ปัจจุบันในแต่ละองค์กรมีการใช้งานแอพพลิเคชั่นในแทบทุกส่วนงาน ไม่ว่าจะเป็นแอพพลิเคชั่นที่พัฒนาใช้เองหรือเป็นการใช้บริการจากภายนอก ในการใช้งานแอพพลิเคชั่นต่าง ๆ เหล่านั้น จำเป็นต้องนึกถึงความปลอดภัยอยู่เสมอ เพราะมีข้อมูลที่ถูกจัดเก็บหรือส่งต่อไปในบริการเหล่านั้น โดยเฉพาะอย่างยิ่งถ้าเป็นแอพพลิเคชั่นที่ให้บริการแก่ลูกค้า และต้องการให้ลูกค้ามีความเชื่อมั่นด้วยนั้น ยิ่งต้องมีความจำเป็นที่จะต้องคำนึงถึงความปลอดภัยของระบบที่พัฒนาขึ้น มิฉะนั้นแล้วลูกค้าอาจไม่เชื่อถือหรือมีความกังวลใจในการใช้งาน ส่งผลกระทบให้จำนวนลูกค้าลดลงหรือไม่อยากใช้บริการ การพัฒนาแอพพลิเคชั่นเพื่อใช้งานในองค์กรเอง ก็จำเป็นต้องสร้างความปลอดภัยด้วยเช่นกัน เพราะในปัจจุบันภัยทางไซเบอร์ใกล้ตัวยิ่งกว่าที่คิด มีความหลากหลายและรุนแรงในหลายๆ รูปแบบ หากระบบที่ให้บริการมีจุดอ่อนและช่องโหว่ถูกเปิดเผยจนข้อมูลรั่วไหลหรือถูกเจาะเข้าระบบได้ ก็จะทำให้ส่งผลต่อคนในองค์กร และอาจกระทบต่อระบบอื่น ๆ รวมทั้งธุรกิจขององค์กรเอง ซึ่งอาจแผ่ขยายไปยังส่วนการให้บริการกับภายนอกด้วย ระบบอาจจะต้องหยุดชะงักและใช้เวลาแก้ไข ไม่ว่าจะเป็นกู้ข้อมูลหรือการตอบสนองและรายงานสาเหตุกับลูกค้า สุดท้ายก็จะทำให้เกิดความเสื่อมเสียต่อชื่อเสียงขององค์กร แล้วเราจะทราบได้อย่างไรว่าระบบหรือแอพพลิเคชั่นที่เราพัฒนานั้นได้ป้องกันจุดอ่อนต่าง ๆ ครบถ้วนแล้วหรือยัง? ในปัจจุบันมีการรวบรวมช่องโหว่หรือจุดอ่อนต่าง ๆ ที่มักถูกพบหรือเกิดขึ้นในการพัฒนาแอพพลิเคชั่น ที่เป็นที่ยอมรับและใช้กันเป็นมาตรฐาน โดยสำหรับการพัฒนาแอพพลิเคชั่นได้มีรายการจัดอันดับจุดอ่อนที่พบบ่อยในการพัฒนา เพื่อเป็นแนวทางให้กับนักพัฒนา หรือนักออกแบบระบบ หรือผู้ดูแลความปลอดภัยให้กับองค์กรได้นำไปใช้ เรียกว่า OWASP Top 10 ซึ่งเป็นรายการความเสี่ยงด้านความปลอดภัยที่มีโอกาสเกิดขึ้นได้มากที่สุด 10 อันดับในการพัฒนาเว็บแอพพลิเคชั่น ซึ่งสอดคล้องกับปัจจุบันที่หลาย ๆ องค์กรนิยมเลือกให้บริการต่าง ๆ ผ่านเว็บ OWASP Top 10 OWASP (Open Web Application Security Project) เป็นกลุ่มองค์กรที่จัดตั้งขึ้นโดยไม่แสวงหาผลกำไร มีเป้าหมายในการทำโปรเจค ทำวิจัย และมาตรฐานต่าง ๆ ด้านความปลอดภัย โดยไม่แบ่งแยกเทคโนโลยีหรือซอฟต์แวร์การค้าใด ๆ และเผยแพร่ผลลัพธ์ต่าง ๆ เช่น เครื่องมือ ผลงานวิจัย ผลการศึกษา และแนวทางหรือมาตรฐานต่าง ๆ ที่สร้างความปลอดภัยทางไซเบอร์ โดยหนึ่งในโปรเจคที่สำคัญคือ OWASP Top 10 เป็นการสรุปรายการความเสี่ยงด้านความปลอดภัยของเว็บแอพพลิเคชั่น ซึ่งได้จัดทำขึ้นมาอย่างต่อเนื่องตั้งแต่เริ่มโครงการเมื่อปี 2003 ซึ่งในปัจจุบันเป็นเวอร์ชั่นปี 2021 ในปี 2021 OWASP จัดอันดับ 10 รายการจุดอ่อนประกอบด้วยหัวข้อดังต่อไปนี้ (รายละเอียดเพิ่มเติม link) นอกจาก OWASP Top 10 แล้ว ยังมีการจัดอันดับจาก CWE Top 25 (Common Weakness Enumeration) อีกด้วย ซึ่งจะครอบคลุมการพัฒนาระบบแอพพลิเคชั่นในทุกแพลตฟอร์ม ไม่จำกัดเฉพาะบนเว็บเท่านั้น CWE Top 25 CWE (Common Weakness Enumeration) เป็นชุดรายการจุดอ่อนที่ถูกค้นพบได้ในทุกระบบ ทั้งฮาร์ดแวร์และซอฟต์แวร์ ซึ่งเป็นโครงการจัดทำและเผยแพร่โดย The MITRE Corporation (MITRE) ซึ่งเป็นหน่วยงานที่รับการสนับสนุนจาก the U.S. Department of Homeland Security (DHS) Cybersecurity