OWASP Top 10 в 2025 году: что изменилось и как защититься

OWASP Top 10 — это рейтинг наиболее критичных угроз безопасности веб-приложений, обновляемый раз в 3-4 года сообществом Open Web Application Security Project. Это де-факто стандарт для аудиторов, разработчиков и security-инженеров.

Последняя версия OWASP Top 10 2021 (следующая ожидается в 2025-2026) включила новые категории: Insecure Design, Software and Data Integrity Failures, Server-Side Request Forgery (SSRF). Это отражает эволюцию угроз: от простых инъекций к архитектурным проблемам и цепочкам supply chain.

A01:2021 — Broken Access Control поднялся с 5-го места на 1-е. 94% приложений имеют проблемы с контролем доступа. Защита: принцип минимальных привилегий, deny-by-default, проверка доступа на сервере для каждого запроса.

A02:2021 — Cryptographic Failures (бывший Sensitive Data Exposure). Неправильное шифрование, слабые алгоритмы, хранение паролей в plaintext. Защита: AES-256, Argon2id для хеширования паролей, TLS 1.3.

A03:2021 — Injection (SQLi, XSS, Command Injection, LDAP Injection). Хотя SQLi сместился с 1-го места, он остаётся критичным. Защита: параметризованные запросы, output encoding, CSP.

A05:2021 — Security Misconfiguration. Неправильные настройки серверов, фреймворков, облачных сервисов. Защита: hardening guides, автоматизированное сканирование конфигураций, регулярные патчи.

A06:2021 — Vulnerable and Outdated Components. Устаревшие библиотеки с известными CVE. Защита: SCA-сканирование, Dependabot, Snyk, регулярное обновление зависимостей.

A10:2021 — Server-Side Request Forgery (SSRF). Новая категория. SSRF позволяет серверу делать запросы к внутренним ресурсам от имени злоумышленника. Защита: whitelist URL, отключение неиспользуемых схем (file://, gopher://), сегментация сети.