Giới thiệu OWASP

I. Giới thiệu về OWASP

OWASP là từ viết tắt của The Open Web Application Security Project (dự án mở về bảo mật ứng dụng Web), dự án là một cộng đồng chung giúp các tổ chức có thể phát triển, mua hoặc bảo trì các ứng dụng an toàn. Ở OWASP ta sẽ tìm thấy nhiều thứ “miễn phí” và “mở” (free and open) sau đây:

  • Công cụ và các tiêu chuẩn về an toàn thông tin
  • Sách về kiểm tra bảo mật, lập trình an toàn và các bài viết về bảo mật mã nguồn
  • Thư viện và các tiêu chuẩn điều khiển bảo mật
  • Các chi nhánh của hội ở khắp nơi trên thế giới
  • Những nghiên cứu mới nhất
  • Những buổi hội thảo toàn cầu
  • Địa chỉ thư tín chung
  • Và nhiều thứ khác, xem thêm tại www.owasp.org

Mục tiêu của dự án Top 10 là nâng cao nhận thức về ứng dụng bảo mật bằng cách xác định những rủi ro quan trọng nhất đối diện với các tổ chức. Dự án Top 10 đề cập tới nhiều tiêu chuẩn, sách, công cụ và các tổ chức, bao gồm MITRE, PCI DSS, DISA, FTC, …. Sự ra đời của OWASP Top 10 đánh dấu 12 năm của dự án này hoạt động nhằm nâng cao nhận thức về tầm quan trọng của những rủi ro trong bảo mật ứng dụng. OWASP Top 10 ra mắt lần đầu tiên vào năm 2003, vài bản cập nhật nhỏ được thực hiện vào năm 2004 và 2007, 2010 và trong bài giới thiệu này, OWASP đề cập tới Top 10 của 2013. OWASP là một mô hình tổ chức mới. Không bị vấn đề thương mại hóa ảnh hưởng giúp cho OWASP đưa ra những thông tin chính xác, không thiên vị và có giá trị về an toàn thông tin. OWASP không liên kết với bất kì công ti kỹ thuật nào, dù OWASP hỗ trợ về các mặt kỹ thuật trong an toàn thông tin. Cũng giống như những dự án phần mềm mã nguồn mở, OWASP tạo ra rất nhiều sản phẩm bằng sự phối hợp và cộng tác của cộng đồng.

Nền tảng OWASP là đơn vị phi lợi nhuận nhằm đảm bảo sự thành công lâu dài của dự án. Hầu hết mọi người liên quan đến OWASP là tình nguyện viên, bao gồm Hội đồng Quản Trị, Ủy ban toàn cầu, Lãnh đạo các chi nhánh, Lãnh đạo các dự án, và thành viên dự án. OWASP hỗ trợ sáng tạo trong nghiên cứu bảo mật với các khoản trợ cấp và cơ sỡ hạ tầng.

Tuy nhiên ! “ Đừng dừng lại ở 10. Có hàng trăm vấn đề có thể ảnh hưởng đến bảo mật tổng thể của một ứng dụng Web như đã thảo luận trong OWASP Developer’s Guide. Đây là điều cần thiết cho bất kỳ ai muốn phát triển ứng dụng Web ngày nay. Hướng dẫn về cách tìm kiếm hiệu quả những lỗ hổng trong ứng dụng Web được cung cấp trong OWASP Testing Guide và OWASP Code Review Guide, trong đó có cả những cập nhật đáng kể từ những phiên bản trước của OWASP Top 10 “

II. Những thay đổi từ bản cập nhật năm 2010 đến 2013

Trong bối cảnh các nguy cơ an ninh tới ứng dụng ngày càng thay đổi nhanh chóng. Những mối nguy hiểm tiềm tàng luôn thích nghi tốt hơn và nâng cao hơn bởi những kẻ tấn công, việc đưa ra các công nghệ mới với những điểm yếu mới phải song song với việc xây dựng cơ chế phòng thủ trong quá trình triển khai các hệ thống ngày càng phức tạp. Để giữ nhịp độ đó, OWASP luôn định kì cập nhật top 10. Trong bản công bố lần này, OWASP đã có các thay đổi sau:

  1. Sai lầm trong kiểm tra định danh (Broken Authentication and Session Management) trở nên càng phổ biến hơn dựa trên những tập dữ liệu mà OWASP có được. Được di chuyển lên A2 thay vì A3 như bản cập nhật Top 10 - 2010.
  2. Giả mạo yêu cầu {Cross Site Request Forgery (CSRF) được giảm mức độ phổ biến dựa trên những tập dữ liệu OWASP có được, giảm từ A5 – 2010 tới A8 – 2013. Trong 6 năm, các tổ chức và những người phát triển theo framework đã tập trung vào nó đủ để nhận định và giảm số vụ tấn công CSRF vào các ứng dụng trên thế giới. OWASP tin rằng đây là lí do mà CSRF giảm mức độ như vậy

  3. OWASP mở rộng vấn đề “thiếu hạn chế truy cập bằng đường dẫn - Failure to Restrict URL Access” của Top 10 năm 2010 bao gồm thành:

  4. 2010 – A8 thiếu hạn chế truy cập bằng đường dẫn - Failure to Restrict URL Access trở thành 2013 – A7: Mất kiểm soát mức độ truy cập chức năng - Missing Function Level Access Control để bao phủ toàn bộ các vấn đề liên quan tới kiểm soát mức độ truy cập chức năng các ứng dụng, có rất nhiều các để chỉ ra chức năng nào có thể được truy cập, không chỉ bằng đường dẫn URL

  5. OWASP gộp và mở rộng 2010-A7 & 2010-A9 để tạo nên: 2013-A6: Thông tin nhạy cảm dễ bị bóc trần ra ngoài - Sensitive Data Exposure. Chủ đề mới này bao phủ tất cả các cách bảo vệ thông tin nhạy cảm từ người dùng gửi và lưu trữ trong các ứng dụng, sau đó gửi trở lại cho trình duyệt.

  6. OWASP thêm vào 2013-A9: Sử dụng các thành phần có thể bị tấn công dễ dàng - Using Known Vulnerable Components

III. Danh sách Top 10 rủi ro ứng dụng nhất năm 2013 

A1 – Injection: Tiêm nhiễm mã độc

A2 – Broken Authentication and Session Management: Sai lầm trong kiểm tra định danh và phiên làm việc

A3 – Cross-Site scripting(XSS): Thực thi mã Script xấu

A4 – Insecure Direct Object Reference: Đối tượng tham chiếu thiếu an toàn

A5 – Security Misconfiguration : Sai sót cấu hình an ninh

A6 – Sensitive Data Exposure: Lộ dữ liệu nhạy cảm 

A7 – Missing Function Level Access Control : Mất kiểm soát mức độ truy cập chức năng 

A8 – Cross Site Request Forgery (CSRF): Giả mạo yêu cầu 

A9 – Using Known Vulnerable Components: Tấn công sử dụng các thành phần với các lỗ hổng đã biết 

A10 –Unvalidated Redirects and Forwards: Chuyển hướng và chuyển tiếp không an toàn