และ Infrastructure Security Agency (CISA) ชุดจุดอ่อนที่ว่านี้เป็นได้ทั้งที่เกิดจากการโปรแกรมภายในผิดพลาด ไม่ปลอดภัย หรือมีบัก และถูกรายงานจากนักวิจัย นักพัฒนา หรือนักวิเคราะห์ระบบด้านความปลอดภัยไซเบอร์ที่ค้นพบหรือจากทดสอบจากทั่วโลก ดังนั้นรายการต่าง ๆ นี้จึงถูกรวบรวมและจัดการอัพเดทอยู่โดยสม่ำเสมอ ในปัจจุบันรายการชุดจุดอ่อนมีมากกว่า 600 ชุดรายการ และนอกจากนี้ทาง MITRE ได้มีการจัดทำชุด CWE เฉพาะรายการที่เป็นความผิดพลาดในการพัฒนาหรือช่องโหว่ในซอฟต์แวร์ ซึ่งจัดอันดับเป็นข้อผิดพลาดที่อันตรายที่สุด 25 รายการ (หรือเรียกชื่อเต็มว่า CWE Top 25 Most Dangerous Software Weaknesses) จัดว่าเป็นแนวทางหรือเช็คลิสต์ที่มีประโยชน์อย่างมากสำหรับนักพัฒนาระบบหรือแอพพลิเคชั่น ซึ่งชุดรายการอัพเดทล่าสุดถึงปี 2023 ในปี 2023 CWE Top 25 สำหรับ 10 อันดับแรก มีรายละเอียดดังต่อไปนี้ ส่วนอันดับอื่น ๆ ที่เหลือสามารถศึกษาเพิ่มเติมได้จาก Link จากรายการตัวอย่างทั้ง 10 อันดับ ของ OWASP และ CWE จะเห็นได้ว่ามีส่วนคล้ายคลึงกันอย่างมาก และที่สังเกตได้สิ่งหนึ่งคือ CWE จะมีรายละเอียดช่องโหว่เฉพาะเรื่องหรือจำเพาะเฉพาะส่วนการทำงานหนึ่ง ๆ ในขณะที่ OWASP จะเป็นลักษณะช่องโหว่ที่ครอบคลุมแนวกว้าง เช่น OWASP’s Injections ตรงกันกับ Cross-site Scripting, SQL Injection และ OS Command Injection ของ CWE หรือ OWASP’s Broken Access Control เป็นจุดอ่อนกรณีเดียวกันกับที่กล่าวถึงใน Path Traversal และ CSRF ของ CWE เป็นต้น อีกส่วนที่แตกต่างกันคือ OWASP จะมุ่งเน้นไปในวิธีการสร้างความปลอดภัยบนระบบเว็บแอพพลิเคชั่น ส่วน CWE จะครอบคลุมช่องโหว่ในแนวลึกทุกระดับประเภทซอฟต์แวร์ ไม่ว่าจะเป็น Firmware, System, Application on desktop/web/mobile แต่ไม่ว่าจะเป็น OWASP Top 10 หรือ CWE Top 25 อาจกล่าวได้ว่าสำหรับนักพัฒนาแล้ว ถือเป็นแนวทางที่ช่วยสร้างความเข้าใจ และทำให้มองเห็นช่องโหว่ที่พวกแฮคเกอร์มักนำมาใช้ในการโจมตีได้ชัดเจนขึ้น การทำความคุ้นเคยและปฎิบัติตามแนวทางดังกล่าว นับว่าเป็นสิ่งที่นักพัฒนาควรใส่ใจและตระหนักอยู่เสมอ รวมถึงควรจัดทำให้เป็นมาตรฐานหลักของการพัฒนาแอพพลิเคชั่นภายในองค์กร อย่างไรก็ตามแนวทางเหล่านี้ แม้แต่ OWASP เองก็ให้ข้อคิดเห็นว่าเป็นเพียงแค่ความปลอดภัยขั้นต้นที่ควรมีเป็นอย่างน้อยที่สุดเท่านั้น หรือจุดอ่อนต่าง ๆ ใน CWE ก็สามารถถูกค้นพบได้เพิ่มขึ้นอยู่ตลอดเวลา ดังนั้นแล้วการดูแล อัพเดทข้อมูล และปฎิบัติตามข้อแนะนำของมาตรฐานต่าง ๆ อย่างสม่ำเสมอ จะเป็นวิธีที่เหมาะสมที่จะปกป้องระบบ และข้อมูลทั้งขององค์กรและของลูกค้าให้ปลอดภัยได้ยาวนานที่สุด บทความโดย ธีร์วิช ว่องทวี ตรวจทานและปรับปรุงโดย ดวงใจ จิตคงชื่น Reference: https://owasp.org/Top10 https://www.sans.org/top25-software-errors https://cwe.mitre.org/top25 https://blog.omnetworks.com.np/owasp-top-10-understanding-the-most-critical-application-security-risks https://www.cyfence.com/article/owasp-top-10-2021 https://www.hackerone.com/vulnerability-management/cwe-common-weakness-enumeration-and-cwe-top-25-explained https://www.picussecurity.com/resource/blog/the-most-common-security-weaknesses-cwe-top-25-and-owasp-top-10