OWASP มูลนิธิสนับสนุนการพัฒนาความมั่นคงปลอดภัยซอฟต์แวร์ประกาศร่าง OWASP Top 10 ฉบับใหม่ที่เป็นรายการช่องโหว่ยอดนิยมเพื่อการตระหนักนึงช่องโหว่ที่นักพัฒนามักพลาดกันบ่อยๆ โดยมีการเปลี่ยนอันดับใหม่ จากเดิมช่องโหว่ Injection (รวมทั้ง SQL Injection, Script Injection) เป็นอันดับหนึ่ง ฉบับปี 2021 นี้ให้ช่องโหว่ Broken Access Control เป็นอันดับหนึ่งแทนเนื่องจากแอปพลิเคชั่นจำนวนมากถึง 94% มีช่องโหว่ในกลุ่มนี้
นอกจากการปรับอับดับแล้ว ยังมีหมวดหมู่ใหม่ เพิ่มเข้ามาในรายการ ได้แก่
By: Anjue 
on 11 April 2017 - 10:36
Tags:
Topics:
หลังจากรอคอยมานานแสนนาน......(ไม่ใช่แล้ว) ที่ล้ออันนี่เนื่องมาจากว่ากำหนดการออกเอกสาร "10 อันดับความเสี่ยงสูงสุดของเว็บแอพพลิเคชัน" ซึ่งเกิดจากการรวบรวมขอข้อมูลจากบริษัทต่าง ๆ โดยจะสรุปออกมาเป็นความเสี่ยง (ช่องโหว่) นั้นมีกำหนดจะต้องออกภายในปี 2016 แต่โดนโรคเลื่อนจนมาถึงปี 2017 โดยเอกสารที่ออกมาตอนนี้ก็ยังไม่ใช่ version เต็มเพราะฉะนั้นรายละเอียดอาจจะมีเปลี่ยนเล็กน้อย แต่เรื่องอันดับนี่ไม่น่าจะมีเปลี่ยนแล้วแน่นอน
- Read more about OWASP Top 10 2017 RC1 ออกแล้วแจ้
- 5 comments
- Log in or register to post comments
ModSecurity CRS (Core Rule Set) กฎตรวจจับการบุกรุกสำหรับ ModSecurity ออกเวอร์ชั่น 3.0.0 ปรับปรุงใหม่ให้มีการแจ้งเตือนผิดพลาด (false positive) ต่ำลง พร้อมโหมดใหม่ๆ สำหรับการสำรวจการใช้งาน
CRS ใช้แจ้งเตือนหรือบล็อคการเชื่อมต่อเมื่อมีความพยายามจะบุกรุกด้วยเทคนิคที่พบได้ทั่วไป เช่น SQL injection, PHP injection, Remote Code Execution, หรือการสแกนเว็บ
ในเวอร์ชั่นใหม่นี้นอกจากการปรับปรุงกฎให้ลดการแจ้งเตือนผิดพลาด ยังมีกฎเฉพาะสำหรับ WordPress และ Drupal ทำให้การติดตั้งมาตรฐานทั้งสองแอปจะไม่มีการรายงานผิดพลาดเลย นอกจากนี้ยังมีโหมด "วิตกจริต" (paranoia) สำหรับการตั้งค่าหนาแน่นเป็นพิเศษ และโหมด sampling สำหรับการสำรวจการใช้งานผู้ใช้บางส่วน
