OWASP Top 10 वेब एप्लिकेशन सुरक्षा जोखिमों के लिए सबसे व्यापक रूप से मान्यता प्राप्त मानक है। चाहे आप डेवलपर हों, सुरक्षा इंजीनियर हों, या व्यावसायिक नेता — यह गाइड वास्तविक दुनिया के उदाहरणों, डिटेक्शन तकनीकों और रेमेडिएशन रणनीतियों के साथ हर श्रेणी की व्याख्या करती है।
एक समय-समय पर अपडेट होने वाला जागरूकता दस्तावेज़ जो वेब एप्लिकेशन के लिए सबसे महत्वपूर्ण सुरक्षा जोखिमों को रैंक करता है। सैकड़ों संगठनों, सामुदायिक सर्वेक्षणों और वास्तविक विश्व ब्रीच डेटा से डेटा विश्लेषण के आधार पर। PCI DSS, DORA, NIS2, और कई उद्योग मानकों द्वारा संदर्भित।
#1 सबसे आम वल्नरेबिलिटी — परीक्षित एप्लिकेशन के 94% में पाई गई।
/api/users/123/profile को /api/users/124/profile में बदलना/admin/dashboard तक पहुंच रहा हैपहले "संवेदनशील डेटा एक्सपोज़र" — मूल कारण पर ध्यान केंद्रित करने के लिए नाम बदला गया।
HSTS के साथ हर जगह HTTPS लागू करें। AES-256, bcrypt/Argon2, SHA-256+ का उपयोग करें। कभी भी सीक्रेट हार्डकोड न करें — Vault या AWS Secrets Manager का उपयोग करें। आराम से डेटा एन्क्रिप्ट करें। TLS 1.0/1.1 को अक्षम करें।
क्लासिक वेब वल्नरेबिलिटी — दो दशकों के बाद भी शीर्ष 3 में।
' OR 1=1 -- और बहुत अधिक परिष्कृत हमलेसभी DB इंटरैक्शन के लिए पैरामीटराइज़्ड क्वेरीज़। allowlists के साथ इनपुट वेलिडेशन। संदर्भ के लिए आउटपुट एन्कोडिंग। Content Security Policy हेडर। कम से कम विशेषाधिकार DB खाते। ORMs का लगातार उपयोग करें।
नई श्रेणी — डिज़ाइन-स्तरीय खामियां, कार्यान्वयन बग नहीं।
फिक्स: डिज़ाइन फेज में थ्रेट मॉडलिंग (STRIDE, PASTA) को एकीकृत करें। सुरक्षित डिज़ाइन पैटर्न का उपयोग करें। उपयोग के मामलों के साथ दुरुपयोग के मामले लिखें।
परीक्षित एप्लिकेशन के 90% में पाया गया।
पुनरावृत्त हार्डनिंग प्रक्रिया। सभी अनावश्यक फीचर्स हटाएं। सभी सुरक्षा हेडर लागू करें। IaC के साथ कॉन्फ़िग प्रबंधन को स्वचालित करें। नियमित कॉन्फ़िग ऑडिट। क्लाउड के लिए CSPM का उपयोग करें।
फिक्स: कंपोनेंट इन्वेंटरी (SBOM) बनाए रखें। CVE डेटाबेस की लगातार निगरानी करें। अप्रयुक्त निर्भरताओं को हटाएं। Dependabot/Renovate के साथ अपडेट स्वचालित करें।
MFA लागू करें। ब्रीच डेटाबेस चेकिंग के साथ मज़बूत पासवर्ड लागू करें। auth एंडपॉइंट पर रेट लिमिटिंग। सुरक्षित सेशन प्रबंधन (रैंडम IDs, HTTPOnly/Secure फ्लैग)। लॉगआउट/पासवर्ड परिवर्तन पर सेशन को अमान्य करें।
फिक्स: सभी सॉफ़्टवेयर/डेटा पर डिजिटल हस्ताक्षर। बाहरी संसाधनों के लिए Subresource Integrity (SRI)। एक्सेस कंट्रोल और साइनिंग के साथ सुरक्षित CI/CD। असुरक्षित deserialization से बचें — JSON का उपयोग करें।
ब्रीच की पहचान करने में औसत समय: 204 दिन (IBM 2024)। पर्याप्त लॉगिंग के बिना, हमलावर दृढ़ता स्थापित कर सकते हैं, डेटा निकाल सकते हैं, और अपने पैर की उंगलियों का विस्तार कर सकते हैं — सभी अलार्म ट्रिगर किए बिना।
