کمیته رکن چهارم – روژهی باز برنامههای کاربردی تحت وب (OWASP) روز دوشنبه سری جدیدی از ۱۰ آسیبپذیری برتر در برنامههای وب در سال ۲۰۱۷ را اطلاعرسانی کرد که در آن ۲ دسته آسیبپذیری جدید معرفی شده است. این دو دستهی جدید عبارتند از «تشخیص و پیشگیری ناکافی از حملات» و «واسطهای برنامهنویسی محافظتنشده».
به گزارش کمیته رکن چهارم،پروژهی OWASP قصد دارد در فهرست ۱۰ آسیبپذیری برتر خود که آخرین بار در سال ۲۰۱۳ میلادی بهروزرسانی شده، آسیبپذیری «تغییر مسیر نامعتبر» را حذف کرده و آسیبپذیری «واسطهای برنامهنویسی حفاظتنشده» را اضافه کند. آسیبپذیری «تشخیص و پیشگیری ناکافی از حملات» نیز در این فهرست در ردیف هفتم قرار گرفته است. برای جا دادن این آسیبپذیری، OWASP دو آسیبپذیری موجود در ردیفهای ۴ و ۷ را با یکدیگر ادغام کرده است. این آسیبپذیریها «ارجاع مستقیم به اشیاء بهطور ناامن» و «عدم وجود کنترل دسترسی در سطح برنامههای کاربردی» هستند. این سازمان نام این آسیبپذیری ادغامی را «کنترل دسترسی ناقص» قرار داده است.
تعریفی که OWASP برای آسیبپذیری تشخیص و پیشگیری ناکافی از حملات ارائه داده به شرح زیر است: «اکثر برنامههای کاربردی و واسطهای برنامهنویسی فاقد روشی برای تشخیص و پیشگیری از حملات دستی و خودکار هستند. حفاظت در برابر حملات، چیزی فراتر از اعتبارسنجی ورودیها بوده و شامل تشخیص خودکار، ثبت رویدادها، پاسخدهی و حتی مسدود کردن عملیات است. مالکان برنامههای کاربردی باید قادر باشند برای پیشگیری از حملات هرچه سریعتر وصلهها را اعمال کنند.»
در بحثی که در انجمن Reddit انجام شده بسیاری از کاربران اعلام کردند حفاظت ناکافی در برابر حملات نمیتواند بهعنوان یک آسیبپذیری طبقهبندی شود. اگر کاربران زیادی با این تغییر موافق باشند، OWASP این تغییرات را اعمال خواهد کرد. در دستهی واسطهای برنامهنویسی حفاظتنشده، OWASP میگوید: «برنامههای کاربردی مدرن معمولاً دارای کارخواه و واسطهای برنامهنویسی غنی هستند که آنها را به واسطهای برنامهنویسی دیگر متصل میکند. این واسطها معمولاً محافظت نمیشوند و تعداد زیادی آسیبپذیری در آنها وجود دارد.»
نظرات برای طرح پیشنهادی OWASP برای فهرست ۱۰ آسیبپذیری برتر تا تاریخ ۳۰ ژوئن از طریق رایانامهی OWASP-TopTen(at)lists.owasp.org قابل ارسال است. نسخهی نهایی در ماه ژوئیه و یا اوت منتشر خواهد شد.
منبع:security week
