Новый рейтинг OWASP Top 10 за 2025 год уже здесь, и по сравнению с предыдущим, нарушенный контроль доступа все еще является недостатком №1, тогда как неправильные конфигурации безопасности и риски цепочки поставок ПО являются наиболее распространенными. В статье будут подробно рассмотрены категории, включая то, что нового в последнем издании.
Примечание: Этот перечень является текущим вариантом, который еще рассматривается, но в топ 10 уязвимостей изменений не будет.
Ниже представлен актуальный список проблем безопасности:
- Broken Access Control (Нарушенный контроль доступа) – без изменений
- Security Misconfiguration (Неправильные конфигурации безопасности)
- Software Supply Chain Failures (Сбои в цепочке поставок ПО)
- Cryptographic Failures (Криптографические сбои)
- Injection (Инъекция)
- Insecure Design (Небезопасный дизайн)
- Authentication Failures (Ошибки аутентификации)
- Software or Data Integrity Failures (Сбои целостности ПО или данных) – без изменений
- Logging & Alerting Failures (Сбои логирования и уведомлений) – без изменений
- Mishandling of Exceptional Conditions (Неправильная обработка условий исключений) – новая категория
Методология OWASP Top 10
Список OWASP Top 10 периодически обновляется проектом Open Web Application Security Project (OWASP). Он группирует слабые места безопасности (CWE) высокого уровня серьезности, которые наиболее распространены на основе данных тестирования, опросов и CVE (общие уязвимости и риски). CWE описывает тип слабого места, а CVE указывает на конкретный случай уязвимости в продукте.
По сравнению с прошлым изданием, новое продолжает сдвиг в сторону первопричин, а не их “симптомов”. Фактически единственной такой категорией осталась инъекция, ведь многое может ее вызвать.
Важно отметить, что OWASP Top 10 это не чеклист, он лишь показывает текущий ландшафт уязвимостей для общего понимания. Некоторые категории даже не могут быть протестированы напрямую.
Ниже приведена более подробная информация о каждой уязвимости.
1. Нарушенный контроль доступа
Он включает 40 отдельных проблем безопасности, которые могут позволить злоумышленникам получить доступ к запрещенным данным, ресурсам, учетным записям пользователей или операциям.
Примеры CWE включают в себя некоторые пути раскрытия конфиденциальной информации, отсутствующую или неправильную авторизацию и неправильное хранение чувствительных данных.
Возможно, несколько противоречиво, но подделка запросов на стороне сервера (SSRF) теперь также включена сюда как тип проблемы контроля доступа, а не как отдельная категория, как в предыдущем издании.
2. Неправильные конфигурации безопасности
Типичные уязвимости, относящиеся к данной категории, включают в себя отсутствующие или неправильные заголовки безопасности и запуск ПО с настройками по умолчанию.
Также с 2021 года в них включен XXE (XML External Entity) – тип уязвимости в обработке XML-данных, позволяющий злоумышленнику заставить сервер прочитать или выполнить внешнюю XML-сущность (external entity).
3. Сбои в цепочке ПО
Взаимосвязь и зависимость от посторонних компонентов расширили поверхность атаки, что было фактором многих громких кибератак с 2021 года, от Log4Shell до MoveIT и других, поэтому большой скачок для этой категории не является неожиданностью. Половина участников опроса поставила его на первое место среди рисков безопасности.
4. Криптографические сбои
Категория включает 32 уязвимости, связанных со всеми аспектами шифрования данных. Распространенным недостатком безопасности этой категории является использование слабых алгоритмов хеширования, что делает приложения уязвимыми к brute-force атакам.
5. Инъекция
Категория содержит отдельные уязвимости, охватывающие SQL-инъекции, межсайтовый скриптинг (XSS), инъекции команд и т.д. Этих CWE всего 37, и они в большинстве своем являются разными видами неправильной нейтрализации или валидации входных данных.
6. Небезопасный дизайн
Эта категория охватывает недостатки безопасности, вызванные ошибками или упущениями в дизайне и архитектуре приложений. Например, если дизайн системы не включает в себя детальное управление пользователями, трудно ожидать безопасного контроля доступа на основе ролей в итоговой программе.
7. Ошибки аутентификации
Они тесно связаны с текущей категорией №1 “Нарушенный контроль доступа”, но сосредоточены именно на недостатках аутентификации пользователей, таких как слабые или отсутствующие пароли и различные способы обхода аутентификации. “Нарушенный контроль доступа”, напротив, касается ошибок авторизации, возникающих после аутентификации пользователя.
36 CWE в этой категории пересекаются со многими знакомыми рисками IT-безопасности, такими как повторное использование паролей, неприменение многофакторной аутентификации и чрезмерные тайм-ауты сессий пользователей.
8. Сбои целостности ПО или данных
Атака SolarWinds 2020 является примером неспособности обеспечить целостность программного обеспечения. 14 CWE в этой категории включают небезопасную десериализацию, когда хранимые данные из ненадежных источников (или доверенных данных, хранящихся после сериализации) загружаются и используются без проверки.
Авторы уточняют, что эта категория касается “неспособности поддерживать и проверять целостность ПО, кода и артефактов данных на более низком уровне, а не сбои цепи поставки программного обеспечения”.
9. Сбои логирования и уведомлений
Эта категория имеет решающее значение для операционной безопасности, поскольку без логирования активности и соответствующих уведомлений нельзя обнаружить подозрительные действия.
Одна из охваченных CWE касается именно неправильной обработки логов, которая может позволить злоумышленникам использовать журналы как вектор атаки или менять их, чтобы замести свои следы.
10. Неправильная обработка исключительных условий
Она включает широкий спектр недостатков безопасности, связанных с обработкой ошибок, которые могут либо раскрыть информацию злоумышленникам, либо позволить им вызвать ошибки как часть цепочки атак. Сбой или неправильное поведение программы часто являются первым шагом разведки для злоумышленников и пентестеров, ищущих способ проникновения.
Самым распространенным примером является чрезмерно подробные сообщения об ошибках, раскрывающих злоумышленнику внутреннюю информацию о системе или программе. Например, они могут включать в себя названия столбцов базы данных, возвращенные в сообщении об ошибке.
Тестирование на наличие уязвимостей OWASP Top 10
Сейчас OWASP Top 10 подразумевает именно стратегический взгляд на безопасность приложений. Несколько категорий рисков теперь специально не предназначены для тестирования или, по крайней мере, их нелегко тестировать.
Однако люди каждый день говорят о “тестировании на OWASP Top 10”, потому что это удобное сокращение для проверки всех распространенных уязвимостей с высоким уровнем влияния, которые можно тестировать.
DAST-платформа Invicti объединяет широкий спектр проверок безопасности, а также включает встроенный отчет сканирования “OWASP Top 10”, чтобы удобно показать текущее состояние наиболее распространенных слабых мест безопасности веб-приложений, которые можно протестировать.
Чтобы бесплатно попробовать решение Invicti с функцией подтверждения уязвимостей и широким покрытием скрытых недостатков, оставьте ваши контактные данные ниже, и мы с вами свяжемся:
Запрос на бесплатное тестирование Invicti
Оставьте контакты и мы с вами свяжемся
