Сбои в цепочке поставок программного обеспечения и неправильная обработка исключительных условий — некоторые из дополнений к обновленному списку OWASP Top 10, перечню основных уязвимостей веб-приложений.
Большая часть списка осталась неизменной с 2021 года. По сути, первый пункт, «нарушенный контроль доступа», присутствует в списке Open Worldwide Application Security Project с момента его первого выпуска в 2003 году.
«Каждый пытается создать собственные механизмы аутентификации и контроля доступа», — говорит Джефф Уильямс, технический директор и соучредитель Contrast Security. Уильямс составил список и восемь лет возглавлял правление OWASP.
Существуют стандартные механизмы, но у большинства приложений есть специфические потребности, говорит он. «Я видел действительно ужасные, кошмарные системы, которые люди создавали для проверки контроля доступа, и они не делали это элегантно. Они строили их по частям. «О, мы создаем эту функцию, нам нужно провести проверку доступа» — и они создавали свою собственную проверку доступа. И почти никто не тестирует контроль доступа».
Типичное веб-приложение может иметь сотню конечных точек, говорит Уильямс, к каждой из которых может иметь доступ ряд различных ролей. «Теперь вам нужно убедиться, что каждый из этих маршрутов работает в каждой из этих ролей. Большинство людей сканируют свое приложение с учетом одной роли, например, обычного пользователя. И, возможно, администратора. Но может быть двадцать разных ролей, поэтому проверить это очень сложно».
ИИ не попал в десятку лидеров, но был включен в раздел «следующие шаги», охватывающий проблемы на грани включения, а также недостаточную устойчивость приложений и сбои управления памятью.
Эта категория ИИ называется: X03:2025 Ненадлежащее доверие к коду, сгенерированному ИИ («Vibe Coding»).
«Хотя у нас не было данных, подтверждающих, что код, сгенерированный ИИ, вызывает значительно больший риск, чем код, написанный человеком, благодаря отзывам сообщества, профессиональному опыту и постоянному онлайн-обмену такими данными, мы сочли целесообразным добавить раздел», — говорит Таня Джанка, ведущий автор OWASP Top 10.
Разработчики должны читать и полностью понимать код, сгенерированный ИИ, прежде чем фиксировать его, говорит она.
Список OWASP Top 10 основан на сочетании данных по безопасности от дюжины различных организаций, охватывающих почти 3 миллиона приложений, а также на опросе 221 эксперта по безопасности, говорит Арам Овсепян, эксперт по метрикам безопасности, генеральный директор Codific и член OWASP.
Вот топ-10:
1 — Нарушенный контроль доступа
Когда приложения не могут должным образом обеспечить соблюдение ограничений на действия, разрешенные аутентифицированным пользователям, что позволяет злоумышленникам получать доступ к неавторизованным функциям или данным. Например, злоумышленник может манипулировать параметром URL для доступа к информации учетной записи другого пользователя или повысить свои привилегии от обычного пользователя до администратора. Этот пункт теперь включает подделку запросов на стороне сервера (SSRF), которая была отдельным пунктом в 2021 году.
2 — Неправильная конфигурация безопасности
Параметры безопасности неправильно определены, реализованы или поддерживаются, оставляя системы уязвимыми для атак. Распространенные примеры включают учетные данные по умолчанию, которые никогда не меняются, ненужные включенные функции, подробные сообщения об ошибках, раскрывающие конфиденциальную информацию, или общедоступные облачные хранилища. Эта уязвимость переместилась с пятого места в 2021 году на второе место в 2025 году.
3 — Сбои в цепочке поставок программного обеспечения
Злоумышленники компрометируют программное обеспечение во время сборки, распространения или обновлений для внедрения вредоносного кода, который распространяется на несколько организаций. Например, злоумышленники могут скомпрометировать популярную библиотеку с открытым исходным кодом и внедрить вредоносный код, который затем будет включен в тысячи приложений, зависящих от нее, или взломать систему поставщика, чтобы вставить бэкдоры в легитимные обновления программного обеспечения. Это новый пункт списка, хотя в 2021 году существовал более узкий связанный пункт — уязвимые и устаревшие компоненты.
