OWASP Top 10 là một tài liệu tiêu chuẩn nâng cao nhận thức cho các developer và các nhà bảo mật. Hàng năm, tổ chức OWASP sẽ đi thu thập các thông tin về số lượng các loại lỗ hổng được khai thác nhiều nhất trên thế giới, và tổng hợp lại thành bộ OWASP Top 10, phần lớn là lỗ hổng web nhưng cũng có thể áp dụng cho những ứng dụng khác.
OWASP Top 10 bao gồm 10 nhóm lỗ hổng được khai thác nhiều nhất, hiện nay đã có 07 phiên bản trong đó phiên bản OWASP Top 10 năm 2021 là được cập nhật mới nhất.
Sau đây là các phiên bản cùa OWASP TOP 10 theo năm phát hành:
| OWASP TOP 10 2021 | OWASP TOP 10 2017 | OWASP TOP 10 2013 | OWASP TOP 10 2010 |
| A1 Broken Access Control A2 Cryptographic Failures A3 InjectionA4 Insecure DesignA5 Security MisconfigurationA6 Vulnerable and Outdated ComponentsA7 Identification and Authentication FailuresA8 Software and Data Integrity FailuresA9 Security Logging and Monitoring FailuresA10 Server-Side Request Forgery | A1 InjectionA2 Broken AuthenticationA3 Sensitive Data ExposureA4 XML External Entities (XXE)A5 Broken Access ControlA6 Security MisconfigurationA7 Cross-Site ScriptingA8 Insecure DeserializationA9 Using Components with Known VulnerabilitiesA10 Insufficient Logging & Monitoring | A1 InjectionA2 Broken Authentication and Session ManagementA3 Cross-Site ScriptingA4 Insecure Direct Object ReferencesA5 Security MisconfigurationA6 Sensitive Data ExposureA7 Missing Function Level Access ControlA8 Cross-Site Request ForgeryA9 Using Components with Known VulnerabilitiesA10 Unvalidated Redirects and Forwards | A1 InjectionA2 Cross-Site ScriptingA3 Broken Authentication and Session ManagementA4 Insecure Direct Object ReferencesA5 Cross-Site Request ForgeryA6 Security MisconfigurationA7 Insecure Cryptographic StorageA8 Failure to Restrict URL AccessA9 Insufficient Transport Layer ProtectionA10 Unvalidated Redirects and Forwards |
| OWASP TOP 10 2007 | OWASP TOP 10 2004 | OWASP TOP 10 2003 |
| A1 Cross Site Scripting (XSS)A2 Injection FlawsA3 Malicious File ExecutionA4 Insecure Direct Object ReferenceA5 Cross Site Request Forgery (CSRF)A6 Information Leakage and Improper Error HandlingA7 Broken Authentication and Session ManagementA8 Insecure Cryptographic StorageA9 Insecure CommunicationsA10 Failure to Restrict URL Access | A1 Unvalidated InputA2 Broken Access ControlA3 Broken Authentication and Session ManagementA4 Cross Site ScriptingA5 Buffer OverflowA6 Injection FlawsA7 Improper Error HandlingA8 Insecure StorageA9 Application Denial of ServiceA10 Insecure Configuration Management | A1 Unvalidated InputA2 Broken Access ControlA3 Broken Authentication and Session ManagementA4 Cross Site ScriptingA5 Buffer OverflowA6 Injection FlawsA7 Improper Error HandlingA8 Insecure StorageA9 Application Denial of ServiceA10 Insecure Configuration Management |
Như ta đã thấy, các nhóm lỗ hổng sẽ thay đổi vị trí trên bảng xếp hạng theo từng năm, ta có thể nhận ra xu hướng tấn công web theo thời gian dựa vào sự thay đổi này. Trong đó, có những nhóm lỗ hổng được thêm mới, cũng có những nhóm lỗ hổng bị xoá bỏ, có những nhóm lỗ hổng được gộp với nhau, và có những nhóm lỗ hổng luôn luôn đứng trong bảng xếp hạng ví dụ như Injection hoặc Security Misconfiguration.
Việc thay đổi các nhóm lỗ hổng trong OWASP top 10 luôn được tổ chức OWASP giải thích chi tiết. Sau đây là sự thay đổi giữa OWASP top 10 2021 và OWASP top 10 2017:
Nhat Truong Blog 