Let's
talk!
Let's talk!
Which
Channel?
WE ARE
HUGEMAN
We’re all about bold ideas and big moves! HUGEMAN is where creativity meets strategy to help businesses grow, evolve, and break through the noise. Ready to shake things up?
Know us more!
PEOPLE
& CULTURE
HM’s Journey
Where we’ve been and where we’re headed! Follow our exciting path of innovation as we discover new ways to spark growth and stay ahead of the curve.
HM’s DNA
It’s in our core! Our DNA is all about fresh ideas, fearless strategies, and a relentless drive to create something amazing for every client.
MEET THE HUGEMAN
Say hi to the team that makes it all happen! We’re a bunch of creative problem-solvers ready to take your business to the next level.
All detail here?
WOULD YOU LIKE TO
BE PART OF THE TREND?
Get the latest tech updates, content,
and many more!
Your submission has been received!
Oops! Something went wrong while submitting the form.
By subscribing you agree to with our Privacy Policy
TAILORED
SERVICES
From boosting business growth to crafting cutting-edge designs, we've got the tailored solutions to take your company to the next level. Whatever your challenge, we’re here to make it happen!
Know us more!
HM GROWTH
PARTNER SERVICE
Business Improvement
Tailored strategies to streamline your operations and drive business growth efficiently.
Digital Transformation
Leverage the latest technology to ensure your business grows sustainably and stays ahead in the digital age.
New Business Development
Explore new markets, develop fresh revenue streams, and diversify for future growth.
All detail here?
HM GROWTH
INNOVATIONS SERVICE
Service Design
We craft user-centered designs that work seamlessly across web, mobile, and more.
UX / UI Design
Deliver intuitive, engaging experiences that delight users and keep them coming back.
Application Development
Build flawless, user-friendly apps that work across all platforms.
All detail here?
EXPLORE FRESH
IDEAS
Jump into the latest trends, insights, and innovations that are shaping the future of business and tech. Stay in the loop with fresh ideas to keep your game sharp and always one step ahead!
All updates here!
TRENDING
STORY
OWASP Top 10 Web Application Security Risks 2021
2021 standard awareness document for developers and web app
OWASP Top 10 Mobile Risks
OWASP Top 10 การจัดอันดับความเสี่ยงด้านความปลอดภัย
More like this?
OTHER
STORY
Flutter คืออะไร? คู่มือการใช้งานเครื่องมือสร้าง UI ข้ามแพลตฟอร์มจาก Google
เรียนรู้เกี่ยวกับ Flutter เครื่องมือสร้าง UI จาก Google
More like this?
URGENT
POSITION
30
-
80

3+ Year Exp.

Flutter Tech

Front-End opt

Innovation Frontend Engineer (Flutter)Lead Frontend Innovation with Flutter
30
-
80

3+ Year Exp.

Node.js, Golang

Back-End opt

Innovation Backend Engineer (Golang)Lead Backend Innovation with Golang
30
-
80

Design thinking

Conceptualize

Validate

Innovation Digital Product DesignerTo design product and innovation
All position here!
WHAT YOU
SHOULD KNOW
Job Application Process
We explore fresh business ideas and create winning strategies that drive revenue growth.
Our Benefits
We explore fresh business ideas and create winning strategies that drive revenue growth.
Our Office
We explore fresh business ideas and create winning strategies that drive revenue growth.
Wanna know more?
LIFE @
HUGEMAN
No items found.
Wanna know more?
DROP RESUME !
THE
CLIENTS
STORY
Our clients are the stars of the show! With tailored strategies and out-of-the-box solutions, we help them grow and conquer their toughest challenges. Check out how we’ve teamed up to create success stories that shine.
All work here!
GROWTH
CONSULTING
Scaling Entertainment Business with Innovation after IPO Launch
We’ve created a workforce solution that’s a matchmaker for talent and companies. The result? Boosted profits, smoother operations, and met goals.
Revolutionizing Rubber Industry with Sritrang: Smart, Simple, and Game-Changing
We’ve ignited an AgriTech revolution that turbocharges our partner’s supply chain—stronger connections, smoother ops, and lasting growth.
More like this?
GROWTH
INNOVATIONS
Empowering Thai Credit Bank with Smart CRM and 360° Customer View Solutions
We’ve elevated customer engagement with a solution that knows them inside out, delights clients, and drives efficiency, growth, and competitiveness.
More like this?
Menu
HOME
ABOUT US
SERVICE
OUR WORK
BLOG
CAREER
CONTACT US
Get in touch
HOME
ABOUT
SERVICE
WORK
BLOG
CAREER
CONTACT
Blog
News
Tech

