Заявление форма 1п: Заявление о выдаче (замене) паспорта гражданина Российской Федерации (форма №1П)

00000 п. 00000

00000 н. 00000 00000 п. 00000 00000 п. 0000091735 00000 п. 0000092001 00000 п. 0000092210 00000 п. 0000092483 00000 п. 0000092699 00000 н. 0000093044 00000 п. 0000093310 00000 п. 0000093519 00000 п. 0000093792 00000 п. 0000094008 00000 п. 0000094316 00000 п. 0000094582 00000 п. 0000094791 00000 п. 0000095064 00000 п. 0000095280 00000 п. 0000095495 00000 п. 0000095692 00000 п. 0000095907 00000 п. 0000096126 00000 п. 0000096345 00000 п. 0000096561 00000 п. 0000096778 00000 п. 0000096995 00000 н. 0000097211 00000 п. 0000097426 00000 п. 0000097637 00000 п. 0000097852 00000 п. 0000098063 00000 п. 0000098278 00000 н. 0000098483 00000 п. 0000098700 00000 п. 0000098913 00000 п. 0000099124 00000 п. 0000099333 00000 п. 0000099544 00000 н. 0000099761 00000 п. 0000099964 00000 н. 0000100168 00000 н. 0000100372 00000 н. 0000100591 00000 н. 0000100804 00000 н. 0000101018 00000 н. 0000101235 00000 н. 0000101451 00000 н. 0000101663 00000 н. 0000101874 00000 н. 0000102079 00000 п. 0000102295 00000 н. 0000102500 00000 н. 0000102714 00000 н. 0000102929 00000 н. 0000103147 00000 п. 0000103239 00000 н. 0000105031 00000 н. 0000106497 00000 н. 0000107707 00000 н. 0000109186 00000 п. 0000110667 00000 н. 0000112220 00000 н. 0000113799 00000 н. 0000115228 00000 п. 0000118840 00000 н. 0000183069 00000 н. 0000183317 00000 н. 0000183369 00000 н. 0000183531 00000 н. 0000234028 00000 н. 0000234285 00000 н. 0000234337 00000 н. 0000234506 00000 н. 0000276523 00000 н. 0000276785 00000 н. 0000276809 00000 н. 0000276985 00000 н. 0000334435 00000 п. 0000334688 00000 н. 0000334740 00000 н. 0000334907 00000 н. 0000371001 00000 н. 0000371274 00000 н. 0000371298 00000 н. 0000371481 00000 н. 0000371729 00000 н. 0000372138 00000 н. 0000372209 00000 н. 0000372372 00000 н. 0000372401 00000 н. 0000372838 00000 н. 0000372971 00000 н. 0000373228 00000 н. 0000373608 00000 н. 0000373679 00000 н. 0000373849 00000 н. 0000373878 00000 н. 0000374344 00000 н. 0000374484 00000 н. 0000387683 00000 н. 0000387919 00000 п. 0000387953 00000 н. 0000388024 00000 н. 0000388191 00000 п. 0000388220 00000 н. 0000388524 00000 н. 0000388661 00000 п. 0000388914 00000 н. 0000389251 00000 н. 0000389322 00000 н. 0000389490 00000 н. 0000389519 00000 п. 0000389920 00000 н. 00003

00000 н. 0000402219 00000 н. 0000402455 00000 н. 0000402488 00000 н. 0000402559 00000 н. 0000402723 00000 н. 0000402752 00000 н. 0000403047 00000 н. 0000403181 00000 п. 0000447398 00000 н. 0000447659 00000 н. 0000447866 00000 н. 0000447938 00000 п. 0000448112 00000 н. 0000448141 00000 п. 0000448575 00000 н. 0000014383 00000 п. 0000008160 00000 н. трейлер ] >> startxref 0 %% EOF 5747 0 объект > поток «i, W! 6Na QS: Y +` X`6 ~ Wе,] ^ JΠWk> Q {iHiteXo6’JL = s # Cix1NP0 /

OWASP Десять основных рисков безопасности веб-приложений

OWASP Top 10 — это стандартная осведомленность документ для разработчиков и безопасности веб-приложений.Он представляет собой широкий консенсус в отношении наиболее серьезных угроз безопасности веб-приложений.

Признан разработчиками во всем мире как первый шаг к более безопасному программированию.

