OWASP Top 10 là gì?

Question

OWASP Top 10 là gì?

Accepted Answer

**OWASP Top 10** là một danh sách được công nhận rộng rãi về **các rủi ro bảo mật ứng dụng web nghiêm trọng nhất**, được công bố bởi OWASP (Open Worldwide Application Security Project). Đây là một tài nguyên nhận thức thiết yếu để hiểu các lỗ hổng phổ biến mà lập trình viên phải phòng thủ.

## OWASP Top 10 là gì

```text
Một danh sách được cập nhật thường xuyên về TOP 10 rủi ro bảo mật web nghiêm trọng nhất:
  → dựa trên dữ liệu thực tế và sự đồng thuận của chuyên gia
  → một tài liệu NHẬN THỨC tiêu chuẩn — chuẩn cơ bản về các lỗ hổng cần biết và phòng ngừa
  → không đầy đủ, nhưng là các rủi ro quan trọng/phổ biến nhất cần xử lý trước
```

## Các hạng mục (OWASP Top 10 gần đây)

```text
1. BROKEN ACCESS CONTROL → người dùng truy cập thứ họ không được phép (lỗi authorization)
2. CRYPTOGRAPHIC FAILURES → encryption yếu/thiếu; dữ liệu nhạy cảm bị lộ
3. INJECTION → SQL injection, command injection (đầu vào không tin cậy thành code/query)
4. INSECURE DESIGN → lỗi bảo mật ngay trong thiết kế
5. SECURITY MISCONFIGURATION → mặc định không an toàn, cài đặt bị lộ, lỗi chi tiết quá mức
6. VULNERABLE/OUTDATED COMPONENTS → dùng thư viện có lỗ hổng đã biết
7. AUTHENTICATION FAILURES → auth yếu, quản lý session lỗi
8. DATA INTEGRITY FAILURES → deserialization không an toàn, cập nhật không tin cậy (supply chain)
9. LOGGING/MONITORING FAILURES → không thể phát hiện/phản ứng với tấn công
10. SSRF → server-side request forgery (server bị lừa thực hiện request)
```

## Tại sao nó có giá trị

```text
✓ Một CHECKLIST có ưu tiên về những gì cần phòng thủ (các rủi ro phổ biến/nghiêm trọng nhất)
✓ NGÔN NGỮ chung để thảo luận về bảo mật ứng dụng; được tham chiếu rộng rãi trong ngành
✓ Giáo dục — học các nhóm lỗ hổng chính và cách phòng ngừa chúng
→ Một tài liệu tham chiếu nền tảng cho bất kỳ lập trình viên/đội nào xây dựng web app an toàn.
```

## Tại sao điều này quan trọng

Hiểu về OWASP Top 10 có giá trị vì đó là **tài liệu tham chiếu tiêu chuẩn cho các rủi ro bảo mật ứng dụng web nghiêm trọng nhất**, cung cấp nhận thức thiết yếu về các lỗ hổng mà lập trình viên phải phòng thủ, nên đó là kiến thức bảo mật nền tảng.

OWASP Top 10 — một danh sách dựa trên dữ liệu, được cập nhật thường xuyên về các rủi ro bảo mật ứng dụng web hàng đầu — đóng vai trò là **chuẩn cơ bản về các lỗ hổng mà mọi lập trình viên xây dựng web app nên biết**, đại diện cho các rủi ro phổ biến và nghiêm trọng nhất cần xử lý.

Hiểu các **hạng mục** — bao gồm **broken access control** (lỗi authorization), **injection** (SQL injection và tương tự, một nhóm cổ điển và nguy hiểm), **cryptographic failures** (encryption yếu, dữ liệu bị lộ), **security misconfiguration**, **vulnerable/outdated components** (dùng thư viện có lỗ hổng đã biết), **authentication failures**, và các loại khác — cho lập trình viên nhận thức về các nhóm lỗ hổng chính và những gì cần phòng thủ.

Nhận thức này là nền tảng vì bạn không thể phòng ngừa các lỗ hổng mà bạn không biết, và OWASP Top 10 bao gồm những lỗ hổng dễ gây ra vi phạm thực tế nhất.

Hiểu **tại sao nó có giá trị** — như một checklist có ưu tiên về những gì cần phòng thủ, một ngôn ngữ chung để thảo luận về bảo mật, và một tài nguyên giáo dục để học các nhóm lỗ hổng — phản ánh vai trò của nó như một tài liệu tham chiếu nền tảng của ngành.

OWASP Top 10 được tham chiếu rộng rãi trong các thảo luận về bảo mật, đào tạo và tiêu chuẩn, khiến sự quen thuộc với nó trở thành kỳ vọng cơ bản đối với các lập trình viên có ý thức về bảo mật.

Vì bảo mật ứng dụng web đòi hỏi phòng thủ các lỗ hổng phổ biến, nghiêm trọng và OWASP Top 10 là tài liệu tham chiếu tiêu chuẩn xác định chúng (broken access control, injection, crypto failures, v.v.), và vì hiểu nó cung cấp nhận thức thiết yếu về những gì cần phòng ngừa, nên hiểu về OWASP Top 10 là kiến thức bảo mật nền tảng có giá trị — tài liệu tham chiếu nhận thức tiêu chuẩn cho các rủi ro bảo mật ứng dụng web, thiết yếu để biết các lỗ hổng chính cần phòng thủ, và là chuẩn cơ bản cho bất kỳ lập trình viên hay đội nào xây dựng ứng dụng an toàn, thường xuyên được tham chiếu trong ngành và giáo dục bảo mật.