Organisationen Owasp har publicerat en rapport med en rankning av säkerhetsrisker för webbapplikationer. Rapporten som heter Owasp Top 10 tar upp allt från injektionsattacker till undermålig övervakning av applikationer. Owasp står för The Open Web Application Security Project.
Den föregående listan av den här typen publicerades 2013, så det har hänt mycket sedan dess. Men ettan på listan är den samma: injektionsattacker. Det handlar om att smyga in ondskefull kod i kommandon som tolkas av en webbapplikation, vanligtvis på en webbserver.
Det vanligaste exemplet på injektionsattacker är kanske sql-injektion. En sådan går ut på att förutom legitim manipulation av data lägga in kommandon för att till exempel köra program eller komma åt data, i Select-satser och liknande. Men injektion kan förekomma även i andra sammanhang, till exempel för nosql-databaser, operativsystem och ldap.
Läs också: Windows 10 har fått inbyggt skydd mot ransomware – så använder du det
Tvåa på listan är defekt autentisering. När autentisering och sessioner ska hanteras blir det ibland fel i applikationer. Det kan göra att lösenord, nycklar och andra säkerhetskonstruktioner inte fungerar som de ska. I korthet kan inkräktare lyckas utge sig för att vara legitima användare, temporärt eller permanent.
På tredje plats hittar vi otillräckligt skydd för känsliga data. Det kan bli kännbart för till exempel finansdata och vårddata. Inkräktare kan inte bara stjäla data, utan även ändra dem, för att till exempel begå bedrägerier. Om det saknas kryptering ökar riskerna, både där data lagras och när data överförs. Den här typen av risk har ökat i betydelse sedan den förra listan.
Läs också: Från blockkedjan till robotkirurger – här är de 8 farligaste tekniktrenderna
Noterbart är att två typer av risker har avtagit sedan den förra listan: olämplig körning av skript (cross site scripting) och felaktiga konfigurationer. De är dock båda med på topp-10 även på den nya listan.
Här är hela listan för i år:
- Injektionsattacker.
- Defekt autentisering.
- Otillräckligt skydd för känsliga data.
- Externa referenser i xml-dokument.
- Defekt åtkomstkontroll.
- Felaktiga konfigurationer.
- Olämplig körning av skript.
- Osäker läsning av lagrade data (deserialization).
- Komponenter med kända sårbarheter.
- Undermålig loggning och övervakning.