OWASP Top 10 — מפת הסיכונים של אבטחת Web
צוות CyberHub · לפני 29 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
OWASP Top 10 היא רשימת עשרת סיכוני האבטחה הנפוצים ביותר באפליקציות web. זו נקודת הפתיחה לכל מי שלומד אבטחת אפליקציות.
אם יש מסמך אחד שכל לומד אבטחת web חייב להכיר — זו רשימת OWASP Top 10: עשרת הסיכונים הנפוצים והמסוכנים ביותר באפליקציות.
מה זה OWASP?
ארגון קהילתי ללא מטרות רווח שמפרסם ידע אבטחה חינמי. ה-Top 10 מתעדכן כל כמה שנים לפי נתוני אמת.
הקטגוריות (גרסת 2021, בקצרה)
- Broken Access Control — גישה למה שאסור (כמו IDOR).
- Cryptographic Failures — הצפנה חסרה/חלשה.
- Injection — SQLi, פקודות, ועוד.
- Insecure Design — בעיות תכנון יסודיות.
- Security Misconfiguration — הגדרות ברירת מחדל פתוחות.
- Vulnerable Components — ספריות ישנות/פגיעות.
- Authentication Failures — התחברות חלשה.
- Data Integrity Failures — אמון לא-מאומת (כמו SolarWinds).
- Logging Failures — לא מתעדים, לא מזהים.
- SSRF — הכרחת השרת לפנות למשאבים פנימיים.
איך ללמוד?
קחו כל קטגוריה, הבינו את הדוגמה, ותרגלו ב-OWASP Juice Shop (אפליקציה פגיעה בכוונה לתרגול). זו הדרך המהירה להפוך את הידע למעשי.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
📘 עוד מדריך
אתיקה והאקינג חוקי — הקווים האדומים
ההבדל בין האקר אתי לפושע הוא רשות. נסביר את הגבולות החוקיים, מהי האקינג אתי, ולמה מוניטין הוא הנכס החשוב ביותר בתחום.
Red Team מול Blue Team — מי נגד מי בעולם הסייבר
בארגוני אבטחה יש 'תוקפים מטעם' (Red Team) ו'מגינים' (Blue Team), ולפעמים גם Purple שמחבר ביניהם. נסביר מה כל צד עושה ואיך בוחרים מסלול.
איך מזהים מייל פישינג (Phishing) ב-30 שניות
פישינג הוא ניסיון להתחזות (לבנק, לחברה, לחבר) כדי לגנוב פרטים או סיסמאות. רוב המיילים האלה מסגירים את עצמם בכמה סימנים פשוטים.