NHìn Lại Top 10 OWASP 2021: Những Lỗi Bảo Mật Quan Trọng Cần Chú Ý

Chào bạn đọc! Hôm nay mình muốn chia sẻ về Top 10 lỗi bảo mật được liệt kê bởi OWASP trong năm 2021, đặc biệt là những thay đổi so với năm 2017. Bài viết này sẽ giúp bạn hiểu rõ hơn về các lỗ hổng an ninh trong ứng dụng và cách phòng tránh chúng.

Trong quá trình làm việc với Spring Security và nghiên cứu về CSRF, mình đã tìm hiểu và phát hiện rằng CSRF đã không còn nằm trong Top 10 từ năm 2017. OWASP dự kiến sẽ cập nhật danh sách này vào giữa năm 2025, và dưới đây là những thông tin chi tiết về từng lỗi bảo mật trong danh sách Top 10 mới nhất.

Mapping of Changes in Top 10 OWASP 2017-2021

1. A01:2021 - Broken Access Control (Lỗi Kiểm Soát Truy Cập)

   • Thăng hạng: Lên 4 bậc.
   • Ý nghĩa: Cho phép người dùng không có quyền truy cập tới tài nguyên hoặc chức năng mà họ không được phép.
   • CWEs: Có 34 CWEs liên quan xuất hiện phổ biến trong các ứng dụng được kiểm thử.

2. A02:2021 - Cryptographic Failures (Lỗi Liên Quan Đến Mã Hóa)

   • Thăng hạng: Tăng 2 bậc (trước đây là Sensitive Data Exposure).
   • Ý nghĩa: Nhấn mạnh tầm quan trọng của việc sử dụng mã hóa đúng cách để bảo vệ dữ liệu nhạy cảm.

3. A03:2021 - Injection (Lỗi Injection)

   • Xuống hạng: Giảm 3 bậc.
   • Ý nghĩa: Những lỗi liên quan đến việc tiêm mã độc vào ứng dụng, như SQL Injection, vẫn là một trong những lỗ hổng nổi tiếng.
   • CWEs: 33 CWEs liên quan có tần suất xuất hiện cao thứ hai trong danh sách.

4. A04:2021 - Insecure Design (Thiết Kế Không An Toàn)

   • Mục mới: Chỉ ra tầm quan trọng của việc thiết kế ứng dụng an toàn ngay từ đầu.
   • Ý nghĩa: Tập trung vào các rủi ro phát sinh từ lỗi thiết kế.

5. A05:2021 - Security Misconfiguration (Cấu Hình Sai Bảo Mật)

   • Thăng hạng: Tăng 1 bậc.
   • Ý nghĩa: Là một trong những vấn đề phổ biến nhất do cấu hình sai khiến lỗ hổng bảo mật xuất hiện.

6. A06:2021 - Vulnerable and Outdated Components (Các Thành Phần Có Nguy Cơ và Lỗi Thời)

   • Thăng hạng: Tăng từ 9 lên 6.
   • Ý nghĩa: Sử dụng các thư viện và framework lỗi thời là rất nguy hiểm vì có thể có lỗ hổng đã biết.

7. A07:2021 - Identification and Authentication Failures (Lỗi Xác Thực và Nhận Dạng)

   • Xuống hạng: Từ 2 xuống 7.
   • Ý nghĩa: Vẫn là một mối đe dọa lớn khi hệ thống không nhận dạng được người dùng đúng cách.

8. A08:2021 - Software and Data Integrity Failures (Lỗi Toàn Vẹn Phần Mềm và Dữ Liệu)

   • Mục mới: Tập trung vào việc đảm bảo tính toàn vẹn trong quá trình cập nhật phần mềm và dữ liệu.

9. A09:2021 - Security Logging and Monitoring Failures (Lỗi Ghi Log và Giám Sát Bảo Mật)

   • Thăng hạng: Tăng 1 bậc.
   • Ý nghĩa: Lỗi trong việc ghi log có thể làm giảm khả năng phát hiện và xử lý sự cố bảo mật.

10. A10:2021 - Server-Side Request Forgery (SSRF) (Tấn Công Giả Mạo Yêu Cầu Phía Server)

• Mục mới: Đây là một loại tấn công mới, nơi kẻ xấu có thể thao túng server để thực hiện các yêu cầu đến tài nguyên khác.

Kết Luận

Nếu bạn muốn tìm hiểu sâu hơn về các lỗi này, hãy truy cập trang OWASP để có thông tin chi tiết. Hy vọng bài viết này sẽ hữu ích và góp phần làm cho không gian mạng của chúng ta ngày càng an toàn hơn!
source: viblo