OWASP TOP 10 sérülékenységi lista

A sérülékenységvizsgálatok egyik meghatározó viszonyítási pontjává nőtte ki magát a OWASP Top 10, amely idén újabb fenyegetés-listával jelent meg. Mi is az az OWASP Top 10, tehetjük fel a kérdést? Egy non-profit, az Open Web Application Security Project (OWASP) szervezet munkája, akik a szoftverek biztonságának fejlesztésén dolgoznak megalakulásuk, 2001. december 1. óta. Indulásuk óta rendszeres időközönként segítik a fejlesztőket ingyenesen elérhető útmutatókkal és segédanyagokkal. A kiadott anyagok nyíltak, a projekthez szabadon lehet csatlakozni. Zászlóshajójuk, legsikeresebb, legismertebb projektjük a OWASP Top Ten projekt, amiben a webalkalmazásokat érintő legkritikusabb 10 problémát nevezik meg annak érdekében, hogy a fejlesztők és üzemeltetők felkészülhessen azok elhárítására. Az elmúlt években ez a lista – illetve a kapcsolódó ellenőrzési útmutató – vált az iparágilag elfogadott közös hivatkozási alappá. Olyannyira elfogadott, hogy a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet is ez alapján vizsgál és készít fel rendszereket.

A legfrissebb listát itt érjük el. Az előző lista 2017, az azt megelőző 2013-ban, 2010-ben, 2007-ben került kiadásra. A korábbi évek listái kissé eltérő struktúrában jelentek meg. A kiadásért felelős Board körülbelül 3-4 évente értékelte újra, illetve jelentette meg a legfőbb fenyegetéseket. Természetesen a fenyegetések monitorozása folyamatos.

Az idei és az azt megelőző lista:

1. Forrás: https://owasp.org/Top10/

Az idei listán három új, illetve átalakul fenyegetés-elem is megjelent, számos elem előrébb lépett a „rangsorban”, van, ami megőrizte előkelő helyét, egyértelmű tehát, hogy érdemes az új listát áttanulmányozni. Alkalmazásunk vizsgálatához érdemes akár külső segítséget is igénybe venni annak érdekében, hogy az esetleges feltárjuk a biztonsági hibákat, majd javíthassuk azokat. A ransomware-ek jelentette fenyegetésről nemrégiben értekeztünk bővebben[1], érdemes a próbálkozok előtt az OWASP Top 10 következetes végrehajtásával becsukni az „ajtót”.

Az OWASP nem csak a sérülékenység-listát alkotta meg, hanem célkitűzésének megfelelően ellenőrzési ajánlásokat is annak érdekében, hogy biztonságosabb alkalmazások születhessenek. Az OWASP két csoportba sorolta az ellenőrzési folyamatokat:

• Az OWASP Code Review Guide (CRG) célja a létrehozott kódok manuális ellenőrzése, white-box módszerrel. A 220 oldalas dokumentum a forráskód átvizsgálásának támogatására készült. E folyamat legfőbb célja meggyőződni arról, hogy a forráskódban a szükséges és indokolt biztonsági kontrollok implementálásra kerültek, úgy működnek, ahogy a tervezés szerint működniük kell. A CRG segít a kódolás eljárásrendjének ellenőrzésére is. Erre azért van szükség, mert a behatolástesztelés, de még a sérülékenységvizsgálat sem képes teljes körűen felderíteni az esetleges hibákat, egyedül a white-box tesztelésnél van lehetőség a rosszul megírt kódrészleteket átfogóan megtalálni. Ez a módszer a humán erőforrás és a célszoftverek alkalmazását is egyaránt igényli. A tesztelési szakember nélkülözhetetlen, hiszen az egyes kontextusok döntően befolyásolhatják a kódolás megfelelőségét vagy nem megfelelőségét, melyet az algoritmusok – jelenleg legalábbis – még nem képesek teljes mértékben és biztonsággal eldönteni..
• Az OWASP Testing Guide (TG) a már elkészült alkalmazás black-box teszteléséhez, azaz sérülékenységvizsgálatához ad segítséget. A legfrissebb, v42 verziójú TG 2020. december 3-án került kiadásra, az új változat készítése folyamatban. A dokumentum 465 oldal 11 kategóriába sorolt teszteseteken vezet keresztül, amelyeket az alkalmazás típusától és megvalósításától függően célszerű végrehajtani.

Az alkalmazások biztonságossá tételében a Kürt Zrt. nagy tapasztalattal bír, a legújabb módszertani ajánlások felhasználásával végezzük a hibák feltárását, biztosítjuk azok javítását annak érdekében, hogy rendszerét (és annak adatait) biztonságban tudhassa.