«Разработчики стали основной мишенью для многих онлайн-атак», — говорит Джанка. «Это больше не проблема включения библиотеки с сомнительной зависимостью». Вместо этого, говорит она, теперь существуют активные атаки на IDE, конвейеры CI/CD, плагины и репозитории, рабочие станции разработчиков и многое другое. «Вся цепочка поставок программного обеспечения в настоящее время является фокусом для атакующих», — говорит она.
4 — Криптографические сбои
Приложения не могут должным образом защитить конфиденциальные данные с помощью шифрования или используют слабые или нарушенные криптографические алгоритмы. Примеры включают передачу конфиденциальных данных в открытом тексте, использование слабых алгоритмов шифрования, неправильную проверку сертификатов SSL/TLS или хранение паролей без надлежащего хеширования. Эти сбои часто приводят к раскрытию конфиденциальных данных или компрометации системы. Этот пункт переместился со второго места в списке 2021 года.
5 — Инъекции
Ненадежные данные отправляются как часть команды или запроса, обманывая приложение, заставляя его выполнять непреднамеренные команды или получать доступ к неавторизованным данным. Примеры варьируются от межсайтового скриптинга (XSS), когда злоумышленники внедряют вредоносные скрипты на веб-страницы, просматриваемые другими пользователями, до SQL-инъекций, когда они используют запросы к базе данных для доступа или изменения конфиденциальных данных. Этот пункт также сместился на несколько позиций вниз в списке этого года.
6 — Небезопасная архитектура
Безопасность должным образом не учитывалась на этапе проектирования приложения, что привело к отсутствию или неэффективности средств контроля. Примеры включают неспособность реализовать надлежащее моделирование угроз, не установление требований безопасности перед началом разработки или проектирование систем, лишенных многоуровневой защиты. Эта категория была введена в 2021 году для фокусировки на ошибках проектирования и архитектуры, а не на ошибках реализации, но она переместилась на несколько позиций вниз, поскольку отрасль добилась заметных улучшений в моделировании угроз.
7 — Сбои аутентификации
Приложения не могут должным образом проверить личность пользователей или не могут защитить учетные данные для входа и токены сеанса. Примеры включают разрешение атак методом перебора, разрешение слабых паролей, раскрытие идентификаторов сеанса в URL-адресах, неправильную отмену сеансов после выхода из системы или отказ от реализации многофакторной аутентификации для конфиденциальных функций.
8 — Сбои целостности программного обеспечения или данных
Приложения не могут поддерживать границы доверия и проверять целостность программного обеспечения, кода и артефактов данных. Примеры включают приложения, которые полагаются на плагины, библиотеки или модули из ненадежных источников без проверки целостности, небезопасные конвейеры CI/CD, которые позволяют изменять код перед развертыванием, или приложения, которые автоматически обновляются без проверки цифровых подписей.
9 — Сбои в ведении журналов безопасности и оповещении
Приложения не регистрируют события, связанные с безопасностью, или не оповещают команды безопасности при возникновении подозрительных действий. Примеры включают отсутствие регистрации неудачных попыток входа, локальное хранение журналов без резервного копирования, регистрацию недостаточных сведений для восстановления атак или создание журналов, которые не интегрируются с системами управления информацией и событиями безопасности (SIEM). Отличное ведение журналов без оповещения имеет минимальную ценность для выявления инцидентов безопасности.
10 — Неправильная обработка исключительных условий
Приложения не могут должным образом обрабатывать ошибки, граничные случаи и нештатные условия, что приводит к уязвимостям безопасности. Примеры включают отображение подробных сообщений об ошибках, раскрывающих конфиденциальную информацию об архитектуре системы, сбои проверок безопасности, допускающие неавторизованный доступ при возникновении ошибок, или сбои приложений, раскрывающие конфиденциальные данные в дампе памяти.
Это категория, которая несколько лет находилась за пределами первой десятки, говорит Брайан Гласс, заведующий кафедрой информатики в Юнион-университете и руководитель проекта OWASP. По его словам, на этот пункт повлияли не данные о существующих уязвимостях, а опрос экспертов.
«Если бы это было чисто основано на данных, у нас не было бы точного списка, поскольку он смотрел бы только в прошлое».
Связанные истории:
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maria Korolov
