OWASP มันคืออะไร??

ตอบกลับโพส
siri
โพสต์: 1045
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

OWASP มันคืออะไร??

โพสต์ โดย siri » พุธ มิ.ย. 09, 2021 3:19 pm

OWASP มันคืออะไร?? ทำไมมันถึงสำคัญกับ Dev แบบเราๆ กันนะ
.
หากใครยังไม่รู้จัก มาหาคำตอบไปพร้อมกับแอดเลยจ้า
.
👉 OWASP (Open Web Application Security Project) เป็นองค์กรที่สร้างขึ้นมาเพื่อเป็นศูนย์ร่วมในการร่วมมือจากนักพัฒนาเว็บแอปพลิเคชันทั่วโลก เพื่อให้ความรู้และเผยแพร่ความรู้เกี่ยวกับช่องโหว่และความปลอดภัยบนเว็บแอปพลิเคชัน
.
ซึ่งเจ้าช่องโหว่ต่างๆ ที่ OWASP จัดอันดับให้เป็นช่องโหว่ที่ควรระวังบนโลกเว็บแอปพลิเคชัน มีทั้งหมด 10 ข้อ ดังนี้
.
❤️ 1) Injection
ช่องโหว่ประเภทนี้ถูกพบได้บ่อย และมีผลกระทบรุนแรงต่อเว็บแอปพลิเคชัน เช่น SQL Injection ซึ่งมันจะให้ผู้ที่ไม่หวังดีสามารถเข้าถึงข้อมูลใน Database ได้ หรือ Code Injection ที่อนุญาตให้ผู้ไม่หวังดีโจรกรรมข้อมูล และควบคุมเครื่องเซิร์ฟเวอร์ของเราได้นั่นเอง
.
🧡 2) Broken Authentication and Session Management
ช่องโหว่ประเภทนี้ได้แก่ การเก็บ Password ไว้ใน Cookie โดยไม่มีการเข้ารหัส ทำให้สามารถแฮกเกอร์สามารถโจรกรรม Password ของเราได้อย่างง่ายดาย
.
💛 3) Cross-Site Scripting (XSS)
เป็นช่องโหว่ที่นำไปสู่การขโมย Session ของผู้ใช้งานเว็บแอปพลเคชัน ทำให้เกิดความเสียหายต่อผู้ใช้งานอย่างรุนแรง
.
💚 4) Insecure Direct Object References
เกิดจากการที่ผู้พัฒนาอนุญาตเผลอให้ผู้ใช้งานเข้าถึงข้อมูลที่สำคัญ เช่น ข้อมูลการเงิน เลขบัญชี ซึ่งส่งผลทำให้ข้อมูลอาจรั่วไหลได้
.
💙 5) Security Misconfiguration
ช่องโหว่ประเภทนี้คือช่องโหว่ที่เกิดจากการทำงานของระบบเว็บแอปพลิเคชัน ทั้ง Server และ Database ซึ่งมันจะทำให้แฮกเกอร์สามารถโจรกรรมข้อมูลของเรา หรือหยุดการทำงานของเว็บแอปพลิเคชันของเราได้นั่นเอง
.
💜 6) Sensitive Data Exposure
เกี่ยวกับการรั่วไหลของข้อมูลที่อยู่ใน Server และข้อมูลที่ถูกส่งผ่านอินเทอร์เน็ต เช่น เว็บไหนที่ไม่ได้ใช้ HTTPs มันก็จะทำให้แฮกเกอร์สามารถดักจับ และโจรกรรมข้อมูลของเราได้
.
❤️ 7) Missing Function Level Access Control
เกี่ยวกับสิทธิ์ในการใช้งานเว็บแอปพลิเคชัน เช่น ผู้ใช้งานสามารถเข้าถึงหน้า admin ของเพจได้ โดยที่ไม่ต้องเข้ารหัส ซึ่งมันจะทำให้ผู้ใช้ หรือผู้ที่ไม่หวังดี สามารถเปลี่ยนแปลง/ลบ ข้อมูลบนเว็บของเราได้
.
🧡 8) Cross-Site Request Forgery (CSRF)
จะเป็นช่องโหว่ที่แฮกเกอร์สามารถสั่งให้ผู้ใช้งานบนเว็บแอปของเราทำกิจกรรมบางอย่างได้ เช่น สั่งให้โอนเงิน, สั่งให้บอกข้อมูลส่วนตัว โดยที่ผู้พัฒนาหรือเจ้าของเว็บนี้ไม่ได้เป็นคนกระทำ
.
💛 9) Using Components with Known Vulnerabilities
เป็นช่องโหว่ที่เกิดจากการใช้ Framework หรือ Library ต่างๆ ในการพัฒนาเว็บส่งผลให้เว็บทำงานได้ไม่เต็มประสิทธิภาพ
.
💚 10) Unvalidated Redirects and Forwards Unvalidated
เป็นช่องโหว่ที่แฮกเกอร์ทำการ Redirect ผู้ใช้งานเว็บแอปของเราไปยังลิงค์หรือเว็บที่อันตราย เช่น หน้าเว็บของเราเป็นลิงค์เกี่ยวกับการให้ความรู้เกี่ยวกับ IT และมีคอร์สเรียนให้ผู้ที่สนใจลงเรียน แต่แฮกเกอร์ก็จะ Redirect ไปยังเว็บคล้ายๆ กัน ให้ผู้ใช้โอนเงินค่าคอร์สเรียน แต่อาจจะไม่มีคอร์สเรียนนั้นจริงๆ
.
💡 ทำไมถึงสำคัญกับ Dev แบบเราๆ กันนะ ??
.
🔎 นักพัฒนาเว็บแอปพลิเคชันทั้งหลาย ควรตระหนักรู้เกี่ยวกับช่องโหว่พวกนี้ และหาทางอุดช่องโหว่เหล่านี้เพื่อให้เว็บแอปพลิเคชันของเราปลอดภัยที่สุด และเพื่อสร้างความเชื่อมั่นให้กับผู้ใช้เมื่อเขามาเข้าใช้เว็บของเรา เมื่อผู้ใช้แฮปปี้ เราก็แฮปปี้ !! 😍
.
borntoDev - 🦖 สร้างการเรียนรู้ที่ดีสำหรับสายไอทีในทุกวัน

ตอบกลับโพส

ย้อนกลับไปยัง “ไอที คอมพิวเตอร์ โปรแกรมมิ่ง โค้ดดิ่ง แอพพลิเคชั่น ML, AI, IOT, Microcontroller, Robot”