Компаниям следует принять этот документ и начать процесс обеспечения того, чтобы их веб-приложения минимизировали эти риски. Использование OWASP Top 10 — это, пожалуй, самый эффективный первый шаг к изменению культуры разработки программного обеспечения в вашей организации на культуру создания более безопасного кода.

Топ-10 рисков безопасности веб-приложений

Появились три новые категории, четыре категории с изменениями наименования и объема работ, а также некоторая консолидация в Топ-10 на 2021 год.

• A01: 2021-Broken Access Control перемещается вверх с пятой позиции; 94% приложений были протестированы на наличие нарушения контроля доступа в той или иной форме. 34 перечисления общих уязвимостей (CWE), сопоставленные с нарушенным контролем доступа, чаще встречаются в приложениях, чем любая другая категория.
• A02: 2021-Cryptographic Failures перемещается на одну позицию вверх, на № 2, ранее известную как раскрытие конфиденциальных данных, что было скорее симптомом, чем основной причиной. Особое внимание здесь уделяется сбоям, связанным с криптографией, которые часто приводят к раскрытию конфиденциальных данных или компрометации системы.
• A03: 2021-Injection сдвигается в третью позицию. 94% приложений были протестированы на наличие инъекций в той или иной форме, а 33 CWE, отнесенные к этой категории, занимают второе место по частоте встречаемости в приложениях.Межсайтовые сценарии теперь являются частью этой категории в этом выпуске.
• A04: 2021-Небезопасный дизайн — это новая категория на 2021 год, в которой основное внимание уделяется рискам, связанным с недостатками конструкции. Если мы действительно хотим «уйти влево» как отрасль, это требует более широкого использования моделирования угроз, безопасных шаблонов и принципов проектирования, а также эталонных архитектур.
• A05: 2021-Неверная конфигурация безопасности перемещается с № 6 в предыдущей редакции; 90% приложений были протестированы на предмет неправильной конфигурации.Неудивительно, что благодаря большему количеству переходов на программное обеспечение с широкими возможностями настройки, эта категория продвинулась вверх. Бывшая категория для внешних объектов XML (XXE) теперь является частью этой категории.
• A06: 2021-Уязвимые и устаревшие компоненты ранее назывался «Использование компонентов с известными уязвимостями» и занимал 2-е место в рейтинге 10 крупнейших сообществ, но также имел достаточно данных, чтобы попасть в топ-10 по результатам анализа данных. Эта категория поднялась с 9-го места в 2017 году и является известной проблемой, которую мы пытаемся проверить и оценить риск.Это единственная категория, в которой общие уязвимости и воздействия (CVE) не сопоставлены с включенными CWE, поэтому в их баллы учитываются эксплойт по умолчанию и вес воздействия 5,0.
• A07: 2021-Идентификация и сбои аутентификации ранее был сломанной аутентификацией и постепенно снижается со второй позиции, и теперь включает CWE, которые больше связаны с ошибками идентификации. Эта категория по-прежнему является неотъемлемой частью Топ-10, но, похоже, помогает повышение доступности стандартизованных фреймворков.
• A08: 2021-Ошибки целостности программного обеспечения и данных — это новая категория на 2021 год, в которой основное внимание уделяется предположениям, связанным с обновлениями программного обеспечения, критически важными данными и конвейерами CI / CD без проверки целостности. Одно из наиболее взвешенных воздействий от данных Common Vulnerability and Exposures / Common Vulnerability Scoring System (CVE / CVSS), сопоставленных с 10 CWE в этой категории. Небезопасная десериализация с 2017 года теперь является частью этой более широкой категории.
• A09: 2021-Сбои регистрации и мониторинга безопасности. ранее был «Недостаточное ведение журнала и мониторинг» и добавлен из отраслевого обзора (№3), поднявшись с №10 ранее.Эта категория расширена за счет включения большего количества типов сбоев, ее сложно проверить, и она плохо представлена ​​в данных CVE / CVSS. Однако сбои в этой категории могут напрямую повлиять на видимость, оповещение об инцидентах и ​​криминалистику.
• A10: 2021-Подделка запросов на стороне сервера добавлен из опроса сообщества Top 10 (№1). Данные показывают относительно низкий уровень заболеваемости с охватом тестирования выше среднего, а также с рейтингами выше среднего для возможностей использования и воздействия.Эта категория представляет собой сценарий, в котором члены сообщества безопасности говорят нам, что это важно, хотя в настоящее время это не отражено в данных.

