Что такое OWASP TOP 10?

OWASP TOP 10 (2021)

1. Broken Access Control

Проблема: Пользователь получает доступ к чужим данным.

# Атака
GET /api/users/123/orders  # Свои заказы
GET /api/users/456/orders  # Чужие заказы (!)

# Защита
- Проверка прав на каждом запросе
- Deny by default

2. Cryptographic Failures

Проблема: Слабое шифрование, утечка данных.

# Плохо
- MD5/SHA1 для паролей
- HTTP вместо HTTPS
- Хранение секретов в коде

# Хорошо
- bcrypt/argon2 для паролей
- HTTPS everywhere
- Secrets в vault

3. Injection

Проблема: SQL, NoSQL, OS, LDAP injection.

# Атака
SELECT * FROM users WHERE name = '' OR '1'='1'

# Защита
- Prepared statements
- ORM
- Input validation

4. Insecure Design

Проблема: Архитектурные уязвимости.

# Плохо
- Нет rate limiting
- Нет threat modeling
- Избыточные данные в API

# Хорошо
- Security by design
- Threat modeling
- Минимум данных

5. Security Misconfiguration

Проблема: Неправильные настройки.

# Плохо
- Default credentials
- Stack traces в production
- Открытые debug endpoints

# Хорошо
- Hardened configs
- Минимум сервисов
- Security headers

6. Vulnerable Components

Проблема: Устаревшие зависимости.

# Защита
- npm audit / OWASP Dependency-Check
- Регулярные обновления
- SBOM (Software Bill of Materials)

7. Authentication Failures

Проблема: Слабая аутентификация.

# Плохо
- Нет защиты от brute-force
- Слабые пароли
- Session fixation

# Хорошо
- MFA
- Rate limiting
- Secure session management

8. Software Integrity Failures

Проблема: Непроверенные обновления, CI/CD атаки.

# Защита
- Подписи пакетов
- Защита CI/CD pipeline
- SRI для CDN

9. Logging & Monitoring Failures

Проблема: Нет логов, нет алертов.

# Защита
- Логирование security events
- Мониторинг аномалий
- Incident response plan

10. SSRF (Server-Side Request Forgery)

Проблема: Сервер делает запросы по указанному URL.

# Атака
POST /fetch?url=http://internal-server/admin

# Защита
- Whitelist URLs
- Блокировка внутренних IP
- Firewall rules