फिक्स: सभी auth events, एक्सेस कंट्रोल विफलताओं, और इनपुट वेलिडेशन विफलताओं को लॉग करें। संदर्भ शामिल करें (टाइमस्टैम्प, उपयोगकर्ता, IP, कार्रवाई)। लॉग को tamper-resistant SIEM में केंद्रीकृत करें। स्वचालित अलर्टिंग लागू करें। नियमित रूप से डिटेक्शन क्षमताओं का परीक्षण करें।
नई श्रेणी — क्लाउड-नेटिव आर्किटेक्चर में बढ़ते प्रचलन के कारण जोड़ी गई।
http://169.254.169.254/ तक पहुंचनासर्वर-साइड पर सभी उपयोगकर्ता-आपूर्ति URLs को वेलिडेट करें। अनुमत डोमेन के लिए allowlists का उपयोग करें। निजी IP रेंज को ब्लॉक करें (10.x, 172.16.x, 169.254.x, 127.x)। अनावश्यक URL स्कीम को अक्षम करें (file://, gopher://)। AWS पर IMDSv2 का उपयोग करें। URL-फ़ेचिंग सेवाओं को सेगमेंट करें।
| OWASP श्रेणी | KENSAI कवरेज |
|---|---|
| A01 ब्रोकन एक्सेस कंट्रोल | IDOR परीक्षण, प्राधिकरण बाईपास, CORS जांच |
| A02 क्रिप्टोग्राफ़िक विफलताएं | TLS विश्लेषण, हेडर जांच, एन्क्रिप्शन सत्यापन |
| A03 इंजेक्शन | SQL, XSS, कमांड इंजेक्शन, SSTI, हेडर इंजेक्शन |
| A04 असुरक्षित डिज़ाइन | रेट लिमिटिंग, अनुमानित संसाधन, लॉजिक परीक्षण |
| A05 सुरक्षा मिसकॉन्फ़िगरेशन | हेडर, डिफ़ॉल्ट, सूचना प्रकटीकरण, HTTP विधियाँ |
| A06 वल्नरेबल कंपोनेंट्स | प्रौद्योगिकी फ़िंगरप्रिंटिंग, 332K+ CVE डेटाबेस |
| A07 प्रमाणीकरण विफलताएं | डिफ़ॉल्ट क्रेडेंशियल, सेशन परीक्षण, कुकी विश्लेषण |
| A08 अखंडता विफलताएं | SRI जांच, deserialization परीक्षण |
| A09 लॉगिंग विफलताएं | सुरक्षा हेडर विश्लेषण, एरर हैंडलिंग समीक्षा |
| A10 SSRF | आंतरिक एंडपॉइंट इंजेक्शन, क्लाउड मेटाडेटा परीक्षण |
मुफ्त स्कैन — कोई प्रतिबद्धता नहीं, कोई क्रेडिट कार्ड आवश्यक नहीं। अनुपालन-तैयार रिपोर्टिंग के साथ AI-संचालित DAST।
मुफ्त स्कैन शुरू करें →ब्रोकन एक्सेस कंट्रोल (A01) — परीक्षित एप्लिकेशन के 94% में पाई गई। यह स्थिति 5 से स्थिति 1 में चली गई, जो प्राधिकरण को लागू करने में व्यापक विफलता को दर्शाती है, विशेष रूप से APIs और SPAs में।
OWASP Top 10 स्वयं स्वैच्छिक है। हालांकि, इसे PCI DSS (OWASP Top 10 को संबोधित करने की आवश्यकता है), NIS2 (व्यवस्थित वल्नरेबिलिटी प्रबंधन की अपेक्षा करता है), DORA (उद्योग-मानक परीक्षण का संदर्भ देता है), और कई विक्रेता मूल्यांकन द्वारा संदर्भित किया जाता है। व्यावहारिक रूप से, यह प्रभावी रूप से अनिवार्य है।
स्वचालित DAST उपकरण अधिकांश श्रेणियों को प्रभावी ढंग से पहचानते हैं — विशेष रूप से इंजेक्शन (A03), क्रिप्टोग्राफ़िक विफलताएं (A02), मिसकॉन्फ़िगरेशन (A05), और वल्नरेबल कंपोनेंट्स (A06)। असुरक्षित डिज़ाइन (A04) और लॉगिंग विफलताएं (A09) जैसी कुछ श्रेणियों को अक्सर मैनुअल मूल्यांकन की आवश्यकता होती है। चौड़ाई के लिए स्वचालित स्कैनिंग का उपयोग करें + गहराई के लिए मैनुअल परीक्षण।
हर 3–4 साल। प्रमुख रिलीज़: 2013, 2017, 2021। प्रत्येक अपडेट खतरे के परिदृश्य में बदलाव को दर्शाता है — 2021 के अपडेट ने असुरक्षित डिज़ाइन (A04) और SSRF (A10) पेश किया जबकि अन्य को पुनर्गठित किया।
सुरक्षा वैकल्पिक नहीं है।
🗡️ KENSAI टीम
Get a free security scan of your website in 60 seconds
Free Security Scan →