Были предприняты усилия по переводу OWASP Top 10 — 2017 на множество языков. Если вы заинтересованы в помощи, свяжитесь с членами команды, чтобы узнать, на каком языке вы хотите внести свой вклад, или если вы не видите свой язык перечисленных (ни здесь, ни на github), напишите [электронная почта защищена], чтобы сообщить нам, что вы хотите помочь, и мы сформируем группу волонтеров для вашего языка.Мы собрали этот README.TRANSLATIONS с некоторыми подсказками, которые помогут вам с переводом.

2017 Выполнено переводов:

• Китайский: OWASP Top 10-2017 — 中文 Version （PDF)
  
  • 项目 组长 ： 王 颉 （[электронная почта защищена]）
  • 翻译 人员 ： 陈亮 、 王厚 奎 文君 、 王晓飞 、 吴 楠 徐瑞 、 天泽 、 杨 璐 、 钟 文 （排名 不分 先后 ， 排列）
  • 审查 人员 ： Rip 、 包 悦 忠 、 李旭勤 杨 天 识 、 张家 银 （排名 不分 先后 ， 按 姓氏 拼音 排列）
  • 汇编 人员 ： 赵学文
• Французский: OWASP Top 10 2017 на французском языке (Git / Markdown)
• Немецкий: OWASP Top 10 2017 на немецком языке V1.0 (Pdf) (веб-страницы)
  составлено Кристиан Дрезен, Алексиос Факос, Луиза Фрик, Торстен Гиглер, Тобиас Глемсер, доктор Франк Гут, доктор Инго Ханке, доктор Томас Херцог, доктор Маркус Кегель, Себастьян Клиппер, Йенс Либау, Ральф Райнхардт, Мартин Ридель, Михаэль Шефер
• Еврейский: OWASP Top 10-2017 — Иврит (PDF) (PPTX)
  переведено Эялем Эстрином (Twitter: @eyalestrin) и Омером Леви Хеврони (Twitter: @omerlh).
• Японский: OWASP Top 10-2017 — Версия (PDF)
  переведено и отрецензировано Акицугу ИТО, Альбертом Се, Чи ТАЗАВА, Хидеко ИГАРАСИ, Хироши ТОКУМАРУ, Наото КАЦУМИ, Риотаро ОКАДА, Робертом ДРАСЕА, Сатору УЭНО, Шоичи НАКАТА, Таканори НАКАНОВАТАРИ, Таканори Андо, Томохиро САНАЭ.
• Корейский: OWASP Top 10-2017 — 한글 (PDF) (PPTX)
  번역 프로젝트 관리 및 감수: 박형근 (Хёнкен Парк) / 감수 (ㄱㄴㄷ 순): 강용석 (ЮнСок Кан), 박창렴 (Пак Чангрюм), 조민재 (Джонни Чо) / 편집 및 감수: 신상원 (Шин Сангвон) / 번역 (ㄱㄴㄷ 순): 김영하 (Юнха Ким), 박상영 (Санъён Пак), 이민욱 (Минук Ли), 정초 아 (ЧОНЧОА), 조광렬 (ЧО КВАНГ) ЮЛЛ), 최한동 (Хандонг Чой)
• Португальский: OWASP Top 10 2017 — португальский (PDF) (ODP)
  переведено Анабелой Ногейра, Карлосом Серрау, Гийомом Лопесом, Жоау Пинту, Жоао Самуку, Кемболле А.Оливейра, Пауло А. Силва, Рикардо Моурато, Руи Силва, Серхио Домингес, Тьяго Рейс, Витор Магано.
• Русский: OWASP Top 10-2017 — на русском языке (PDF)
  переведено и отрецензировано JZDLin (@JZDLin), Алексеем Скачковым (@ hamster4n), Иваном Кочуркиным (@KvanTTT) и Тарасом Иващенко
• Испанский: OWASP Top 10-2017 — Español (PDF)
  

Исторический:

Команды перевода кандидатов на выпуск 2017 г .:

Выполнено переводов за 2013 год:

