Top 10 OWASP Web Application Security Risks (2026)
Login စနစ်ပေါက်တာ၊ Database ထဲက Data တွေ အစိမ်းလိုက် Leak ဖြစ်တာတွေကစလို့... သူများ Code သုံးရင်း ကိုယ့် System ပါ အဟက်ခံရတဲ့ အကြောင်းအရာတွေအထိ တကယ့်လက်တွေ့ဖြစ်နေတဲ့ အားနည်းချက် ၁၀ ချက်။
ဒီနေ့တော့ Web Security ရဲ့ အားနည်းချက် (၁၀) ချက်အကြောင်း နည်းနည်း share ပေးချင်ပါတယ်။ အရင်နှစ်တွေက ဟာတွေနဲ့ သိပ်မကွာဘူးထင်ရပေမယ့် တကယ့်မြေပြင်မှာ ဟက်ကာတွေ Attack လုပ်နေတဲ့ အထာတွေကတော့ တော်တော်လေး ပြောင်းသွားပါပြီ။
လက်ရှိ ဆော့ဖ်ဝဲလ်လောကမှာ အဖြစ်အများဆုံးနဲ့ ကျွန်တော်တို့ Developer တွေ အကြောက်ရဆုံး Top 10 ကတော့ ဒီကောင်တွေပါပဲ -
1. Access Control ကျိုးပေါက်ခြင်း
ရိုးရိုး User အကောင့်နဲ့ ဝင်လာပြီး Admin အလုပ်တွေ လှမ်းလုပ်လို့ရနေတာမျိုး။ URL မှာ /user/123 ကနေ 124 လို့ ပြောင်းလိုက်ရုံနဲ့ တခြားသူရဲ့ Profile ကြီး ပေါ်လာတာမျိုးတွေက ခုထိ နံပါတ် (၁) နေရာမှာ အများဆုံးဖြစ်နေတုန်းပါပဲ။
2. Configs တွေ ချို့ယွင်းနေတာ
Code က ဘယ်လောက် မိုက်နေပါစေ... Database ကို Cloud (AWS/GCP) ပေါ်တင်ပြီး Default Password ဖြစ်တဲ့ admin/password အတိုင်း ထားထားတာ၊ Directory Listing တွေ မပိတ်ထားတာတွေက ခဏခဏ အဟက်ခံရလေ့ရှိတဲ့ အကြောင်းအရင်းတစ်ခုပါ။
3. သူများ Code ယူသုံးရင်း အဖောက်ခံရခြင်း
ကိုယ့်ဘာသာ သေသေချာချာ ရေးထားပေမယ့်၊ project ထဲ ဆွဲထည့်ထားတဲ့ NPM Package က ဟက်ခံရပြီးသား ဖြစ်နေတာမျိုးပေါ့။ အခုနောက်ပိုင်း အဲ့ဒီလို Third-party Library တွေ ကတစ်ဆင့် နောက်ကျော ဓားအထိုးခံရတာ တော်တော်လေး အဖြစ်များလာတယ်။
4. Encryption မလုပ်မိတဲ့ ပြဿနာ
Database ထဲမှာ Password တွေ၊ Credit Card နံပါတ်တွေကို ဘာ Encryption မှ မခံဘဲ Plain Text အတိုင်း (အစိမ်းလိုက်) သိမ်းထားမိတာမျိုး။ Hashing လုပ်ရင်တောင် MD5 လိုမျိုး Crack ရလွယ်တဲ့ အဟောင်းတွေ သုံးထားရင် ဒေတာတွေအကုန် Leak ဖြစ်တတ်ပါတယ်။
5. လွယ်လွယ်နဲ့ ခုထိ မသေတဲ့ Injection Attacks
SQL Injection က ခေတ်ကုန်ပြီလို့ ထင်ရပေမယ့် NoSQL, ORM တွေမှာတောင် Input ကို သေချာ မစစ်မိလို့ Commands တွေ၊ Script တွေ (XSS) အထိုးခံရတဲ့ ပြဿနာက ဆက်ရှိနေဆဲပါပဲ။ ကိုယ့် Application က ပေးလိုက်တဲ့ User Input တွေကို တိုက်ရိုက် မယုံဖို့ အရေးကြီးပါတယ်။
6. အစကတည်းက စည်းပေါက်နေတဲ့ Design
Code ပိုင်းဆိုင်ရာ error ကြောင့်မဟုတ်ဘဲ Architecture ရေးဆွဲကတည်းက အားနည်းချက်ပါနေတာပါ။ ဥပမာ - Forgot Password လုပ်တဲ့အခါ Security Question က "မင်္ဂလာဆောင်တဲ့နှစ်" လိုမျိုး Facebook မှာ သွားရှာရင် တွေ့နိုင်တဲ့ မေးခွန်းမျိုးကို သုံးထားတာတွေပေါ့။
7. Login စနစ်တွေ ငုတ်တုတ်မေ့သွားတာ
Brute-force (Password တွေ Random ရိုက်သွင်းပြီး ခန့်မှန်းတာ) ကို Rate Limit (အကြိမ်အရေအတွက်) အကန့်အသတ်နဲ့ မတားထားဘူးဆိုရင် ဖြစ်တတ်ပါတယ်။ Session Timeout သေချာ မသတ်မှတ်တာတွေကြောင့် ခဏခဏ အဖောက်ခံရတတ်လို့ MFA လိုမျိုး တပ်ထားဖို့ လိုလာပါပြီ။
8. Data ရဲ့ အရင်းအမြစ် မှန်/မမှန် မစစ်တာ
Auto Update သွင်းခိုင်းတဲ့အခါဖြစ်ဖြစ်၊ Plugin အသစ်တင်တဲ့အခါပဲဖြစ်ဖြစ် File က Original ဟုတ်မဟုတ် (Signature) မစစ်ဘဲ Run လိုက်ရာကနေ စက်ထဲကို ဗိုင်းရပ်စ် (Ransomware) တန်းဝင်လာတာမျိုး ဖြစ်ပါတယ်။
9. အဟက်ခံရတာကို မသိလိုက်တဲ့ ပြဿနာ
ဒါက တော်တော်ဆိုးပါတယ်။ ကိုယ့်ဆာဗာကို တစ်မိနစ်အတွင်း အကြိမ်ထောင်ချီပြီး လာစမ်းနေတာကိုတောင် Logs တွေလည်း မရှိ၊ Alert လည်း မရလိုက်ဘဲ ဒေတာတွေ ပါသွားမှ သိလိုက်ရတာမျိုးပါ။
10. Errors တွေကို ကိုင်တွယ်ပုံ လွဲချော်တာ
ဆာဗာ Down တဲ့အခါဖြစ်ဖြစ် Error တက်တဲ့အခါမျိုးမှာပဲဖြစ်ဖြစ် Normal Message လေး ပြရမယ့်အစား၊ Hacker တွေကို အသုံးဝင်စေမယ့် System Path တွေ၊ Database Version တွေကို Stack Trace ကြီးနဲ့ ချပြလိုက်သလို ဖြစ်သွားတတ်ပါတယ်။
ဒီ (၁၀) ချက်ကတော့ ကျွန်တော်တို့ Developer တွေအနေနဲ့ အနည်းဆုံး သိထား၊ ကာကွယ်ထားသင့်တဲ့ အခြေခံအချက်တွေပဲ ဖြစ်ပါတယ်ဗျ။ နောက်ပိုင်းမှ တခြား Advanced ဖြစ်တဲ့ Security အကြောင်းတွေကို ဆက်ပြီး share ပေးသွားပါမယ်!
