Non c'è una top 1000, perché in realtà non sarebbe rilevante per la maggior parte delle persone. I 10 migliori OWASP vengono scelti perché sono applicabili nella maggior parte delle applicazioni Web e potrebbero essere sfruttati se non li si protegge.
Oltre a ciò, se stai partendo da una posizione in cui hai già applicazioni e infrastrutture:
- Comprendi le tue risorse - hai un elenco di tutte le tue applicazioni, piattaforme e versioni
Questo può essere molto impegnativo in una grande organizzazione, ma senza di essa, in che modo saprai a cosa sei vulnerabile?
- Fai riferimento a questo elenco con il database CVE per comprendere i tipi e il numero di vulnerabilità che si applicano alle tue risorse
Il database CVE raggiunge il livello di versioni specifiche di applicazioni e piattaforme in modo da ottenere una vista molto personalizzata delle vulnerabilità di cui dovresti essere a conoscenza. Fornisce anche una valutazione (da 1 a 10) e una descrizione di come la vulenabilità può essere sfruttata (es. Locale, remoto ecc.)
- Identifica i tuoi agenti per le minacce
Potrebbero essere attivisti ambientali, terroristi, concorrenti, governi stranieri, studenti annoiati, bande criminali organizzate ecc.
- Valutare l'impatto e la verosimiglianza in base ai passaggi precedenti e stabilire la priorità della correzione
Non puoi mai proteggere da tutti i possibili attacchi, quindi questo passaggio è essenziale per aiutarti a decidere dove il tuo budget limitato e il tempo avranno il miglior rendimento. Se non riesci ad articolare il valore di un progetto di riparazione sul tabellone, potresti trovare difficoltà ad ottenere il buy-in e il budget.
Una posizione migliore è quella di costruire un framework di governance della sicurezza che aiuti a definire e assicurare la sicurezza nel ciclo di vita dello sviluppo, quindi questo ti aiuterà a costruire un'architettura e un piano di test per aiutare a ridurre la probabilità che le vulnerabilità entrino nel codice - ma questa è una discussione molto più lunga, e probabilmente ti vedremo usare i consulenti: -)
tl; dr - OWASP Top 10 ti offrirà la migliore vista iniziale su ciò che devi fare per proteggerti. Successivamente, controllare il database CVE per le vulnerabilità specifiche del proprio codice. Migliorare le tue procedure / framework / SDLC ti proteggerà meglio a lungo termine. Proattivo, piuttosto che reattivo.