Безопасность
OWASP Top 10: тест с выбором ответа
Суть Тест с выбором на синтез по OWASP Top 10 (2021) — access control, крипто, injection, insecure design, SSRF и misconfiguration как решения, которые ты принимаешь в реальном ревью.
Высота — путь к senior
НольJuniorMiddleSenior
Ты на senior-высоте — в орбитеШесть вопросов поперёк всего Top 10. Каждый отражает решение, которое ты принимаешь в реальном security-ревью — не определение для заучивания, а корневую причину, которую надо назвать, и фикс, к которому сеньор тянется первым.
Цель
Убедись, что связываешь категории 2021 года с тем, как приложения реально ломаются: к какой корневой причине относится находка, почему сдвинулся рейтинг и какой устойчивый фикс вместо костыля.
Викторина
Completed
Эндпоинт выполняет SELECT * FROM invoices WHERE id = ?, где id берётся из URL и передаётся как параметр. Пользователь меняет id и читает чужой инвойс. Какая это категория и почему это НЕ injection?
Heads-up id привязан как параметр, то есть это данные, а не код; ничего не инъектируется. Дефект — отсутствие проверки авторизации на строку, это A01, а не A03.
Heads-up Шифрование at rest защищает от украденного диска, а не от авторизованной сессии, читающей чужую строку. Недостаёт проверки владения, а не шифра.
Heads-up Синтаксически валидный запрос, возвращающий чужие данные, — хрестоматийная форма IDOR в Broken Access Control, категории #1 в 2021.
Викторина
Completed
Почему список 2021 переименовал 'Sensitive Data Exposure' в 'Cryptographic Failures' и что это переосмысление меняет на практике?
Heads-up Утечки никуда не делись; переименование — про категоризацию по причине, чтобы фикс был выполнимым, а не про исчезновение риска.
Heads-up Данные утекают через broken access control, misconfiguration и прочее. Переименование нацелено на крипто-подмножество по его причине, а не утверждает, что крипто — единственный путь.
Heads-up Изменение методологическое — весь список 2021 переорганизован вокруг корневых причин против симптомов — а не косметическое или ради аудита.
Викторина
Completed
Флоу оформления заказа принимает цену товара от клиента и списывает её. Нет injection, нет auth-бага, TLS включён. Ревьюер всё равно помечает это. Какая категория и почему нельзя залатать?
Heads-up Цена не интерпретируется как код, поэтому санитизировать нечего. Изъян в том, что авторитетное значение берётся из недоверенного источника — дефект проектирования, A04.
Heads-up Никакой неверной настройки нет; приложение построено так, чтобы доверять клиентской цене. Это архитектурное решение, то есть A04 Insecure Design.
Heads-up Всё, что присылает клиент, управляемо атакующим через консоль или прокси. Авторитетные значения вроде цены должны выводиться на сервере.
Викторина
Completed
SSRF (A10) отображается примерно на один CWE и почти не имел исторических данных по частоте, но всё равно попал в рейтинг 2021. Что его включение говорит о том, как читать Top 10?
Heads-up Всё наоборот — у SSRF почти не было исторических данных и он отображается примерно на один CWE. Он попал через опрос практиков, и именно поэтому его включение примечательно.
Heads-up Методология намеренно резервирует два слота под проголосованные риски, чтобы список не ограничивался тем, что инструменты уже хорошо измеряют.
Heads-up SSRF — это когда сервер обманом заставляют запросить выбранный атакующим URL, что отличается от инъекции кода в интерпретатор. Его собственный слот отражает отдельную корневую причину.
Викторина
Completed
Не-админ напрямую через curl шлёт POST /api/admin/users/7/promote, и это срабатывает — единственной 'проверкой' было то, что кнопка админки скрыта в его UI. Категория и фикс?
Heads-up Маршрут и должен существовать; дефект в том, что он не проверяет роль вызывающего. Это отсутствующая проверка авторизации (A01), а не неверная настройка.
Heads-up Подпись доказывает, что сообщение не подменили, а не то, что этот вызывающий вправе повысить пользователя. Недостаёт серверной проверки роли.
Heads-up Общие эндпоинты — норма; баг в том, что авторизация вообще не проверяется, поэтому не-админ, дотянувшись напрямую, добивается успеха.
Викторина
Completed
Сервис поставляет известно-уязвимую версию библиотеки логирования (CVE класса Log4Shell) и возвращает клиентам стек-трейсы с полными версиями фреймворка. Какие две категории в игре и какой фикс выше по leverage?
Heads-up Баги класса Log4Shell действительно связаны с попаданием недоверенного ввода в интерпретатор, но OWASP относит проблему 'мы поставили известно-уязвимую зависимость' к A06; многословные стек-трейсы — отдельно A05.
Heads-up Скрытие стек-трейсов само по себе оставляет эксплуатируемую CVE живой. Обновление зависимости — несущий фикс; подавление ошибок — hardening сверху.
Heads-up A06 существует именно потому, что CVE твоих зависимостей становятся твоими CVE в production; обновление и SBOM на тебе.
Итог
Сквозная линия — чтение находки обратно к её корневой причине: параметризованный запрос, всё равно отдающий чужие строки, — это access control, а не injection; переименованная категория указывает на причину, а не симптом; доверенная клиентская цена — insecure design, который не чинится фильтром; SSRF заслужил слот голосованием практиков, а не данными; скрытый UI никогда не авторизация; а уязвимая зависимость плюс многословные ошибки — две категории, где патч важнее hardening. Трать строгость там, где ожидаемый ущерб выше — access control в первую очередь — и всегда предпочитай фикс корневой причины костылю.