OWASP Top 10: 2021

Restricțiile privind acțiunile utilizatorilor autentificați nu sunt aplicate corespunzător. Atacatorii pot exploata aceste defecte pentru a accesa neautorizat funcționalități și/sau date.

Eșecuri legate de criptografie care duc la expunerea datelor sensibile. Aceste vulnerabilități apar când datele sensibile nu sunt protejate adecvat.

Datele ostile sunt trimise către un interpretor ca parte a unei comenzi sau interogări. Atacatorul poate executa comenzi neintenționate sau accesa date fără autorizație.

O nouă categorie care se concentrează pe riscurile legate de defecte de design/proiectare. Securitatea adecvată la nivel de proiectare poate reduce semnificativ severitatea multor vulnerabilități.

Configurări implicite nesigure, configurări incomplete, stocarea în cloud deschisă, mesaje de eroare care conțin informații sensibile și lipsa patch-urilor de securitate.

Utilizarea de componente care nu sunt menținute sau sunt depășite. Acest lucru include sistemul de operare, serverul web/aplicație, baza de date, bibliotecile și framework-urile.

Confirmarea incorectă a identității utilizatorului, permițând atacatorilor să compromită parole, chei sau token-uri de sesiune, sau să exploateze alte defecte de implementare.

Aplicațiile și infrastructura care nu protejează împotriva încălcărilor integrității. Aceasta include actualizări nesemnate și injecții de cod pe partea clientului.

Jurnalizarea și monitorizarea insuficiente, împreună cu integrarea lipsă sau ineficientă cu răspunsul la incidente, permit atacatorilor să atace sistemele.

Apare când o aplicație web preia o resursă de la distanță fără a valida URL-ul furnizat de utilizator. Permite atacatorilor să forțeze aplicația să trimită cereri la un domeniu neașteptat.