Top 10 năm nay có 3 danh mục mới, 4 danh mục có những thay đổi về tên, phạm vi và một số hợp nhất, cụ thể:
Sean Wright - kỹ sư bảo mật ứng dụng chính tại Immersive Labs nhận định rằng: "Danh sách Top 10 cho thấy mặc dù việc bảo mật ứng dụng đã được quan tâm trong thời gian gần đây, tuy nhiên vẫn còn rất nhiều việc cần phải làm. Một nửa nguy cơ đã xuất hiện trong các Top 10 kể từ năm 2003, nhưng sau 18 năm phát triển công nghệ, thử nghiệm và học hỏi vẫn chưa đủ để khắc phục những sai sót này. Điều này có nghĩa cần thay đổi cách tiếp cận đối với việc bảo mật ứng dụng".
Wright cho biết việc áp dụng phương pháp tiếp cận kết hợp công nghệ và con người để giải quyết các lỗ hổng này sẽ cải thiện tính bảo mật của ứng dụng và hy vọng sẽ giải quyết được một số vấn đề ảnh hưởng nhất trong hai thập kỷ qua.
John Andrews, Phó Chủ tịch của Global Channel tại Invicti nói rằng, Top 10 năm 2021 của OWASP có cái nhìn bao quát hơn nhiều so với các phiên bản trước, điều này gửi đi một thông điệp rõ ràng rằng việc tìm kiếm và sửa chữa các lỗ hổng chỉ là một phần của bảo mật ứng dụng hiện đại.
Andrews cho biết, các danh mục mới như Thiết kế không an toàn, Phần mềm và Dữ liệu không toàn vẹn củng cố hai xu hướng chính của ngành: chuyển sang thực hiện kiểm tra bảo mật từ giai đoạn đầu của quá trình phát triển và gần đây là tập trung vào bảo mật chuỗi cung ứng phần mềm.
Nhưng ông cũng nói thêm rằng: "Mặt trái của cách tiếp cận mới theo hướng toàn cảnh này không giống như các phiên bản ban đầu, Top 10 của năm 2021 không còn là một danh sách kiểm tra kiểm tra lỗ hổng đơn giản, có thể hạn chế tính hữu ích của nó như một tiêu chuẩn bảo mật ứng dụng không chính thức nhưng được sử dụng rộng rãi".
Chris Wysopal chuyên gia bảo mật và đồng thời là CTO của Veracode nhận định, các vấn đề về chèn mã và cấu hình sai thường có thể được khắc phục bằng một vài dòng mã, nhưng các lỗi như thiết kế không an toàn có thể mất vài ngày hoặc vài tuần để sửa chữa. Đây là lý do tại sao điều quan trọng là phải bắt được một số sai sót ở giai đoạn thiết kế hoặc trong quá trình phát triển, khi đó chúng có thể được sửa dễ dàng hơn nhiều.
Anh Tuấn
09:00 | 06/10/2021
10:00 | 07/10/2021
11:00 | 13/09/2021
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024