Web uygulama güvenliğinde en sık karşılaşılan on güvenlik açığı vektörünü inceleyen, bizim de OWASP Projelerini Tanıyalım isimli bir hevesle başladığımız ama Fenerbahçe’nin üç kulvarda sonuna kadar gitmeye niyetlendiği bir futbol sezonu nedeniyle yarıda bıraktığımız yazı dizisinde incelediğimiz ve OWASP’ın en çok bilinen projesi olan Top Ten‘in 2013 sürümü geçtiğimiz gün yayınlandı.
Daha önceleri 2004, 2007 ve 2010 sürümlerinin OWASP tarafından yayınlandığı Top Ten projesinin 2013 sürümünde bazı vektörler hala popülerliğini koruyor olsa da bazı atak vektörlerinin de finans sıkıntısı çeken Beşiktaş gibi sıralamada yer değiştirdiğini veya ligden düşen Anadolu takımları gibi listeden çıktığını görüyoruz.
Aşağıdaki tabloda OWASP Top Ten 2013’ün ana başlıklarını listeledik.
OWASP Top Ten 2013 |
---|
A1 – Injection |
A2 – Broken Authentication and Session Management |
A3 – Cross-site Scripting (XSS) |
A4 – Insecure Direct Object Reference |
A5 – Security Misconfiguration |
A6 – Sensitive Data Exposure |
A7 – Missing Function Level Access Control |
A8 – Cross Site Request Forgery (CSRF) |
A9 – Using Components with Known Vulnerabilities |
A10 – Unvalidated Redirects and Forwards |
OWASP Top Ten 2013 ile ilgili daha detaylı bilgiye proje sayfasından ulaşabilir, değerli yorumlarınızı OWASP Türkiye mail listesine iletebilirsiniz.