Indsætning topper risiko-topti

Artiklen blev oprindeligt publiceret den 16/11/2009

Indsætning af SQL og anden kode er den alvorligste risiko for webapplikationer. Det vurderer OWASP (Open Web Application Security Project) i et udkast til ny topti over risici.

OWASP har siden 2003 udsendt topti-lister over de alvorligste risici i webapplikationer. Seneste revision er fra 2007. Den næste ventes klar i første kvartal 2010. Et forslag til den er nu sendt i høring.

Forslaget indeholder disse trusler:

1. Indsætning
2. Cross-site Scripting (XSS)
3. Mangelfuld autentifikation og sessionsstyring
4. Usikre direkte referencer til objekter
5. Cross Site Request Forgery (CSRF)
6. Sikkerheds-fejlkonfiguration
7. Mangelfuld begrænsning af URL-adgang
8. Uvalideret viderestilling
9. Usikker krypteret lagring
10. Mangelfuld beskyttelse på transportlaget

I forhold til den seneste udgave er to punkter røget ud: Udførelse af skadelige filer og lækning af information.

Samtidig har OWASP understreget, at listen dækker de ti alvorligste risici – ikke de ti hyppigst forekommende sårbarheder.

Metoden til at evaluere risikoen for en trussel er også ændret, så den ikke kun ser på, hvor hyppigt en trussel forekommer.

Links

• OWASP's forslag til topti over risici (PDF-format)