OWASP

---

Top 10 уязвимостей Web приложений по версии OWASP 2021 выглядят так:

1. Broken Access Control - некорректно настроенный доступ к директориям/функциям сайта/web приложения
2. Cryptographic failures - некоректно настроенное шифрование и доступ к конфиденциальной информации
3. Injection - различного рода инъекции (sql, command, js) возможные из-за некорректной проверки передаваемых данных.
4. Insecure design - ошибки проектирования приложения приводящие к обходу авторизации или получении идентификационных данных
5. Security Misconfiguration - некорректная конфигурация параметров влияющих на безопасность
6. Vulnerable and outdate components - тут все просто. Старые версии = незакрытые уязвимости. Привет exploit-db
7. Identification and Authentication failures - дефекты в механизмах идентификации и управления сессиями
8. Software and data integrity failures - отсутствие проверки целостности файлов позволит загрузить вредоносный код под видом легитимного.
9. Security logging and monitoring failures - Недостаточный мониторинг может привести к распространению атаки и увеличению всякого рода рисков
10. Server site request forgery (SSRF)

—

https://owasp.org/Top10/