หลังจากรอคอยมานานแสนนาน......(ไม่ใช่แล้ว) ที่ล้ออันนี่เนื่องมาจากว่ากำหนดการออกเอกสาร "10 อันดับความเสี่ยงสูงสุดของเว็บแอพพลิเคชัน" ซึ่งเกิดจากการรวบรวมช่องโหว่ที่ได้มีการขอข้อมูลจากบริษัทต่าง ๆ นั้นจะต้องออกภายในปี 2016 แต่โดนโรคเลื่อนออกมา เป็นปี 2017 นะครับ ที่ออกมาตอนนี้ก็ยังไม่ใช่ version เต็มเพราะฉะนั้นรายละเอียดอาจจะมีเปลี่ยนเล็กน้อย แต่เรื่องอันดับนี่ไม่น่าจะมีเปลี่ยนแล้วแน่นอน
สำหรับ 10 อันดับช่องโหว่ที่หวยออกในครั้งนี้ได้แก่
สิ่งที่เปลี่ยนไปอย่างชัดเจนคือ มีการรวม A4 กับ A7 ของปี 2013 ไปเป็น A4 ของปี 2017 ซึ่งความเห็นส่วนตัวนั้นผมเห็นด้วยเพราะว่าในมุมของความเสี่ยงนั้นไปในทางเดียวกัน โดยเปลี่ยนไปใช้ชื่อเก่าคือ Broken Access Control นะครับ
ทีนี้สิ่งที่เพิ่มขึ้นมาใหม่มี 2 อย่างคือ A7 ตัวใหม่ Insufficient Attack Protection ซึ่งตัว A7 ใหม่นี้จะพูดถึงในส่วนของการป้องกันที่ไม่เพียงพอ รวมไปถึงการตอบสนองต่อการโจมตี และ Virtual Patching ซึ่งเป็นการอุดรูรั่วชั่วคราวกันการโจมตีที่กำลังเกิดขึ้นนะครับ
ตัวที่ 2 A10 Underprotected APIs ซึ่งมาเบียดเจ้าเก่า A10 เจ้าเก่า Open Redirect ให้ตกอันดับไปโดยมีตัวใหม่นี้มาแทนนะครับ ซึ่งตัวนี้เหมือนเป็นการขยายขอบเขตไปถึงตัว API ซึ่งบางทีเรามีการป้องกันในส่วนของตัวเว็บเป็นอย่างดีแต่ลืมป้องกันในส่วนของ API ไปก็อาจจะเป็นปัญหาใหญ่ได้นะครับ
สำหรับรายละเอียดของแต่ละตัวโปรดตามไปอ่าน Link ข้างล่างนี้ไปเลย