OWASP – сообщество, систематизирующее знания о безопасности web-приложений, угрозах и методах противодействия им.
Помимо находящихся на слуху типов атак, таких как инъекции, XSS и уязвимостей механизма аутентификации, OWASP в список наиболее критичных недостатков web-приложений включает следующие.
Отсутствие журналирования и мониторинга
Зачастую критичные события безопасности не регистрируются приложениями либо не просматриваются. Это подтверждается фактом обнаружения индикаторов компрометации приложения спустя несколько месяцев после инцидента. Web-приложениям необходим дополнительный мониторинг событий безопасности и их автоматизированный анализ в реальном времени.
Использование уязвимых модулей
Ни одно приложение не обходится без внешних библиотек, в том числе Open Source. Такие компоненты используют сотни тысяч web-приложений по всему миру. Злоумышленники отслеживают появление уязвимостей в таких компонентах и запускают массовые атаки спустя несколько дней после публикации информации.
Только непрерывный мониторинг уязвимостей используемых модулей, их регулярная инвентаризация и контроль изменений позволят противостоять данной угрозе.