• Арабский: OWASP Top 10 2013 — арабский PDF
  Переводил: Моханнад Шахат: [электронная почта защищена], Фахад: @SecurityArk, Абдулла Альсахил: [защищена электронная почта], Халифа Альшамси: [электронная почта защищена] и Сабри (КОРОЛЬ САБРИ): [адрес электронной почты защищен], Мохаммед Альдоссари: [адрес электронной почты защищен]
• китайский, 2013 г. ： 中文 Version 2013 OWASP Top 10 2013 — Chinese (PDF).
  项目 组长 ： Rip 、 王 颉 ， 参与 人员 ： 陈亮 、 顾庆林 、 胡晓斌 、 李建 文君 、 杨 天 识 、 张 在 峰
• Чехия 2013: OWASP Top 10 2013 — Чешский (PDF) OWASP Top 10 2013 — Чешский (PPTX)
  CSIRT.CZ — CZ.NIC, z.s.p.o. (реестр домена .cz): Петр Заводский: [адрес электронной почты защищен], Вацлав Климс, Зузана Дурацинска, Михал Прокоп, Эдвард Рейтар, Павел Баста
• French 2013: OWASP Top 10 2013 — French PDF
  Людовик Пети: [защита электронной почты], Себастьян Джиория: [защита электронной почты], Эрван Абгралл: [защита электронной почты], Бенджамин Авет: [защита электронной почты], Джоселин Обер: [защита электронной почты] ], Дэмиен Азамбур: [защита электронной почты], Алин Бартелеми: [защита электронной почты], Мулай Абдсамад Белгити: [защита электронной почты], Грегори Блан: [защита электронной почты], Клеман Капель: [защита электронной почты], Этьен Капгра: [защита электронной почты] , Жюльен Кайссоль: [защита электронной почты], Антонио Фонтес: [защита электронной почты], Эли де Травьезо: [защита электронной почты], Николя Грегуар: [защита электронной почты], Валери Лассер: [защита электронной почты], Антуан Лаюро: [защита электронной почты], Гийом Лопес: [защита электронной почты], Жиль Морен: [защита электронной почты], Кристоф Пекар: [защита электронной почты], Оливье Перре: [защита электронной почты], Мишель Пруне: [защита электронной почты], Оливье Револла: [защита электронной почты], Эймерик Табурин : [адрес электронной почты]
• German 2013: OWASP Top 10 2013 — German PDF
  [email protected], который принадлежит Фрэнку Дёлитцшеру, Торстену Гиглеру, Тобиасу Глемзеру, Др.Инго Ханке, Томас Херцог, Кай Джендриан, Ральф Рейнхардт, Михаэль Шефер
• Еврейский 2013: OWASP Top 10 2013 — Иврит PDF
  Перевод: Ор Кац, Эяль Эстрин, Оран Ицхак, Дан Пелед, Шай Сиван.
• итальянский 2013: OWASP Top 10 2013 — итальянский PDF
  Перевод: Микеле Сапорито: [защита электронной почты], Паоло Перего: [защита электронной почты], Маттео Меуччи: [защита электронной почты], Сара Галло: [защита электронной почты], Алессандро Гвидо: [защита электронной почты], Мирко Гвидо Специ: [защита электронной почты], Джузеппе Ди Чезаре: [защита электронной почты], Пако Скьяффелла: [защита электронной почты], Джанлука Грассо: [защита электронной почты], Алессио Д’Оспина: [защита электронной почты], Лоредана Манчини: [защита электронной почты], Алессио Петракка: [защита электронной почты], Джузеппе Тротта: [защита электронной почты], Симоне Онофри: [защита электронной почты], Франческо Коссу: [защита электронной почты], Марко Ланчини: [защита электронной почты], Стефано Занеро: [защита электронной почты], Джованни Шмид: [защита электронной почты], Игорь Фалькомата: [защита электронной почты]
• Японский, 2013 г .: OWASP Top 10 2013 — Японский PDF
  Перевод: Чиа-Лунг Се: ryusuke.tw (at) gmail.com, обзор: Хироши Токумару, Таканори Накановатари
• Korean 2013: OWASP Top 10 2013 — Korean PDF (이름 가나다순)
  김병효: [защита электронной почты], 김지원: [защита электронной почты], 김효근: [защита электронной почты], 박정훈: [защита электронной почты], 성 영모: [защита электронной почты] ], 성 윤기: [защита электронной почты], 송보영: [защита электронной почты], 송창기: [защита электронной почты], 유정호: [защита электронной почты], 장 상민: [защита электронной почты], 전영재: [защита электронной почты], 정가람: [электронная почта] protected], 정홍순: [адрес электронной почты защищен], 조민재: [адрес электронной почты защищен], 허성무: [адрес электронной почты защищен]
• Бразильский португальский 2013: OWASP Top 10 2013 — Бразильский португальский PDF
  Перевод: Карлос Серрао, Марсио Махри, Окаро Евангелиста де Торрес, Карло Марсело Ревреду да Силва, Луис Виейра, Суэли Рамальо де Меллу, Хорхе Олимпия, Даниэль Кинтисоно, Мауро де Паула Ассумпсао, Марсело Лопес, Кайо Диас, Родриго Гуларте
• Испанский 2013: OWASP Top 10 2013 — испанский PDF
  Херардо Канедо: [защита электронной почты], Хорхе Корреа: [защита электронной почты], Фабьен Спичигер: [защита электронной почты], Альберто Хилл: [защита электронной почты], Джонатан Стэнли: [защита электронной почты] ], Максимилиано Алонсо: [защита электронной почты], Матео Мартинес: [защита электронной почты], Дэвид Монтеро: [защита электронной почты], Родриго Мартинес: [защита электронной почты], Гильермо Скрилек: [защита электронной почты], Фелипе Зипитрия: [защита электронной почты], Фабьен Спичигер: [защита электронной почты], Рафаэль Гил: [защита электронной почты], Кристиан Лопес: [защита электронной почты], Джонатан Фернандес [защита электронной почты], Паола Родригес: [защита электронной почты], Гектор Агирре: [защита электронной почты], Роджер Кархуатокто: [защита электронной почты], Хуан Карлос Кальдерон: [защита электронной почты], Марк Риверо Лопес: [защита электронной почты], Карлос Альендес: [защита электронной почты], [защита электронной почты]: [защита электронной почты], Мануэль Рамирес: [защита электронной почты], Марко Миранда: [адрес электронной почты защищен], Маурисио Д.Папалео Маяда: [защита электронной почты], Фелипе Санчес: [защита электронной почты], Хуан Мануэль Бахамонде: [защита электронной почты], Адриа Массанет: [защита электронной почты], Хорхе Корреа: [защита электронной почты], Рамиро Пульгар: [защита электронной почты], немецкий язык Алонсо Суарес Герреро: [защита электронной почты], Хосе А. Гуаш: [защита электронной почты], Эдгар Салазар: [защита электронной почты]
• Украинский 2013: OWASP Top 10 2013 — Украинский PDF
  Катерина Овеченко, Юрий Федько, Глеб Пахаренко, Евгения Маскаева, Сергей Шабашкевич, Богдан Середницкий

