นมาหนึ่งอันดับเป็นอันดับที่ 2 เดิมรู้จักในชื่อ Sensitive Data Exposure ซึ่งเป็นอาการมากกว่าสาเหตุ การมุ่งเน้นใหม่นี้เกี่ยวกับความล้มเหลวในการเข้ารหัสซึ่งมักนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อนหรือการบุกรุกระบบ

A03:2021-Injection

การฉีดโค้ด เลื่อนลงมาอยู่อันดับที่ 3 โดย 94% ของแอปพลิเคชันถูกทดสอบการฉีดโค้ดในรูปแบบใดรูปแบบหนึ่ง และ CWEs 33 รายการที่เกี่ยวข้องพบในแอปพลิเคชันมากเป็นอันดับสอง Cross-site Scripting ถูกรวมเข้ามาในหมวดหมู่นี้ในฉบับนี้

A04:2021-Insecure Design

การออกแบบที่ไม่ปลอดภัย เป็นหมวดหมู่ใหม่สำหรับปี 2021 มุ่งเน้นความเสี่ยงที่เกี่ยวข้องกับข้อบกพร่องในการออกแบบ หากเราต้องการ "เลื่อนซ้าย" อย่างแท้จริงในฐานะอุตสาหกรรม จำเป็นต้องใช้การทำ threat modeling, รูปแบบและหลักการออกแบบที่ปลอดภัย และสถาปัตยกรรมอ้างอิงมากขึ้น

A05:2021-Security Misconfiguration

การตั้งค่าความปลอดภัยที่ไม่ถูกต้อง เลื่อนขึ้นจากอันดับที่ 6 ในฉบับก่อน 90% ของแอปพลิเคชันถูกทดสอบการตั้งค่าที่ไม่ถูกต้องในรูปแบบใดรูปแบบหนึ่ง เมื่อมีการเปลี่ยนแปลงไปสู่ซอฟต์แวร์ที่สามารถกำหนดค่าได้มากขึ้น จึงไม่น่าแปลกใจที่หมวดหมู่นี้จะเลื่อนขึ้น หมวดหมู่เดิมสำหรับ XML External Entities (XXE) ถูกรวมเข้ามาในหมวดหมู่นี้

A06:2021-Vulnerable and Outdated Components

วนประกอบที่มีช่องโหว่และล้าสมัย เดิมมีชื่อว่า Using Components with Known Vulnerabilities อยู่ในอันดับที่ 2 ในการสำรวจชุมชน Top 10 แต่ก็มีข้อมูลเพียงพอที่จะติด Top 10 ผ่านการวิเคราะห์ข้อมูล หมวดหมู่นี้เลื่อนขึ้นจากอันดับที่ 9 ในปี 2017 และเป็นปัญหาที่เรารู้จักแต่มีความยากลำบากในการทดสอบและประเมินความเสี่ยง

A07:2021-Identification and Authentication Failures

ความล้มเหลวในการระบุตัวตนและการพิสูจน์ตัวตน เดิมคือ Broken Authentication เลื่อนลงจากอันดับที่ 2 และตอนนี้รวม CWEs ที่เกี่ยวข้องกับความล้มเหลวในการระบุตัวตนมากขึ้น หมวดหมู่นี้ยังคงเป็นส่วนสำคัญของ Top 10 แต่การเพิ่มขึ้นของเฟรมเวิร์กมาตรฐานดูเหมือนจะช่วยได้

A08:2021-Software and Data Integrity Failures

ความล้มเหลวในความสมบูรณ์ของซอฟต์แวร์และข้อมูล เป็นหมวดหมู่ใหม่สำหรับปี 2021 มุ่งเน้นการตั้งสมมติฐานเกี่ยวกับการอัปเดตซอฟต์แวร์ ข้อมูลสำคัญ และ CI/CD pipelines โดยไม่ตรวจสอบความสมบูรณ์ Insecure Deserialization จากปี 2017 ตอนนี้เป็นส่วนหนึ่งของหมวดหมู่ที่ใหญ่ขึ้นนี้

