OWASP มูลนิธิสนับสนุนการพัฒนาความมั่นคงปลอดภัยซอฟต์แวร์ประกาศร่าง OWASP Top 10 ฉบับใหม่ที่เป็นรายการช่องโหว่ยอดนิยมเพื่อการตระหนักนึงช่องโหว่ที่นักพัฒนามักพลาดกันบ่อยๆ โดยมีการเปลี่ยนอันดับใหม่ จากเดิมช่องโหว่ Injection (รวมทั้ง SQL Injection, Script Injection) เป็นอันดับหนึ่ง ฉบับปี 2021 นี้ให้ช่องโหว่ Broken Access Control เป็นอันดับหนึ่งแทนเนื่องจากแอปพลิเคชั่นจำนวนมากถึง 94% มีช่องโหว่ในกลุ่มนี้

นอกจากการปรับอับดับแล้ว ยังมีหมวดหมู่ใหม่ เพิ่มเข้ามาในรายการ ได้แก่

• อันดับ 4 ช่องโหว่ที่การออกแบบ: เนื่องจากช่องโหว่จำนวนมากเริ่มต้นตั้งแต่การออกแบบซอฟต์แวร์ที่ไม่คำนึงถึงความปลอดภัยเพียงพอ
• อันดับ 8 ความน่าเชื่อถือของซอฟต์แวร์หรือข้อมูลไม่เป็นไปตามที่คาดหวัง: ซอฟต์แวร์อาจจะใช้งานโค้ดจากภายนอกโดยถือว่าโค้ดเหล่านั้นปลอดภัย, กระบวนการคอมไพล์ซอฟต์แวร์ใน CI/CD ไม่ถูกโจมตี โดยไม่มีการยืนยันความปลอดภัยในระบบเหล่านั้นอย่างเพียงพอ
• อันดับ 10 Server-Side Request Forgery (SSRF): ช่องโหว่นี้ติดอันดับแม้จะพบไม่บ่อยนัก แต่ทาง OWASP ใส่เข้ามาเพราะผลสำรวจอยู่ในอันดับหนึ่ง โดยช่องโหว่นี้เป็นช่องโหว่ที่เซิร์ฟเวอร์ดาวน์โหลดข้อมูลจากอินพุตของผู้ใช้โดยตรวจสอบไม่เพียงพอ

ตัวรายการ Top 10 เป็นเพียงหมวดหมู่กว้างๆ แต่ในเอกสารจะระบุจุดอ่อนที่พบจริง (Common Weakness Enumeration - CWE) แยกย่อยไปลงอีกหลายรายการ ตัวอย่างเช่น การออกแบบที่ไม่ปลอดภัยจะอ้างอิงถึง CWE-257 ที่เป็นการเก็บรหัสผ่านในรูปแบบที่อ่านรหัสผ่านกลับออกมาได้เป็นต้น

ที่มา - OWASP