OWASP Top 10 najpoznatiji je popis u sigurnosti web aplikacija. Objavljuje ga Open Worldwide Application Security Project, neprofitna zajednica koja okuplja stručnjake iz cijelog svijeta, a popis sažima deset najozbiljnijih kategorija rizika za web aplikacije.1 Za razvojne timove i naručitelje softvera to je polazna referenca: ako aplikacija dobro adresira ovih deset područja, izbjegnut je velik dio najčešćih napada. Ovaj tekst objašnjava svaku kategoriju jednostavno i povezuje je s onim što tvrtka treba poduzeti.
OWASP je otvorena zajednica koja besplatno objavljuje alate, vodiče i standarde za sigurnost softvera. Top 10 nije iscrpan popis svih ranjivosti, nego pregled najraširenijih i najutjecajnijih kategorija, temeljen na podacima iz prakse i mišljenju struke. Služi kao zajednički jezik između razvojnih timova, testera i naručitelja te kao polazište za sigurnosno testiranje.
Deset kategorija rizika
Kategorije se s vremenom mijenjaju, ali srž ostaje slična. Evo pregleda najvažnijih područja.1
Kategorija
Što znači
Slaba kontrola pristupa
Korisnik dohvaća podatke ili radnje koje mu ne pripadaju.
Kriptografski propusti
Osjetljivi podaci nisu ispravno zaštićeni u prijenosu ili pohrani.
Injekcija
Nepouzdani unos mijenja upit ili naredbu, primjerice SQL injekcija.
Nesiguran dizajn
Sigurnost nije ugrađena u arhitekturu od početka.
Pogrešna konfiguracija
Zadane postavke, otvorene usluge ili izloženi podaci.
Zastarjele komponente
Korištenje knjižnica i okvira s poznatim ranjivostima.
Slaba autentifikacija
Loše upravljanje prijavom, lozinkama i sesijama.
Manjak integriteta
Nepouzdani izvori koda ili ažuriranja bez provjere.
Slabo bilježenje i nadzor
Napad se ne primijeti jer nema zapisa ni upozorenja.
SSRF
Aplikacija se navede da pošalje zahtjev na neželjeno odredište.
Pregled OWASP Top 10 kategorija rizika.
Zašto je popis važan za tvrtku
Velik dio stvarnih napada na web aplikacije iskorištava upravo ove kategorije. Slaba kontrola pristupa i injekcija godinama su među najčešćim uzrocima curenja podataka. Za tvrtku to znači da se ulaganjem u ovih deset područja uklanja nesrazmjerno velik dio rizika. Popis je koristan i kao kriterij pri naručivanju softvera: dobavljača se može pitati kako adresira OWASP Top 10.
Kako adresirati rizike
Pokrivanje OWASP Top 10 nije jednokratan zadatak, nego dio načina rada.
01
Ugradite sigurnost u dizajn
Razmislite o prijetnjama prije pisanja koda, ne nakon incidenta.
02
Provjeravajte unos i pristup
Tretirajte svaki vanjski unos kao nepouzdan i provjeravajte ovlasti pri svakoj radnji.
03
Održavajte komponente
Pratite i ažurirajte knjižnice i okvire s poznatim ranjivostima.
04
Testirajte aplikaciju
Kombinirajte automatsko skeniranje i ručno penetracijsko testiranje.
05
Bilježite i nadzirite
Vodite zapise i postavite upozorenja kako biste napad primijetili na vrijeme.
Je li OWASP Top 10 standard koji moramo poštovati?+
Nije zakon ni certifikat, nego referenca koju struka široko koristi. Mnogi ugovori i sigurnosni zahtjevi pozivaju se na njega, pa ga vrijedi tretirati kao osnovni kriterij kvalitete za web aplikacije.
Pokriva li skeniranje sve OWASP rizike?+
Ne. Automatski alati pronalaze dio rizika, ali greške u kontroli pristupa i logici aplikacije najčešće se otkriju tek ručnim penetracijskim testiranjem koje razumije kontekst aplikacije.
Koliko se često mijenja OWASP Top 10?+
OWASP popis povremeno ažurira kako bi odražavao nove podatke i prijetnje. Kategorije se preimenuju ili spajaju, ali srž ostaje slična, pa je popis koristan i između izdanja.
Vrijedi li OWASP Top 10 i za API-je?+
Web popis pokriva i dio rizika API-ja, ali OWASP ima i zaseban popis za API sigurnost. Za aplikacije koje se snažno oslanjaju na API-je vrijedi pogledati oba.
Izvori
1OWASP. OWASP Top 10. Open Worldwide Application Security Project, 2021. Poveznica
2NIST. SP 800-218: Secure Software Development Framework (SSDF). National Institute of Standards and Technology, 2022. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
