Med ključnimi novostmi v osnutku poročila OWASP Top 10 – 2017 rc1 je nova kategorija tveganj, t.i. “nezadostna zaščita”, ki izpostavlja potrebo po proaktivni zaznavi poskusov zlorab in napadov.

Neodvisno neprofitno združenje Open Web Application Security Project (OWASP), ki se zavzema za izboljšanje varnosti programske opreme, je v začetku aprila objavilo osnutek uveljavljenega poročila OWASP Top 10, ki izpostavlja 10 najbolj pogostih ranljivosti spletnih aplikacij. Objava končne različice seznama je napovedana za letošnje poletje, do takrat pa združenje OWASP poziva h konstruktivnim komentarjem in artikulaciji morebitnih predlogov sprememb.

Ključne novosti med ranljivostmi aplikacij

Osnutek novega poročila so naši varnostni strokovnjaki primerjali z aktualno verzijo iz leta 2013, med najpomembnejšimi novostmi pa izpostavljajo novo kategorijo ranljivosti A7 - Insufficient Attack Protection (ang.). Ta še posebej poudarja potrebo po proaktivni zaznavi poskusov zlorab (npr. nenadzorovano skeniranje spletnih ranljivosti in injiciranje škodljive kode). OWASP hkrati priporoča tudi učinkovite tehnike zaznave, zaščite in navideznega posodabljanja (ang. virtual patching) varovanih spletnih aplikacij. V tem sklopu posebej izpostavlja požarne pregrade za zaščito spletnih aplikacij (ang. Web Application Firewall).

Zakaj in kdaj je smiselno namestiti avtomatizirano varnostno rešitev kot je Web Application Firewall ter kako v kombinaciji z rednim varnostnim preverjanjem aplikacij zelo učinkovito omejujeta aktualne napade na aplikacije, je v predavanju na konferenci hek.si pojasnil tudi naš etični heker Matevž Mesojednik.

POSNETEK PREDAVANJA: PENETRACIJSKI TEST, WAF ALI OBOJE?