2010 Выполнено переводов:

• Корейский 2010: 10 лучших по версии OWASP 2010 — Корейский PDF
  Парк Хёнкен, ([электронная почта защищена])
• Испанский 2010: 10 лучших по версии OWASP 2010 — испанский PDF
  Даниэль Кабесас Молина, Эдгар Санчес, Хуан Карлос Кальдерон, Хосе Антонио Гуаш, Пауло Коронадо, Родриго Маркос, Висенте Агилера
• French 2010: OWASP Top 10 2010 — French PDF
  [защита электронной почты], [защита электронной почты], [защита электронной почты], [защита электронной почты], [защита электронной почты], [защита электронной почты], [защита электронной почты]
• Немецкий 2010: 10 лучших OWASP 2010 — Немецкий PDF
  [защита электронной почты], то есть Франк Дёлитцшер, Тобиас Глемсер, Др.Инго Ханке, Кай Джендриан, Ральф Рейнхардт, Михаэль Шефер
• Индонезийский 2010: OWASP Top 10 2010 — Индонезийский PDF
  Теди Хериянто (координатор), Латифа Ариф, Три А Сундара, Заки Ахмад
• итальянский 2010: 10 лучших по версии OWASP 2010 — итальянский PDF
  Симоне Онофри, Паоло Перего, Массимо Бьяджотти, Эдоардо Вискози, Сальваторе Фиорилло, Роберто Баттистони, Лоредана Манчини, Мишель Неста, Пако Скьяффелла, Лусилла Дикино Скиниа, 90, Хераркома, 90
• Японский 2010: 10 лучших по OWASP 2010 — Японский PDF
  [адрес электронной почты защищен], Dr.Масаюки Хисада, Ёсимаса Кавамото, Рюсукэ Сакамото, Кейсуке Секи, Син Умемото, Такаши Арима
• Китайский 2010: 10 лучших по OWASP 2010 — Китайский PDF
  感谢 以下 为 中文 大本 做出 贡献 的 翻译 人员 和 审核 人员: Rip Torn, 钟卫林, 高 雯, 王 颉, 于 振东
• Вьетнамский 2010: 10 лучших по OWASP 2010 — Вьетнамский PDF
  Переводчик Сесил Су — Переводческая группа: Данг Хоанг Ву, Нгуен Ба Тьен, Нгуен Тан Хунг, Луонг Дье Фуонг, Хюнь Тхиен Там
• Hebrew 2010: OWASP Top 10 Hebrew Project — OWASP Top 10 2010 — Hebrew PDF.
  Ведет Ор Кац, см. Список авторов на странице перевода.

