Tags:
Node Thumbnail

หลังจากรอคอยมานานแสนนาน......(ไม่ใช่แล้ว) ที่ล้ออันนี่เนื่องมาจากว่ากำหนดการออกเอกสาร "10 อันดับความเสี่ยงสูงสุดของเว็บแอพพลิเคชัน" ซึ่งเกิดจากการรวบรวมช่องโหว่ที่ได้มีการขอข้อมูลจากบริษัทต่าง ๆ นั้นจะต้องออกภายในปี 2016 แต่โดนโรคเลื่อนออกมา เป็นปี 2017 นะครับ ที่ออกมาตอนนี้ก็ยังไม่ใช่ version เต็มเพราะฉะนั้นรายละเอียดอาจจะมีเปลี่ยนเล็กน้อย แต่เรื่องอันดับนี่ไม่น่าจะมีเปลี่ยนแล้วแน่นอน

สำหรับ 10 อันดับช่องโหว่ที่หวยออกในครั้งนี้ได้แก่

alt="OWASP Top 10 2017 RC1"

สิ่งที่เปลี่ยน

สิ่งที่เปลี่ยนไปอย่างชัดเจนคือ มีการรวม A4 กับ A7 ของปี 2013 ไปเป็น A4 ของปี 2017 ซึ่งความเห็นส่วนตัวนั้นผมเห็นด้วยเพราะว่าในมุมของความเสี่ยงนั้นไปในทางเดียวกัน โดยเปลี่ยนไปใช้ชื่อเก่าคือ Broken Access Control นะครับ

ของใหม่ที่เพิ่มเข้า

ทีนี้สิ่งที่เพิ่มขึ้นมาใหม่มี 2 อย่างคือ A7 ตัวใหม่ Insufficient Attack Protection ซึ่งตัว A7 ใหม่นี้จะพูดถึงในส่วนของการป้องกันที่ไม่เพียงพอ รวมไปถึงการตอบสนองต่อการโจมตี และ Virtual Patching ซึ่งเป็นการอุดรูรั่วชั่วคราวกันการโจมตีที่กำลังเกิดขึ้นนะครับ

ตัวที่ 2 A10 Underprotected APIs ซึ่งมาเบียดเจ้าเก่า A10 เจ้าเก่า Open Redirect ให้ตกอันดับไปโดยมีตัวใหม่นี้มาแทนนะครับ ซึ่งตัวนี้เหมือนเป็นการขยายขอบเขตไปถึงตัว API ซึ่งบางทีเรามีการป้องกันในส่วนของตัวเว็บเป็นอย่างดีแต่ลืมป้องกันในส่วนของ API ไปก็อาจจะเป็นปัญหาใหญ่ได้นะครับ

สำหรับรายละเอียดของแต่ละตัวโปรดตามไปอ่าน Link ข้างล่างนี้ไปเลย

Ref: OWASP top 10 2017 RC1

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 11 April 2017 - 16:52 #979355
panurat2000's picture

กำหนดการณ์ => กำหนดการ

By: Anjue
ContributorAndroidBlackberryUbuntu
on 11 April 2017 - 17:57 #979366 Reply to:979355

แก้แล้วครับ

By: mk
FounderAndroid
on 11 April 2017 - 16:57 #979359
mk's picture

มันคืออะไรน่ะครับ?

By: Anjue
ContributorAndroidBlackberryUbuntu
on 11 April 2017 - 17:57 #979365 Reply to:979359

ใส่คำอธิบายเพิ่มเติมแล้วครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 11 April 2017 - 18:53 #979369 Reply to:979359
lew's picture
  1. หัวข้อ มันยังไม่ "ออก" ครับ แค่สถานะ RC1 ก็ควรบอกตรงๆ ว่า "เข้าสู่สถานะ RC1"
  2. อย่าเพิ่งตลกประโยคแรกครับ (หัวข่าวก็ด้วย) หัวข้อมันเฉพาะ พยายามอธิบายสักหน่อย
  3. แนะนำ OWASP TOP10 สั้นๆ เช่น "รายการช่องโหว่ความปลอดภัยที่พบมากที่สุด 10 อันดับแรก ที่มักใช้อ้างอิงในวงการความปลอดภัยเว็บ"
  4. ใช้ศัพท์ "เขียน" ให้มากขึ้น เช่น "โดนโรคเลื่อน" เป็น "เลื่อนการออกจากปี 2016"
  5. version ใช้ "รุ่น" หรือ "เวอร์ชั่น"
  6. "ไม่น่าจะมีเปลี่ยนแล้วแน่นอน" ตกลงแค่ "ไม่น่า" หรือ "แน่นอน" ครับ ตามปกติ RC1 คือไม่น่าจะมีอะไรเปลี่ยนเป็นเรื่องปกติ แต่ถ้ายังไม่แน่นอนก็ไม่ต้องใส่ว่าแน่นอน
  7. "สำหรับ 10 อันดับช่องโหว่ที่หวยออกในครั้งนี้ได้แก่" ไม่ต้องเล่นคำว่าหวย "10 อันดับช่องโหว่ของ OWASP top 10 2017 ได้แก่" บอกรายชื่อในข้อความ หากจะไม่เขียนก็บอกว่าตามภาพ
  8. "การรวม A4 กับ A7" อ่านไม่รู้เรื่องครับ อ้างถึงไปเลยว่ามันคืออะไร ถ้าจะอธิบาย ถ้าไม่ต้องการอธิบายก็บอกแค่ว่ามีการ รวมช่องโหว่อันดับ 4 และ 7 ในเวอร์ชั่นเดิมเป็นอันเดียว
  9. ไม่ต้องใช้คำว่า "เลย"

lewcpe.com, @wasonliw