OWASP Top 10 Web Application Security Risks 2021

2021 standard awareness document for developers and web app
October 18, 2024
7

Key Highlights:

  • เราทำ Security เพื่อลดความเสี่ยงหรือปกป้องทรัพย์สินจากการถูกบุกรุก หรือโจรกรรม ให้อยู่ในระดับที่ยอมรับได้ภายใต้ทรัพยากรที่มีอยู่อย่างจำกัด
  • Open Web Application Security Project (OWASP) เป็นองค์กรไม่แสวงหาผลกำไรที่ให้ความรู้เกี่ยวกับการทำให้ระบบคอมพิวเตอร์ มีความปลอดภัยมากยิ่งขึ้น โดยจะมีการจัดอันดับความเสี่ยงด้านความปลอดภัยในทุก ๆ 3-4 ปีเพื่อใช้เป็นแหล่งอ้างอิงเพื่อลดความเสี่ยงในด้านความปลอดภัยของระบบ
  • ในปี 2021 มีการเปลี่ยนแปลงที่สำคัญในรายการ โดยเพิ่ม 3 หมวดใหม่ (Insecure Design, Software and Data Integrity Failures, Server-Side Request Forgery) และปรับเปลี่ยนชื่อและขอบเขตของ 4 หมวดเดิม
  • Broken Access Control ขยับขึ้นมาเป็นอันดับ 1 โดยพบในแอปพลิเคชัน 94% ที่ทดสอบ สะท้อนถึงความสำคัญของการควบคุมการเข้าถึงที่ปลอดภัย

ก่อนที่เราจะเข้าเนื้อหาของ OWASP Top 10 ขอเท้าความกันก่อนสักนิด สำหรับใครที่รู้อยู่แล้วสามารถข้ามไปอ่านในหัวข้ออื่นได้เลย

Security คืออะไร?

คือ การลดความเสี่ยงหรือปกป้องทรัพย์สินจากการถูกบุกรุก หรือโจรกรรม ให้อยู่ในระดับที่ยอมรับได้ภายใต้ทรัพยากรที่มีอยู่อย่างจำกัด การลดความเสี่ยงในการถูกบุกรุก หรือโจรกรรมนั้นทำได้หลายระดับยกตัวอย่างเช่น

  • Network security
  • Application security
  • Data security
  • Cloud security, Infrastructure security

แล้วเราทำ security เพื่อวัตถุประสงค์อะไร?

  • Confidentiality: การปกป้องความลับ หรือการจัดเก็บข้อมูลเพื่อความปลอดภัย โดยการความคุมระดับการเข้าถึงข้อมูลจากทั้งภายในและภายนอก เมื่อมีการควบคุบระดับการเข้าถึงของข้อมูลแล้วทำให้ลดโอกาสที่จะมีข้อมูลรั่วไหลโดยไม่ตั้งใจลดลง
  • Integrity: คือ ความถูกต้องของข้อมูลโดยระบบจะต้องไม่ให้ข้อมูลถูกลบหรือแก้ไขโดยบุคคลที่ไม่ได้รับอนุญาต
  • Availability: ระบบต้องมีความพร้อมใช้งานภายใต้สถานการณ์ต่างๆ รวมถึงไฟดับหรือภัยธรรมชาติ

OWASP คืออะไร?

Open Web Application Security Project (OWASP) เป็นองค์กรไม่แสวงหาผลกำไรที่ให้ความรู้เกี่ยวกับการทำให้ระบบคอมพิวเตอร์ มีความปลอดภัยมากยิ่งขึ้น โดยจะมีการจัดอันดับความเสี่ยงด้านความปลอดภัยในทุกๆปีเพื่อใช้เป็นแหล่งอ้างอิงเพื่อลดความเสี่ยงในด้านความปลอดภัยของระบบ การจัดอันดับในด้านความปลอดภัยหรือที่เราคุ้นกันดีคือ OWASP Top 10 เป็นเอกสารมาตรฐานที่สร้างความตระหนักรู้สำหรับนักพัฒนาและความปลอดภัยของแอปพลิเคชันเว็บ เอกสารนี้แสดงถึงความเห็นพ้องกันอย่างกว้างขวางเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดสำหรับแอปพลิเคชันเว็บ

นักพัฒนาทั่วโลกยอมรับว่านี่เป็นก้าวแรกสู่การเขียนโค้ดที่ปลอดภัยยิ่งขึ้น

บริษัทต่างๆ ควรนำเอกสารนี้ไปใช้และเริ่มกระบวนการเพื่อให้แน่ใจว่าแอปพลิเคชันเว็บของตนมีความเสี่ยงเหล่านี้น้อยที่สุด การใช้ OWASP Top 10 อาจเป็นก้าวแรกที่มีประสิทธิภาพที่สุดในการเปลี่ยนแปลงวัฒนธรรมการพัฒนาซอฟต์แวร์ภายในองค์กรของคุณ ให้เป็นวัฒนธรรมที่ผลิตโค้ดที่ปลอดภัยมากขึ้น

เอกสาร OWASP Top 10 นี้จะมีการปรับปรุงทุกๆ 3-4 ปี เพื่อให้สอดคล้องกับภัยคุกคามและความเสี่ยงใหม่ๆ ที่เกิดขึ้น ทำให้องค์กรสามารถปรับตัวและรับมือกับความท้าทายด้านความปลอดภัยที่เปลี่ยนแปลงไปได้อย่างต่อเนื่อง การนำ OWASP Top 10 ไปใช้ไม่เพียงแต่จะช่วยปกป้องแอปพลิเคชันจากภัยคุกคามที่พบบ่อยเท่านั้น แต่ยังช่วยสร้างพื้นฐานสำหรับวิธีปฏิบัติด้านความปลอดภัยที่ครอบคลุมมากขึ้นในกระบวนการพัฒนาซอฟต์แวร์ขององค์กร

Top 10 Web Application Security Risks - Final List 2021

ข้อมูลดังกล่าวเป็นของปี 2021 โดยในฉบับ 2021 มีการเพิ่มหมวดหมู่ใหม่ 3 หมวด, 4 หมวดที่มีการเปลี่ยนแปลงชื่อและขอบเขต และมีการรวมกลุ่มบางหมวดใน Top 10 สำหรับปี 2021 อย่างไรก็ตาม OWASP วางแผนไว้ว่าจะปล่อย OWASP Top 10:2025 ในช่วงครึ่งปีแรกของปี 2025 โดยทำการเก็บข้อมูลตั้งแต่วันนี้จนถึง ธันวาคม 2024  

A01:2021-Broken Access Control

การควบคุมการเข้าถึงที่ไม่ปลอดภัย ย้ายขึ้นมาจากอันดับที่ 5 โดย 94% ของแอปพลิเคชันที่ทดสอบพบปัญหานี้ในรูปแบบใดรูปแบบหนึ่ง Common Weakness Enumerations (CWEs) 34 รายการที่เกี่ยวข้องกับ Broken Access Control พบในแอปพลิเคชันมากกว่าหมวดหมู่อื่นๆ

A02:2021-Cryptographic Failures

ความล้มเหลวในการเข้ารหัส เลื่อนขึ้นมาหนึ่งอันดับเป็นอันดับที่ 2 เดิมรู้จักในชื่อ Sensitive Data Exposure ซึ่งเป็นอาการมากกว่าสาเหตุ การมุ่งเน้นใหม่นี้เกี่ยวกับความล้มเหลวในการเข้ารหัสซึ่งมักนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อนหรือการบุกรุกระบบ

A03:2021-Injection

การฉีดโค้ด เลื่อนลงมาอยู่อันดับที่ 3 โดย 94% ของแอปพลิเคชันถูกทดสอบการฉีดโค้ดในรูปแบบใดรูปแบบหนึ่ง และ CWEs 33 รายการที่เกี่ยวข้องพบในแอปพลิเคชันมากเป็นอันดับสอง Cross-site Scripting ถูกรวมเข้ามาในหมวดหมู่นี้ในฉบับนี้

A04:2021-Insecure Design

การออกแบบที่ไม่ปลอดภัย เป็นหมวดหมู่ใหม่สำหรับปี 2021 มุ่งเน้นความเสี่ยงที่เกี่ยวข้องกับข้อบกพร่องในการออกแบบ หากเราต้องการ "เลื่อนซ้าย" อย่างแท้จริงในฐานะอุตสาหกรรม จำเป็นต้องใช้การทำ threat modeling, รูปแบบและหลักการออกแบบที่ปลอดภัย และสถาปัตยกรรมอ้างอิงมากขึ้น

A05:2021-Security Misconfiguration

การตั้งค่าความปลอดภัยที่ไม่ถูกต้อง เลื่อนขึ้นจากอันดับที่ 6 ในฉบับก่อน 90% ของแอปพลิเคชันถูกทดสอบการตั้งค่าที่ไม่ถูกต้องในรูปแบบใดรูปแบบหนึ่ง เมื่อมีการเปลี่ยนแปลงไปสู่ซอฟต์แวร์ที่สามารถกำหนดค่าได้มากขึ้น จึงไม่น่าแปลกใจที่หมวดหมู่นี้จะเลื่อนขึ้น หมวดหมู่เดิมสำหรับ XML External Entities (XXE) ถูกรวมเข้ามาในหมวดหมู่นี้

A06:2021-Vulnerable and Outdated Components

วนประกอบที่มีช่องโหว่และล้าสมัย เดิมมีชื่อว่า Using Components with Known Vulnerabilities อยู่ในอันดับที่ 2 ในการสำรวจชุมชน Top 10 แต่ก็มีข้อมูลเพียงพอที่จะติด Top 10 ผ่านการวิเคราะห์ข้อมูล หมวดหมู่นี้เลื่อนขึ้นจากอันดับที่ 9 ในปี 2017 และเป็นปัญหาที่เรารู้จักแต่มีความยากลำบากในการทดสอบและประเมินความเสี่ยง

A07:2021-Identification and Authentication Failures

ความล้มเหลวในการระบุตัวตนและการพิสูจน์ตัวตน เดิมคือ Broken Authentication เลื่อนลงจากอันดับที่ 2 และตอนนี้รวม CWEs ที่เกี่ยวข้องกับความล้มเหลวในการระบุตัวตนมากขึ้น หมวดหมู่นี้ยังคงเป็นส่วนสำคัญของ Top 10 แต่การเพิ่มขึ้นของเฟรมเวิร์กมาตรฐานดูเหมือนจะช่วยได้

A08:2021-Software and Data Integrity Failures

ความล้มเหลวในความสมบูรณ์ของซอฟต์แวร์และข้อมูล เป็นหมวดหมู่ใหม่สำหรับปี 2021 มุ่งเน้นการตั้งสมมติฐานเกี่ยวกับการอัปเดตซอฟต์แวร์ ข้อมูลสำคัญ และ CI/CD pipelines โดยไม่ตรวจสอบความสมบูรณ์ Insecure Deserialization จากปี 2017 ตอนนี้เป็นส่วนหนึ่งของหมวดหมู่ที่ใหญ่ขึ้นนี้

A09:2021-Security Logging and Monitoring Failures

ความล้มเหลวในการบันทึกและตรวจสอบความปลอดภัย เดิมคือ Insufficient Logging & Monitoring เพิ่มเข้ามาจากการสำรวจอุตสาหกรรม (อันดับที่ 3) เลื่อนขึ้นจากอันดับที่ 10 ก่อนหน้านี้ หมวดหมู่นี้ขยายให้ครอบคลุมความล้มเหลวประเภทอื่นๆ มากขึ้น ยากต่อการทดสอบ และไม่ได้รับการแสดงผลดีในข้อมูล CVE/CVSS อย่างไรก็ตาม ความล้มเหลวในหมวดหมู่นี้สามารถส่งผลกระทบโดยตรงต่อการมองเห็น การแจ้งเตือนเหตุการณ์ และการตรวจสอบทางนิติวิทยาศาสตร์

A10:2021-Server-Side Request Forgery

การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ เพิ่มเข้ามาจากการสำรวจชุมชน Top 10 (อันดับที่ 1) ข้อมูลแสดงให้เห็นถึงอัตราการเกิดขึ้นที่ค่อนข้างต่ำ แต่มีการครอบคลุมการทดสอบสูงกว่าค่าเฉลี่ย พร้อมกับคะแนนศักยภาพในการโจมตีและผลกระทบที่สูงกว่าค่าเฉลี่ย หมวดหมู่นี้แสดงถึงสถานการณ์ที่สมาชิกในชุมชนด้านความปลอดภัยกำลังบอกเราว่าสิ่งนี้สำคัญ แม้ว่าจะยังไม่ปรากฏในข้อมูลในขณะนี้

บทสรุป

OWASP Top 10 เป็นเครื่องมือสำคัญสำหรับองค์กรและนักพัฒนาในการระบุและจัดการความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดสำหรับแอปพลิเคชันเว็บ การนำ OWASP Top 10 มาใช้เป็นก้าวแรกที่สำคัญในการพัฒนาวัฒนธรรมความปลอดภัยภายในองค์กร

ด้วยการอัปเดตทุก 3-4 ปี OWASP Top 10 ช่วยให้องค์กรสามารถติดตามภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วในโลกดิจิทัล การนำแนวทางเหล่านี้ไปปฏิบัติไม่เพียงแต่ช่วยปกป้องแอปพลิเคชันจากการโจมตีที่พบบ่อยเท่านั้น แต่ยังช่วยสร้างรากฐานสำหรับแนวทางปฏิบัติด้านความปลอดภัยที่ครอบคลุมมากขึ้น

องค์กรควรพิจารณา OWASP Top 10 เป็นจุดเริ่มต้นสำหรับโปรแกรมความปลอดภัยของแอปพลิเคชัน ไม่ใช่จุดสิ้นสุด การปรับใช้แนวทางเหล่านี้เป็นส่วนหนึ่งของกระบวนการพัฒนาอย่างต่อเนื่องจะช่วยให้องค์กรสามารถพัฒนาแอปพลิเคชันที่ปลอดภัยและน่าเชื่อถือมากขึ้น ซึ่งเป็นสิ่งจำเป็นในยุคดิจิทัลที่มีการเชื่อมต่อสูงนี้

ท้ายที่สุด การให้ความสำคัญกับความปลอดภัยของแอปพลิเคชันโดยใช้ OWASP Top 10 ไม่เพียงแต่ช่วยปกป้องข้อมูลและทรัพยากรขององค์กรเท่านั้น แต่ยังช่วยสร้างความไว้วางใจกับลูกค้าและผู้ใช้งาน ซึ่งเป็นปัจจัยสำคัญในการสร้างความสำเร็จทางธุรกิจในระยะยาว

Reference : https://owasp.org/www-project-top-ten

Like this? Share it to support our effort
This content created by
Got
A marketer passionate about AI, digital transformation, and innovation! On a mission to help businesses thrive, optimize operations, and stay ahead in the fast-changing tech world, always cooking up fresh ideas and delivering impactful solutions.
No items found.
Got
Check this out!
What are you waiting for? CLICK IT!
STORY YOU MIGHT LIKE
Related topic
JOIN OUR
NEWSLETTER
KNOW US
MORE
OUR
SERVICES
OUR
WORK
Get the latest tech
updates, content,
and many more!
Your submission has been received!
Oops! Something went wrong while submitting the form.
By subscribing you agree to with our Privacy Policy
KNOW US MORE
About usOur servicesOur workCareerBlog
OUR SERVICES
Business ImprovementDigital TransformationNew Business DevelopmentService
DesignUX / UI DesignApplication DevelopmentData Driven SolutionGenerative AI
OUR WORK
More >>
© 2024 HUGEMAN.CO  All rights reserved.
By using this website, you agree to the storing of cookies on your device to enhance site navigation, analyze site usage, and assist in our marketing efforts. View our Privacy Policy for more information.
ACCEPT