OWASP หรือ Open Web Application Security Project คือ มาตราฐานความปลอดภัยของเว็บแอปพลิเคชัน จัดทำขึ้นโดยองค์กรไม่แสวงหาผลกำไรที่ให้ความรู้เพื่อทำให้ระบบคอมพิวเตอร์มีความปลอดภัยมากยิ่งขึ้นและเน้นวิจัยทางด้าน Web Application Security โดยจะมี community เกี่ยวกับ เอกสาร เครื่องมือและเทคโนโลยีความปลอดภัยของเว็บแอปพลิเคชัน
OWASP เป็นองค์กรไม่แสวงหาผลกำไรที่ให้ความรู้เพื่อเน้นให้ระบบคอมพิวเตอร์ มีความปลอดภัยมากยิ่งขึ้น ในหลายแง่มุมไม่ว่าจะเป็นการทดสอบแฮก การเขียนโค้ดให้ปลอดภัย และการกำหนดนโยบายหรือมาตรฐานด้านความปลอดภัยให้แอปพลิเคชัน
OWASP Top 10 เป็นเอกสารการรับรู้มาตรฐานสำหรับนักพัฒนาซอฟต์แวร์ และการรักษาความปลอดภัยของเว็บแอปพลิเคชัน ที่แสดงถึงความเห็นเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดต่อเว็บแอปพลิเคชัน
ดังนั้น บริษัทผู้พัฒนาซอฟต์แวร์ ต่างๆ ควรนำเอกสารนี้ไปใช้ และเริ่มกระบวนการ เพื่อให้มั่นใจว่าแอปพลิเคชันบนเว็บจะลดความเสี่ยงเหล่านี้ให้เหลือน้อยที่สุด การใช้ OWASP Top 10 อาจเป็นขั้นตอนแรกที่มีประสิทธิภาพมากที่สุดในการเปลี่ยนวัฒนธรรมการพัฒนาซอฟต์แวร์ภายในองค์กรของคุณให้เป็นขั้นตอนที่สร้างรหัสที่ปลอดภัยยิ่งขึ้น
เช่นเดียวกับในหลายๆ ครั้งที่ผ่านมา ปี 2021 นี้ ทาง OWASP ได้มีการปรับลำดับของความเสี่ยง ที่เกิดเป็นรายการช่องโหว่ยอดนิยม เพื่อให้นักพัฒนาซอฟต์แวร์ ได้เกิดความตระหนักถึงภัยจาการเขียน code ที่ไม่ปลอดภัย และเป็นผลทำให้เกิดช่องโหว่เหล่านี้
อันดับ 1 : Broken Access Control
Broken Access Control คือ ช่องโหว่เกิดจากการควบคุม user ว่าทำอะไรได้และไม่ได้อย่างไร ได้ไม่ดีพอ ทำให้ Hacker สามารถเข้าถึงการทำงานและข้อมูลต่างๆที่ไม่ได้รับอนุญาต เช่น การเข้าถึงข้อมูลของ user ผู้อื่น, การเข้าถึงไฟล์สำคัญของระบบ, การแก้ไขข้อมูลของ user อื่นๆ, การกระทำคำสั่งของผู้ดูแลระบบโดยใช้สิทธิ์ของ user ธรรมดา เป็นต้น
สำหรับปี 2021 นี้ โดยที่ 94% ของ Application ที่ถูกทดสอบด้วยบางรูปแบบของการโจมตีประเภทนี้ พบว่า มีจำนวนมากที่ถูกจัดว่าเป็น Broken Access Control ซึ่งถือว่ามากที่สุดในการโจมตีทุกประเภทที่เกิดขึ้นกับ Application ที่นำมาทดสอบ
จากภาพ Access Control Lost (ACL) เปรียบเสมือนนโยบายที่ใช้สำหรับบอกว่าให้ใครสามารถผ่านได้ หรือใครไม่สามารถผ่านได้นั้นเอง (โดยกำหนด IP , Port ต้นทางและปลายทางนั้นเอง)
ช่องโหว่นี้ หลายๆครั้ง เกิดจาก การให้สิทธิ์กับบาง user มากเกินไปทำให้สามารถแก้ไขข้อมูลของ user คนอื่นได้โดยที่เจ้าของไม่ทราบ ซึ่งผู้ไม่หวังดีอาจใช้ประโยชน์จากข้อบกพร่องในการควบคุมการเข้าถึงของแอพพลิเคชั่นที่เรียกว่า “forced browsing” เมื่อผู้ไม่หวังดีทราบ URL ที่เฉพาะคนที่มีสิทธิ์เท่านั้นหรือ Admin สามารถเข้าได้และกระทำการ browse หน้า URL นั้นตรงๆจากสิทธิ์ทั่วไป เป็นต้น