OWASP Top 10: dobesite me kritike ne aplikacionet web ne 2024
The Open Web Application Security Project (OWASP) publikon nje liste te 10 rreziqeve me kritike ne aplikacionet web. Lista aktuale (2021) mbetet reference edhe per 2024, me pritje per nje rishikim 2025.
Top 10 (2021)
A01: Broken Access Control
Zgjedhja numer 1 — 94% e aplikacioneve testuar kishin nje forme te kontrollit te aksesit te thyer. Perdoruesit mund te akesojne te dhena qe nuk duhet t'i shikojne.
A02: Cryptographic Failures
Te dhena te ndjeshme qe dergohen ose ruhen pa enkriptim te duhur. Perfshin perdorimin e algoritmeve te vjeter si MD5 ose SHA1.
A03: Injection
SQL injection, LDAP injection, OS command injection. Ndodh kur te dhenat nga perdoruesi perdoren direkt ne komandat e databazes.
A04: Insecure Design
E re ne 2021 — kategori per dobesite ne dizajnin e aplikacionit, jo ne implementim. Kerkon "threat modeling" ne faza te hershme.
A05: Security Misconfiguration
Porta te hapura qe nuk duhet te jene, default credentials (admin/admin), error messages qe zbulojne teknologjine, etj.
A06: Vulnerable and Outdated Components
Perdorimi i librarive me dobesi te njohura (CVE). Behet gjithnje e me e rendesishme me rritjen e dependency-ve ne projekte.
A07: Identification and Authentication Failures
Fjalekalime te dobet, sesione qe nuk skadojne, credential stuffing, fjalekalime ne lista te rrjedhura.
A08: Software and Data Integrity Failures
Shkarkimi i kodit/librarive pa verifikim integriteti, dependency confusion, supply chain attacks.
A09: Security Logging and Monitoring Failures
Logget nuk ruhen, nuk monitorohen ose nuk permbajne informacion te mjaftueshem per hetim pas nje incidenti.
A10: Server-Side Request Forgery (SSRF)
Sulmuesi ben serverin te thirre URL qe nuk duhet (p.sh. metadata e shoqeruar per AWS/GCP).
Si i perdorni?
Lista OWASP Top 10 eshte nje pike fillimi, jo nje check-list i plote. Zhvilluesit duhet ta perdorin per vetedijesim, ekipet e QA per testim dhe ekipet e sigurise per prioritizim te auditeve.
Per studime me te thella, OWASP ka edhe dokumentacion zyrtar dhe guidelines per cdo nga rreziqet.
Komentet (0)
Nuk ka komente ende. Beni i pari qe ndani mendimin tuaj!
Lini nje koment