OWASP Topp 10 2017
Äntligen har OWASP Top 10 2017 släppts i sin slutgiltiga utgåva. Egentligen skulle OWASP:s topp-10 lista varit klar redan 2016 men på grund av diverse anledningar så har listan blivit försenad.
Tittar vi på den slutgiltiga versionen nedan så ser vi att Cross-Site Request Forgery (CSRF) har raderats (dvs hamnat utanför topp 10) samt att insecure deserialisation och XML external entities tillkommit.
Och detta stämmer väl med mina granskningar: Injektioner är fortfarande det största problemet men i samband med att fler ramverk bygger in olika typer av skydd om injektionsattacker så blir det bättre.
När det gäller insecure deserialisation så kan detta vara lite knepigt att testa efter. Till Burp Suite så finns exempelvis modulen Java Deserialization Scanner.
XML external entities kan orsaka stor skada och inte enbart när det gäller inkludering av data utan även kan användas för att skicka HTTP-förfrågningar vidare till localhost.
Sist men inte minst gällande insufficient logging/monitoring så loggar många webbservrar etc automatiskt. Men hur länge dessa loggar sparas eller om någon tittar på loggarna är ett stort problem såsom logganalys.
Följande bild visar skillnaden på ett bra sätt:
Här kan du läsa vad jag skrivit om tidigare utgåvor av version 2017: