Recentemente, OWASP ha introdotto due nuove serie di categorie dal 2017, ad aprile - al suo OWASP Top 10 :
- Protezione da attacchi insufficiente
- API non protette
Comprendo, le API non protette hanno un rischio immediato che implica la dimostrazione di un'enorme superficie di attacco insieme a possibilità di perdite di dati, tuttavia, non riesco a capire come Protezione da attacchi insufficienti sia una minaccia o un rischio per una categoria?
Migliorando la mia attenzione, vorrei riassumere citato da scamdemy :
Insufficient Attack Protection refers to the inability to detect, prevent and respond to various kinds of attacks against the application as a whole. This – due to the large number of unaudited third-party components that may contain critical vulnerabilities – necessitates the use of generic security tools such as intrusion detection systems (IDS), and web application firewalls (WAF) that can identify an ongoing attack such as SQL injection. It focuses on the consequences instead of the root causes of the weaknesses.
Questo implica l'avere la configurazione WAF in connessione diretta per avere una grande superficie di attacco senza la presenza di Firewall? Se l'assenza di un componente è una necessità di categorizzazione immediata su OWASP Top 10. Non è sicuro, in che modo gli altri non sono interessati dallo stesso?
es. Non avendo WAF, alcuni livelli di Injection (s) saranno evidenti dato che il loro è un difetto nel codice dell'applicazione.
Presumo, questa è una mossa per il team di controllo della sicurezza per commercializzare i loro prodotti Firewall mantenendo OWASP Top 10 come riferimento? O era davvero necessario tecnicamente?