Новий рейтинг OWASP Top 10 за 2025 рік вже тут, і порівняно з попереднім, порушений контроль доступу все ще є недоліком №1, тоді як неправильні конфігурації безпеки та ризики ланцюга постачання ПЗ є найбільш поширеними. У статті буде детально розглянуто категорії, включаючи те, що нового в останньому виданні.
Важливо: цей перелік є поточним варіантом, який ще розглядається, але в топ 10 вразливостей змін не буде внесено.
Нижче наведено актуальний список проблем безпеки:
- Broken Access Control (Порушений контроль доступу) – без змін
- Security Misconfiguration (Неправильні конфігурації безпеки)
- Software Supply Chain Failures (Збої в ланцюжку постачання ПЗ)
- Cryptographic Failures (Криптографічні збої)
- Injection (Ін’єкція)
- Insecure Design (Небезпечний дизайн)
- Authentication Failures (Помилки автентифікації)
- Software or Data Integrity Failures (Збої цілісності ПЗ або даних) – без змін
- Logging & Alerting Failures (Збої логування та сповіщень) – без змін
- Mishandling of Exceptional Conditions (Неправильна обробка виняткових умов) – нова категорія
Методологія OWASP Top 10
Перелік OWASP Top 10 періодично оновлюється проєктом Open Web Application Security Project (OWASP). Він групує слабкі місця безпеки (CWE) високого рівня серйозності, які є найбільш поширеними на основі даних тестування, опитувань та CVE (загальні вразливості та ризики). CWE описує тип слабкого місця, натомість CVE вказує на конкретний випадок вразливості у продукті.
Порівняно з минулим виданням, нове продовжує зсув у бік першопричин, а не їх “симптомів”. Фактично, єдиною такою категорією залишилася ін’єкція, адже багато що може її викликати.
Важливо зауважити, що OWASP Top 10 не є чеклістом, він лише показує поточний ландшафт вразливостей для загального розуміння. Деякі категорії навіть не можуть бути напряму протестовані.
Нижче наведена більш детальна інформація про кожну вразливість.
1. Порушений контроль доступу
Він охоплює 40 окремих проблем безпеки, які можуть дозволити зловмисникам отримати доступ до заборонених даних, ресурсів, облікових записів користувачів або операцій.
Приклади CWE включають деякі шляхи розкриття конфіденційної інформації, відсутню або неправильну авторизацію та неправильне зберігання чутливих даних.
Можливо, трохи суперечливо, але підробка запитів на стороні сервера (SSRF) тепер також включена сюди як тип проблеми контролю доступу, а не як окрема категорія, як у попередньому виданні.
2. Неправильні конфігурації безпеки
Типові вразливості, що належать до цієї категорії, включають відсутні або неправильні заголовки безпеки та запуск ПЗ з налаштуваннями за замовчуванням.
Також з 2021 року до них включено XXE (XML External Entity) – тип вразливості в обробці XML-даних, який дозволяє зловмиснику змусити сервер прочитати або виконати зовнішню XML-сутність (external entity).
3. Збої в ланцюжку постачання ПЗ
Взаємопов’язаність і залежність від сторонніх компонентів розширили поверхню атаки, що було фактором багатьох гучних кібератак з 2021 року, від Log4Shell до MoveIT та інших, тому великий стрибок для цієї категорії не є несподіванкою. Половина учасників опитування спільноти поставила її на перше місце серед ризиків безпеки.
4. Криптографічні збої
Категорія включає 32 вразливості, пов’язані з усіма аспектами шифрування даних. Поширеним недоліком безпеки з цієї категорії є використання слабких алгоритмів хешування, що робить додатки вразливими до brute force атак.
5. Ін’єкція
Категорія містить окремі вразливості, що охоплюють SQL-ін’єкції, міжсайтовий скриптинг (XSS), ін’єкції команд тощо. Цих CWE всього 37, і вони здебільшого є різними видами неправильної нейтралізації або валідації вхідних даних.
6. Небезпечний дизайн
Ця категорія охоплює недоліки безпеки, спричинені помилками або упущеннями в дизайні та архітектурі застосунків. Наприклад, якщо дизайн системи не включає детальне керування користувачами, важко очікувати безпечного контролю доступу на основі ролей у кінцевій програмі.
7. Помилки автентифікації
Вони тісно пов’язані з поточною категорією №1 “Порушений контроль доступу”, але зосереджені саме на недоліках автентифікації користувачів, таких як слабкі або відсутні паролі та різні способи обходу автентифікації. “Порушений контроль доступу”, навпаки, стосується помилок авторизації, які виникають після автентифікації користувача.
36 CWE у цій категорії перетинаються з багатьма знайомими ризиками ІТ-безпеки, такими як повторне використання паролів, незастосування багатофакторної автентифікації та надмірні тайм-аути сесій користувачів.
8. Збої цілісності ПЗ або даних
Атака SolarWinds 2020 року є гучним прикладом нездатності забезпечити цілісність програмного забезпечення. 14 CWE у цій категорії включають небезпечну десеріалізацію, коли збережені дані з ненадійних джерел (або довірених даних, що зберігаються після серіалізації) завантажуються та використовуються без перевірки.
Автори уточнюють, що ця категорія стосується “нездатності підтримувати та перевіряти цілісність ПЗ, коду та артефактів даних на нижчому рівні, ніж збої ланцюга постачання програмного забезпечення”.
9. Збої логування та сповіщень
Ця категорія має вирішальне значення для операційної безпеки, оскільки без логування активності та відповідних сповіщень не можна швидко виявити підозрілі дії.
Одна з охоплених CWE стосується саме неправильної обробки логів, що може дозволити зловмисникам використовувати журнали як вектор атаки або змінювати їх, щоб замести свої сліди.
10. Неправильна обробка виняткових умов
Вона охоплює широкий спектр недоліків безпеки, пов’язаних з обробкою помилок, які можуть або розкрити інформацію зловмисникам, або дозволити їм викликати помилки як частину ланцюжка атак. Збій або неправильна поведінка програми часто є першим кроком розвідки для зловмисників та пентестерів, які шукають спосіб проникнення.
Найпоширенішим прикладом є надмірно детальні повідомлення про помилки, які розкривають зловмиснику внутрішню інформацію про систему або програму. Наприклад, вони можуть включати назви стовпців бази даних, повернуті в повідомленні про помилку.
Тестування на наявність вразливостей OWASP Top 10
Зараз OWASP Top 10 передбачає саме стратегічний погляд на безпеку додатків. Кілька категорій ризиків тепер спеціально не призначені для тестування, або принаймні їх нелегко тестувати.
Однак люди щодня говорять про “тестування на OWASP Top 10”, тому що це зручне скорочення для перевірки всіх поширених вразливостей з високим рівнем впливу, які можна тестувати.
DAST-платформа Invicti поєднує широкий спектр перевірок безпеки, а також включає вбудований звіт сканування “OWASP Top 10”, щоб зручно показати поточний стан щодо найпоширеніших слабких місць безпеки вебдодатків, які можна перевірити.
Щоб безкоштовно протестувати рішення Invicti з функцією підтвердження вразливостей та широким покриттям прихованих недоліків, залиште ваші контактні дані нижче, і ми з вами зв’яжемося:
Запит на безкоштовне тестування Invicti
Залиште контакти і ми з вами зв’яжемось