Голы

Для сбора наиболее полного набора данных, относящихся к выявленным уязвимостям приложений на сегодняшний день, чтобы обеспечить анализ для первой десятки, а также другие будущие исследования. Эти данные должны поступать из различных источников; поставщики средств безопасности и консультации, вознаграждения за ошибки, а также вклад компании / организации. Данные будут нормализованы, чтобы обеспечить возможность сравнения уровней между инструментами, поддерживаемыми человеком, и инструментами, поддерживаемыми людьми.

Аналитическая инфраструктура

Запланируйте использование облачной инфраструктуры OWASP Azure для сбора, анализа и хранения предоставленных данных.

Взносы

Мы планируем поддерживать как известные, так и псевдоанонимные публикации. Предпочтительно, чтобы вклады были известны; это очень помогает с проверкой / качеством / достоверностью представленных данных. Если отправитель предпочитает, чтобы их данные хранились анонимно и даже доходит до анонимной отправки данных, то их следует классифицировать как «непроверенные», а не как «непроверенные».«Проверено».

Подтвержденный вклад данных

Сценарий 1: Заявитель известен и согласился на то, чтобы его указали в качестве участвующей стороны.
Сценарий 2: Заявитель известен, но не хотел бы быть публично идентифицированным.
Сценарий 3. Отправитель известен, но не хочет, чтобы он регистрировался в наборе данных.

Вклад непроверенных данных

Сценарий 4: Заявитель анонимен. (Стоит ли поддерживать?)

Анализ данных будет проводиться с тщательным различием, когда непроверенные данные являются частью проанализированного набора данных.

Процесс взноса

Есть несколько способов передачи данных:

1. Отправьте файл CSV / Excel с наборами данных по адресу [электронная почта защищена]
2. Загрузите файл CSV / Excel в «папку для материалов» (скоро)

Примеры шаблонов можно найти в GitHub: https://github.com/OWASP/Top10/tree/master/2021/Data

Срок вклада

Мы планируем принимать вклады в новую десятку лучших с мая по 30 ноября 2020 года для данных за период с 2017 года по настоящее время.

Структура данных

Следующие элементы данных: обязательные, или необязательные.
Чем больше предоставлено информации, тем точнее может быть наш анализ.
Как минимум нам нужен период времени, общее количество приложений, протестированных в наборе данных, а также список CWE и количество приложений, содержащих этот CWE.
Если возможно, предоставьте дополнительные метаданные, потому что это очень поможет нам лучше понять текущее состояние тестирования и уязвимостей.

Метаданные

• Имя автора (организация или аноним)
  
• Контактный адрес электронной почты участника
  
• Период времени (2019, 2018, 2017)
  
• Количество протестированных приложений
  
• Тип испытания (TaH, HaT, Инструменты)
  
• Основной язык (код)
  
• Географический регион (глобальный, Северная Америка, ЕС, Азия, другие)
  
• Первичная отрасль (множественная, финансовая, промышленная, программное обеспечение, ??)
  
• Содержат ли данные повторные тесты или одни и те же приложения несколько раз (T / F)
  

Данные CWE

• Список CWE с указанием количества приложений, содержащих этот CWE
  

Если возможно, укажите в данных основные CWE, а не категории CWE.
Это поможет в анализе, любая нормализация / агрегирование, выполненная как часть этого анализа, будет хорошо документирована.