A09:2021-Security Logging and Monitoring Failures

ความล้มเหลวในการบันทึกและตรวจสอบความปลอดภัย เดิมคือ Insufficient Logging & Monitoring เพิ่มเข้ามาจากการสำรวจอุตสาหกรรม (อันดับที่ 3) เลื่อนขึ้นจากอันดับที่ 10 ก่อนหน้านี้ หมวดหมู่นี้ขยายให้ครอบคลุมความล้มเหลวประเภทอื่นๆ มากขึ้น ยากต่อการทดสอบ และไม่ได้รับการแสดงผลดีในข้อมูล CVE/CVSS อย่างไรก็ตาม ความล้มเหลวในหมวดหมู่นี้สามารถส่งผลกระทบโดยตรงต่อการมองเห็น การแจ้งเตือนเหตุการณ์ และการตรวจสอบทางนิติวิทยาศาสตร์

A10:2021-Server-Side Request Forgery

การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ เพิ่มเข้ามาจากการสำรวจชุมชน Top 10 (อันดับที่ 1) ข้อมูลแสดงให้เห็นถึงอัตราการเกิดขึ้นที่ค่อนข้างต่ำ แต่มีการครอบคลุมการทดสอบสูงกว่าค่าเฉลี่ย พร้อมกับคะแนนศักยภาพในการโจมตีและผลกระทบที่สูงกว่าค่าเฉลี่ย หมวดหมู่นี้แสดงถึงสถานการณ์ที่สมาชิกในชุมชนด้านความปลอดภัยกำลังบอกเราว่าสิ่งนี้สำคัญ แม้ว่าจะยังไม่ปรากฏในข้อมูลในขณะนี้

บทสรุป

OWASP Top 10 เป็นเครื่องมือสำคัญสำหรับองค์กรและนักพัฒนาในการระบุและจัดการความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดสำหรับแอปพลิเคชันเว็บ การนำ OWASP Top 10 มาใช้เป็นก้าวแรกที่สำคัญในการพัฒนาวัฒนธรรมความปลอดภัยภายในองค์กร

ด้วยการอัปเดตทุก 3-4 ปี OWASP Top 10 ช่วยให้องค์กรสามารถติดตามภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วในโลกดิจิทัล การนำแนวทางเหล่านี้ไปปฏิบัติไม่เพียงแต่ช่วยปกป้องแอปพลิเคชันจากการโจมตีที่พบบ่อยเท่านั้น แต่ยังช่วยสร้างรากฐานสำหรับแนวทางปฏิบัติด้านความปลอดภัยที่ครอบคลุมมากขึ้น

องค์กรควรพิจารณา OWASP Top 10 เป็นจุดเริ่มต้นสำหรับโปรแกรมความปลอดภัยของแอปพลิเคชัน ไม่ใช่จุดสิ้นสุด การปรับใช้แนวทางเหล่านี้เป็นส่วนหนึ่งของกระบวนการพัฒนาอย่างต่อเนื่องจะช่วยให้องค์กรสามารถพัฒนาแอปพลิเคชันที่ปลอดภัยและน่าเชื่อถือมากขึ้น ซึ่งเป็นสิ่งจำเป็นในยุคดิจิทัลที่มีการเชื่อมต่อสูงนี้

ท้ายที่สุด การให้ความสำคัญกับความปลอดภัยของแอปพลิเคชันโดยใช้ OWASP Top 10 ไม่เพียงแต่ช่วยปกป้องข้อมูลและทรัพยากรขององค์กรเท่านั้น แต่ยังช่วยสร้างความไว้วางใจกับลูกค้าและผู้ใช้งาน ซึ่งเป็นปัจจัยสำคัญในการสร้างความสำเร็จทางธุรกิจในระยะยาว

Reference : https://owasp.org/www-project-top-ten

Like this? Share it to support our effort
This content created by
Got
A marketer passionate about AI, digital transformation, and innovation! On a mission to help businesses thrive, optimize operations, and stay ahead in the fast-changing tech world, always cooking up fresh ideas and delivering impactful solutions.
No items found.
Got
Check this out!
What are you waiting for? CLICK IT!