Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 16/11/2009
Indsætning af SQL og anden kode er den alvorligste risiko for webapplikationer. Det vurderer OWASP (Open Web Application Security Project) i et udkast til ny topti over risici.OWASP har siden 2003 udsendt topti-lister over de alvorligste risici i webapplikationer. Seneste revision er fra 2007. Den næste ventes klar i første kvartal 2010. Et forslag til den er nu sendt i høring.
Forslaget indeholder disse trusler:
- Indsætning
- Cross-site Scripting (XSS)
- Mangelfuld autentifikation og sessionsstyring
- Usikre direkte referencer til objekter
- Cross Site Request Forgery (CSRF)
- Sikkerheds-fejlkonfiguration
- Mangelfuld begrænsning af URL-adgang
- Uvalideret viderestilling
- Usikker krypteret lagring
- Mangelfuld beskyttelse på transportlaget
Samtidig har OWASP understreget, at listen dækker de ti alvorligste risici ikke de ti hyppigst forekommende sårbarheder.
Metoden til at evaluere risikoen for en trussel er også ændret, så den ikke kun ser på, hvor hyppigt en trussel forekommer.