OWASP - Топ-10 OWASP - 2017 Десять самых критичных угроз безопасности веб-приложений

подключенных к сети, становится больше, поэтому важность обеспечения безопасности приложений
возрастает экспоненциально. Быстрое развитие методов разработки ПО приводит к необходимости быстро и
безошибочно выявлять, а также устранять наиболее часто возникающие угрозы. Больше нельзя оставлять без
должного внимания относительно простые угрозы безопасности, подобные представленным в данном списке Топ-10
OWASP.
При создании Топ-10 OWASP - 2017 было получено огромное количество отзывов, намного больше чем по любым
другим проектам OWASP. Это показывает, насколько сообщество заинтересовано в Топ-10 OWASP и насколько
важно для OWASP сделать Топ-10 актуальным для большинства сценариев использования.
Несмотря на то, что первоначальная цель проекта Топ-10 OWASP заключалась в простом привлечении внимания
разработчиков и менеджеров к проблемам безопасности, проект де-факто стал стандартом безопасности
приложений.

В этом выпуске проблемы и рекомендации по их устранению описаны кратко и в доступной форме для облегчения
внедрения Топ-10 OWASP в программы обеспечения безопасности приложений. Крупным и
высокопроизводительным организациям, которым требуется настоящий стандарт, мы рекомендуем использовать
Стандарт подтверждения безопасности приложений OWASP (ASVS), но для большинства, при обеспечении
безопасности приложений, будет достаточно Топ-10 OWASP.
Мы также составили перечни рекомендуемых шагов для разных категорий пользователей Топ-10 OWASP, такие как
Что делать разработчикам, Что делать тестировщикам, Что делать организациям (для директоров по
информационным технологиям и директоров по информационной безопасности), а также Что делать менеджерам
приложений (для менеджеров приложений или лиц, ответственных за жизненный цикл приложений).
В конечном счете, мы призываем все команды и организации, занимающиеся разработкой ПО, создать программу
обеспечения безопасности приложений, которая будет соответствовать их культурному и технологическому уровню.
Эти программы могут быть представлены в любой форме и объеме. Для оценки и улучшения существующей
программы обеспечения безопасности приложений в вашей организации вы можете использовать Модель
обеспечения безопасности ПО (SAMM).
Надеемся, что Топ-10 OWASP окажется полезным при обеспечении безопасности ваших приложений. Все вопросы,
комментарии и идеи вы можете оставлять в нашем проектном репозитории на GitHub:
• https://github.com/OWASP/Top10/issues
Топ-10 OWASP и переводы можно найти здесь:
• https://www.owasp.org/index.php/top10
Наконец, мы хотим поблагодарить основателей проекта Топ-10 OWASP, Дейва Вичерса (Dave Wichers) и Джеффа
Вильямса (Jeff Williams), за их вклад и веру в успешное завершение данного документа стараниями сообщества.
Большое вам спасибо!
• Эндрю ван дер Сток (Andrew van der Stock)
• Брайан Глас (Brian Glas)
• Нейл Смитлайн (Neil Smithline)
• Торстен Гиглер (Torsten Gigler)

Поддержка проекта
Благодарим компанию Autodesk за спонсорскую поддержку Топ-10 OWASP 2017.Организации и отдельные лица, предоставившие
данные по преобладающим уязвимостям или оказавшие иное содействие при создании списка, перечислены на странице
"Благодарности".

В

3

Введение

Представляем Топ-10 OWASP 2017!
Это крупное обновление включает в себя несколько новых категорий угроз, две из которых были выбраны сообществом
(A8:2017-Небезопасная десериализация и A10:2017-Недостатки журналирования и мониторинга). Два ключевых отличия
подготовки данной версии Топ-10 OWASP заключаются в активной обратной связи сообщества и внушительном объеме
данных, полученном от десятков организаций, возможно, самом большом из когда-либо собранных при подготовке
стандарта по обеспечению безопасности приложений. Все это дает нам уверенность в том, что новая версия Топ-10
OWASP посвящена самым актуальным проблемам безопасности приложений, с которыми сталкиваются организации в
настоящее время.
Топ-10 OWASP 2017 основан главным образом на 40+ комплектах данных, полученных от организаций, которые
специализируются на безопасности приложений, а также на отраслевых исследованиях, проведенных более 500
независимыми исследователями. Данные содержат информацию об уязвимостях, обнаруженных в сотнях организаций и
более 100.000 реальных приложений и API. На основе данных о распространенности, простоте эксплуатации и сложности
обнаружения уязвимостей, а также ущербе, который они могут нанести, --">