Примечание:

Если у участника есть два типа наборов данных, один из источников HaT и один из источников TaH, то рекомендуется представить их как два отдельных набора данных.
HaT = Инструменты с участием человека (более высокий объем / частота, в основном из инструментов)
TaH = Человек с помощью инструмента (меньший объем / частота, в основном по результатам испытаний на людях)

Обзор

Как и в случае с первой десяткой 2017 года, мы планируем провести опрос, чтобы выявить до двух категорий из первой десятки, которые, по мнению сообщества, являются важными, но еще не отражены в данных.Мы планируем провести опрос в мае или июне 2020 года и будем использовать формы Google так же, как и в прошлый раз. CWE в опросе будут основаны на текущих тенденциях, CWE, которые не входят в первую десятку по данным, и из других потенциальных источников.

Процесс

На высоком уровне мы планируем выполнить уровень нормализации данных; однако мы сохраним версию необработанных данных для будущего анализа. Мы проанализируем распределение наборов данных CWE и, возможно, переклассифицируем некоторые CWE, чтобы объединить их в более крупные сегменты.Мы тщательно документируем все предпринятые действия по нормализации, чтобы было понятно, что было сделано.

Мы планируем рассчитать вероятность, следуя модели, которую мы разработали в 2017 году, чтобы определить частоту встречаемости, а не частоту, чтобы оценить, насколько вероятно, что данное приложение может содержать хотя бы один экземпляр CWE. Это означает, что мы ищем не частоту (количество результатов) в приложении, а количество приложений, в которых был один или несколько экземпляров CWE. Мы можем рассчитать уровень заболеваемости на основе общего количества приложений, протестированных в наборе данных, по сравнению с тем, в скольких приложениях был обнаружен каждый CWE.

Кроме того, мы будем разрабатывать базовые баллы CWSS для 20-30 лучших CWE и включать потенциальное влияние во взвешивание 10 лучших.

Также я хотел бы изучить дополнительные идеи, которые можно почерпнуть из предоставленного набора данных, чтобы увидеть, что еще можно узнать, что может быть полезно для сообществ разработчиков и разработчиков.

Что входит в топ-10 OWASP и как он работает?

В OWASP Top 10 2017 входят:

1.Инъекция . Внедрение кода происходит, когда злоумышленник отправляет недопустимые данные в веб-приложение. Цель злоумышленника — заставить приложение делать то, для чего оно не предназначено.

• Пример: SQL-инъекция — одна из наиболее распространенных ошибок инъекций, обнаруживаемых в приложениях. Недостатки внедрения SQL могут быть вызваны использованием ненадежных данных приложением при создании уязвимого вызова SQL.
• Решение: Обзор исходного кода — лучший способ предотвратить атаки с использованием инъекций.Включение инструментов SAST и DAST в ваш конвейер CI / CD помогает выявить только что появившиеся недостатки внедрения. Это позволяет выявить и смягчить их до начала производства [i].

2. Нарушение аутентификации. Некоторые приложения часто неправильно реализуются. В частности, функции, связанные с аутентификацией и управлением сеансами, если они реализованы неправильно, позволяют злоумышленникам скомпрометировать пароли, ключевые слова и сеансы.Это может привести к краже личных данных пользователя и других сведений.

• Пример: Веб-приложение позволяет использовать слабые или хорошо известные пароли (например, «пароль1»).
• Решение: Многофакторная проверка подлинности может помочь снизить риск взлома учетных записей. Автоматический статический анализ очень полезен при обнаружении таких недостатков, в то время как ручной статический анализ может повысить надежность при оценке пользовательских схем аутентификации. Решение Coverity SAST от Synopsys включает средство проверки, которое специально определяет уязвимости неработающей аутентификации.

3. Раскрытие конфиденциальных данных. Раскрытие конфиденциальных данных — это когда важные сохраненные или передаваемые данные (например, номера социального страхования) скомпрометированы.

• Пример: Финансовые учреждения, которые не могут должным образом защитить свои конфиденциальные данные, могут стать легкой мишенью для мошенничества с кредитными картами и кражи личных данных.
• Решение: Инструменты SAST, такие как Coverity и инструменты SCA, такие как Black Duck Binary Analysis, включают функции и средства проверки, которые выявляют уязвимости безопасности, которые могут привести к раскрытию конфиденциальных данных.

