Какие основные уязвимости веб-приложений выделяет OWASP Top 10?

В список OWASP Top 10 входят следующие основные уязвимости веб-приложений: www.securityvision.ru

1. Нарушение контроля доступа. startx.team skillbox.ru Система плохо контролирует уровни доступа к информации или к своей функциональности. skillbox.ru Из-за этого злоумышленники могут пользоваться функциями, к которым не должны иметь доступа. skillbox.ru
2. Ошибки в криптографии. www.securityvision.ru
3. Инъекции. www.securityvision.ru К ним относятся, например, XSS, SQL-инъекции, внедрение команд ОС, выражений XPath и XQuery. www.securityvision.ru
4. Небезопасный дизайн. startx.team www.securityvision.ru Ошибки закладываются на ранних этапах разработки, их исправление позже может быть сложным и дорогим. startx.team
5. Недостатки конфигурации. www.securityvision.ru Например, открытые и неиспользуемые функции, неизменённые учётные записи и пароли по умолчанию. startx.team
6. Использование уязвимых или устаревших компонентов. skillbox.ru К этому типу уязвимостей относят случаи, когда веб-приложение использует сторонние фреймворки, библиотеки, плагины или другие компоненты, которые имеют выявленные дефекты безопасности. skillbox.ru
7. Ошибки идентификации и аутентификации. skillbox.ru К ним относятся слабые пароли, недостаточная проверка подлинности, неэффективные системы учёта сеансов. skillbox.ru
8. Нарушения целостности программного обеспечения и данных. skillbox.ru К этой группе уязвимостей относят случаи, когда после обновления приложение или оборудование начинает работать неправильно. skillbox.ru
9. Ошибки логирования и мониторинга безопасности. skillbox.ru К ним относят отсутствие или неправильную настройку механизмов логирования и отсутствие уведомлений о подозрительных событиях. skillbox.ru
10. Подделка запросов на стороне сервера. www.securityvision.ru Возникает, когда веб-приложение получает данные удалённого ресурса без проверки передаваемого пользователем URL. www.securityvision.ru