1 Неправилен Контрол на Достъпа (Broken Access Control) Висок

Потребителите могат да извършват действия, които не са им разрешени. Включва нарушаване на принципа на най-малките привилегии.

• Неограничен достъп до API endpoints
• Манипулация на ID параметри
• Нарушаване на контрола на достъпа

2 Криптографски Неуспехи (Cryptographic Failures) Висок

Неуспехи в криптирането, които водят до изтичане на чувствителни данни.

• Несигурно съхранение на пароли
• Липса на криптиране на данни
• Използване на слаби алгоритми

3 Вмъкване (Injection) Висок

Вмъкване на злонамерен код, който се интерпретира от системата.

• SQL Injection
• Command Injection
• NoSQL Injection

4 Несигурен Дизайн (Insecure Design) Висок

Несигурен дизайн, фокусиран върху недостатъци в контролите на сигурността.

• Липса на threat modeling
• Несигурни бизнес логики
• Недостатъчна валидация

5 Неправилна Конфигурация на Сигурността (Security Misconfiguration) Среден

Неправилна конфигурация на сигурността в приложението или инфраструктурата.

• Необновени компоненти
• Ненужни услуги
• Несигурни настройки по подразбиране

6 Уязвими Компоненти (Vulnerable Components) Висок

Използване на компоненти с известни уязвимости.

• Необновени библиотеки
• Използване на deprecated компоненти
• Липса на monitoring за уязвимости

7 Неуспехи в Удостоверяването (Authentication Failures) Среден

Неуспехи в системите за удостоверяване на идентичността.

• Слаби пароли
• Липса на multi-factor authentication
• Несигурно управление на сесии

8 Целост на Софтуера и Данните (Software and Data Integrity) Среден

Нарушаване на целостта на софтуера и данните.

• Несигурни CI/CD процеси
• Deserialization of untrusted data
• Липса на кодова сигнатура

9 Неуспехи в Регистрирането на Сигурността (Security Logging Failures) Среден

Неадекватно регистриране и наблюдение на сигурността.

• Липса на аудит следи
• Недостатъчно логиране
• Невъзможност за откриване на атаки

10 Server-Side Request Forgery (SSRF) Среден

Атаки, при които сървърът е принуден да извърши заявки към вътрешни ресурси.

• Манипулация на URL параметри
• Достъп до вътрешни системи
• Обхождане на вътрешна мрежа

Валидация на Входните Данни (Input Validation)

Валидирайте всички потребителски входни данни. Използвайте white-listing подход вместо black-listing.

Параметризирани Заявки (Parameterized Queries)

Използвайте параметризирани заявки за предотвратяване на SQL injection.

Контроли за Удостоверяване (Authentication Controls)

Имплементирайте силни механизми за удостоверяване и multi-factor authentication.

Контрол на Достъпа (Access Control)

Прилагайте принципа на най-малките привилегии и проверявайте разрешенията на сървъра.

Криптиране (Encryption)

Криптирайте чувствителни данни както по време на предаване, така и при съхранение.

Сигурни HTTP headers (Security Headers)

Използвайте сигурни HTTP headers като Content Security Policy, HSTS, X-Frame-Options.

Обработка на Грешки (Error Handling)

Не разкривайте детайли за грешки на потребителите. Използвайте общи съобщения.

Управление на Зависимости (Dependency Management)

Регулярно обновявайте библиотеки и компоненти. Мониторьте за известни уязвимости.