4. Внешние объекты XML (XXE). Злоумышленники могут воспользоваться преимуществами веб-приложений, которые используют уязвимые компоненты, обрабатывающие XML. Злоумышленники могут загружать XML или включать враждебные команды или контент в XML-документ.

• Пример: Приложение позволяет ненадежным источникам выполнять загрузку XML.
• Решение: Статическое тестирование безопасности приложений (SAST) очень полезно при обнаружении XXE в исходном коде.SAST помогает проверять как конфигурацию приложения, так и зависимости.

5. Нарушение контроля доступа. Нарушение контроля доступа — это когда злоумышленник может получить доступ к учетным записям пользователей. Злоумышленник может действовать как пользователь или как администратор в системе.

• Пример: Приложение позволяет изменять первичный ключ. Когда ключ изменяется на запись другого пользователя, учетную запись этого пользователя можно просмотреть или изменить.
• Решение: Крайне важно использовать тестирование на проникновение для обнаружения непреднамеренного контроля доступа. Изменения в архитектуре и дизайне могут потребовать создания границ доверия для доступа к данным [iii].

6. Неверная конфигурация безопасности . Неправильная конфигурация безопасности — это когда недостатки конструкции или конфигурации являются результатом ошибки или недостатка конфигурации.

• Пример: Учетная запись по умолчанию и исходный пароль по-прежнему активны, что делает систему уязвимой для взлома.
• Решение: Решения, подобные Coverity SAST от Synopsys, включают средство проверки, которое идентифицирует доступную информацию с помощью сообщения об ошибке [ii].

7. Межсайтовый скриптинг (XSS). XSS-атаки происходят, когда приложение включает ненадежные данные на веб-страницу. Злоумышленники внедряют на эту веб-страницу клиентские скрипты.

• Пример: Недоверенные данные в приложении позволяют злоумышленнику «украсть сеанс пользователя» и получить доступ к системе.
• Решение: Решения SAST, хорошо разбирающиеся в анализе потоков данных, могут быть отличным инструментом, который поможет найти эти критические дефекты и предложить способы их устранения. На веб-сайте OWASP также есть памятка по передовым методам устранения таких дефектов в вашем коде. Для категорий OWASP Top 10, таких как XSS, которые также имеют Common Weakness Enumerator (CWE), Black Duck будет предупреждать команды о том, что это слабое место, которое приводит к уязвимости, позволяя им лучше понять уязвимость и определить приоритеты их усилий по исправлению [ II].

8. Небезопасная десериализация. Небезопасная десериализация — это уязвимость, в которой недостатки десериализации позволяют злоумышленнику удаленно выполнить код в системе.

• Пример: Приложение уязвимо, поскольку оно десериализует враждебные объекты, предоставленные злоумышленником.
• Решение: Инструменты безопасности приложений помогают обнаруживать недостатки десериализации, а для проверки проблемы можно использовать тестирование на проникновение [ii].

9. Использование компонентов с известными уязвимостями . Название этой уязвимости указывает ее природу; он описывает, когда приложения создаются и запускаются с использованием компонентов, содержащих известные уязвимости.

• Пример: Из-за большого количества компонентов, используемых при разработке, команда разработчиков может даже не знать или не понимать компоненты, используемые в их приложении. Это может привести к тому, что они устарели и, следовательно, уязвимы для атак.
• Решение: Инструменты анализа состава программного обеспечения (SCA), такие как Black Duck, могут использоваться вместе со статическим анализом для выявления и обнаружения устаревших и небезопасных компонентов в вашем приложении [ii].

10. Недостаточное ведение журнала и мониторинг. Ведение журнала и мониторинг — это действия, которые следует выполнять на веб-сайте часто, чтобы гарантировать его безопасность. Отсутствие надлежащего ведения журнала и мониторинга сайта делает его уязвимым для более серьезных компрометирующих действий.

• Пример: События, которые можно отслеживать, например, вход в систему, неудачный вход в систему и другие важные действия, не регистрируются, что приводит к уязвимости приложения.
• Решение. После выполнения теста на проникновение разработчики могут изучить журналы тестирования, чтобы определить возможные недостатки и уязвимости. Решения SAST также могут помочь идентифицировать незарегистрированные исключения безопасности [ii].

Домашняя страница — Регион 10 Веб-сайт

2020-21 Каталог предложений и услуг