- 22,013
- 46
- 8 Ноя 2022
Контроль доступа снова провален и снова на первом месте. Когда мы уже научимся?
Организация Open Worldwide Application Security Project (OWASP) опубликовала обновлённый список Top 10 Application Security Risks 2025 — первый после версии 2021 года. Документ был представлен на конференции Global AppSec USA и отражает ключевые направления рисков в разработке веб-приложений и API. По словам сопредседателей проекта Нила Смитлайна и Тани Янки , рейтинг основан на данных тестирования приложений и опросах специалистов.
Как и четыре года назад, лидером списка остаётся Broken Access Control — нарушение механизмов контроля доступа, выявляемое в 3,73% приложений. Среди типичных ошибок: подмена URL для обхода авторизации, отсутствие проверок в API или доступ к закрытым страницам при статусе обычного пользователя. Главная рекомендация OWASP — принцип «deny by default» и строгое разграничение прав пользователей ( A01_2025-Broken_Access_Control ).
На втором месте оказалась Security Misconfiguration — ошибки конфигурации безопасности, которые OWASP называет главным риском для облачных и инфраструктурных систем. Рост категории связан с тем, что безопасность всё чаще обеспечивается настройками окружения, а не встроенными механизмами.
Третью позицию заняли Software Supply Chain Failures — проблемы цепочки поставок ПО. Несмотря на относительно малое число инцидентов, такие уязвимости имеют «наивысшие средние показатели по эксплуатации и влиянию», согласно данным CVE. Категория заменила пункт «Vulnerable and Outdated Components» из предыдущего списка.
Падение с третьего на пятое место испытала категория Injection, охватывающая SQL-инъекции и XSS. OWASP связывает это с ростом внимания тестировщиков и инструментов автоматизированного анализа, что снижает реальную долю таких уязвимостей.
В числе нововведений — категория Mishandling of Exceptional Conditions, включающая ошибки обработки исключительных ситуаций. Сюда относятся состояния гонки, некорректные транзакции и утечки чувствительных данных через сообщения об ошибках. По словам Тани Янки на Reddit , разработчики отвергли слишком широкую формулировку «плохое качество кода» — «совет “пишите лучше” никому не поможет».
Среди изменений — объединение SSRF с контролем доступа и появление раздела по сбоям в цепочке поставок. Полный документ с пояснениями доступен в предпросмотре на сайте OWASP .
Отдельно OWASP ведёт проект для систем на базе генеративных моделей и LLM — OWASP Top 10 for LLM Applications , где на первом месте стоит prompt injection — манипуляции подсказками для обхода ограничений модели.
Реакция сообщества оказалась неоднозначной. Один из разработчиков на Reddit заявил, что ситуация «та же, что и пять, десять и двадцать лет назад», несмотря на прогресс инструментов анализа. Другой пользователь отметил, что для малого бизнеса безопасность остаётся «последней мыслью» — пока не произойдёт инцидент.
Организация Open Worldwide Application Security Project (OWASP) опубликовала обновлённый список Top 10 Application Security Risks 2025 — первый после версии 2021 года. Документ был представлен на конференции Global AppSec USA и отражает ключевые направления рисков в разработке веб-приложений и API. По словам сопредседателей проекта Нила Смитлайна и Тани Янки , рейтинг основан на данных тестирования приложений и опросах специалистов.
Как и четыре года назад, лидером списка остаётся Broken Access Control — нарушение механизмов контроля доступа, выявляемое в 3,73% приложений. Среди типичных ошибок: подмена URL для обхода авторизации, отсутствие проверок в API или доступ к закрытым страницам при статусе обычного пользователя. Главная рекомендация OWASP — принцип «deny by default» и строгое разграничение прав пользователей ( A01_2025-Broken_Access_Control ).
На втором месте оказалась Security Misconfiguration — ошибки конфигурации безопасности, которые OWASP называет главным риском для облачных и инфраструктурных систем. Рост категории связан с тем, что безопасность всё чаще обеспечивается настройками окружения, а не встроенными механизмами.
Третью позицию заняли Software Supply Chain Failures — проблемы цепочки поставок ПО. Несмотря на относительно малое число инцидентов, такие уязвимости имеют «наивысшие средние показатели по эксплуатации и влиянию», согласно данным CVE. Категория заменила пункт «Vulnerable and Outdated Components» из предыдущего списка.
Падение с третьего на пятое место испытала категория Injection, охватывающая SQL-инъекции и XSS. OWASP связывает это с ростом внимания тестировщиков и инструментов автоматизированного анализа, что снижает реальную долю таких уязвимостей.
В числе нововведений — категория Mishandling of Exceptional Conditions, включающая ошибки обработки исключительных ситуаций. Сюда относятся состояния гонки, некорректные транзакции и утечки чувствительных данных через сообщения об ошибках. По словам Тани Янки на Reddit , разработчики отвергли слишком широкую формулировку «плохое качество кода» — «совет “пишите лучше” никому не поможет».
Среди изменений — объединение SSRF с контролем доступа и появление раздела по сбоям в цепочке поставок. Полный документ с пояснениями доступен в предпросмотре на сайте OWASP .
Отдельно OWASP ведёт проект для систем на базе генеративных моделей и LLM — OWASP Top 10 for LLM Applications , где на первом месте стоит prompt injection — манипуляции подсказками для обхода ограничений модели.
Реакция сообщества оказалась неоднозначной. Один из разработчиков на Reddit заявил, что ситуация «та же, что и пять, десять и двадцать лет назад», несмотря на прогресс инструментов анализа. Другой пользователь отметил, что для малого бизнеса безопасность остаётся «последней мыслью» — пока не произойдёт инцидент.
- Источник новости
- www.securitylab.ru
