OWASP Top Ten 2010
Det är dock en sak som OWASP vill framhäva särskilt; att årets lista handlar om risk. Metoden som används är löst baserad på OWASP Risk Rating Methodology. Jag har inte ägnat sådär jättemycket tid att titta på metoden tyvärr men med anledning av tidigare inlägg och kommentarer på bloggen så är jag väl mer eller mindre tvungen framöver. Sammanfattningsvis är jag dock skeptisk till huruvida det är värt att göra riskbedömningar för tio sårbarheter/attacker utan sammanhang...
P g a att jag har lite dåligt med tid; lösryckta tankar och funderingar:
- Det huvudsakliga värdet i OWASP Top Ten ligger i att man har samlat de tio vanligaste och farligaste från en bunt generella sårbarheter/attacker i ett dokument och att detta dokument är väldigt välkänt.
- Man borde separera persistant och reflected cross-site scripting p g a den jordskredsstora skillnaden i läskighet de har.
- Är det någon i Top Ten-projektet som jobbar med att sälja bläckpatroner eller?
- Notera att svenska OWASP-kapitlet finns med i listan med acknowledgements. Det var värt en lång och bitvis hetsig kväll med många viljor på Omegapoint. Jag är lite oklar över hur vår feedback användes dock.
--
Stefan Pettersson
Intressant att se att dom går över till att ranka risker. kanske är det deras sätt att marknadsföra riskanalysmodellen...
Jag håller definitivt med om att det känns tveksamt att ranka risker utan sammanhang.
Det påpekas iofs i rapporten att man känner sin egen miljö och organisation bäst själv och att varje risk skall utvärderas utifrån egna sammanhang. Klokt, men det är en paragraf på 22 sidor, så vi får se hur väl den står sig mot resten av innehållet med alla vackra färger.
Rosa är f.ö. färgen för critical risks, den värsta kombinationen av impact och likelihood. Personligen associerar jag rosa med Barbie Princess, My Little Pony, oskuldsfull kärlek etc., men nu vill alltså OWASP ändra på detta synsätt...
.