OWASP ТОП10 (2025): Новая реальность веб-безопасности

Home OWASP ТОП10 (2025): Новая реальность веб-безопасности
chatgpt image 10 нояб. 2025 г., 21 10 52

OWASP ТОП10 (2025): Новая реальность веб-безопасности

В 2025 году кибербезопасность изменилась гораздо сильнее, чем за любой предыдущий период за одно десятилетие. Появление генеративного ИИ, автоматизированных атак, масштабных supply-chain компрометаций и сервисов «взлом как услуга» создало мир, в котором любая уязвимость живёт не месяцами — а часами.

Организация OWASP опубликовала обновлённый рейтинг самых критичных веб-уязвимостей, и он ясно показывает: старые проблемы никуда не ушли — но появилось и много новых рисков.

Ниже — объяснение каждой угрозы, примеры реальных атак и практические рекомендации.

1. Broken Access Control (Нарушенный контроль доступа)

Суть: Пользователь получает доступ к тому, к чему не должен иметь доступа.

Пример:
Пользователь меняет user_id=10 на user_id=11 и внезапно видит чужой профиль или документы.

Почему стало критичнее:

  • Микросервисы → больше разрозненных правил.
  • API без строгой авторизации.
  • Рост клиентских SPA, где логика доступа «прячется в фронтенде».

Как защититься:

  • Проверять права на сервере, не только на клиенте.
  • Использовать RBAC/ABAC.
  • Проводить регулярные тесты на IDOR (Insecure Direct Object Reference).

2. Cryptographic Failures (Криптографические ошибки)

Суть: Использование небезопасных алгоритмов, отсутствие шифрования или неправильное управление ключами.

Сейчас это особенно важно, потому что:

  • Сервисы ИИ и облачные API пересылают миллиарды конфиденциальных сообщений.
  • Утечка данных = юридические штрафы + потеря доверия.

Что делать:

  • Применять TLS 1.3.
  • Использовать HSM или KMS (AWS, Azure, GCP).
  • Запретить MD5, SHA1, RC4, DES.

3. Injection (Инъекции — SQL, NoSQL, LDAP, OS-команды)

Несмотря на годы обучения разработчиков, SQL-инъекции по-прежнему встречаются постоянно — особенно в проектах на PHP, Python и Node.

Почему живут до сих пор:

  • В спешке разработчики пишут SQL через конкатенацию.
  • Новые базы (MongoDB, Firestore) тоже уязвимы: теперь это NoSQL-инъекции.

Решение:

  • Всегда использовать подготовленные выражения.
  • ORM снижает риск, но не защищает на 100%.

4. Insecure Design (Небезопасная архитектура)

Это новая и очень важная категория.

Проблема не в баге кода — а в самой логике системы.

Пример:
Отсутствие лимитов на количество запросов → атака подбором пароля становится тривиальной.

Как исправить:

  • Включать специалистов по безопасности на стадии проектирования.
  • Делать threat modeling (моделирование угроз).

5. Security Misconfiguration (Ошибки конфигурации)

Топ №1 среди реальных атак в 2024–2025.

Причины:

  • Необновлённые Docker-образы.
  • Открытые S3-бакеты.
  • Отладка включена в production.

Как исправить:

  • Автоматические проверки конфигураций (CIS Benchmarks).
  • “Infrastructure as Code” + линтеры для Terraform / Kubernetes.

6. Vulnerable and Outdated Components (Уязвимые и устаревшие зависимости)

72% взломов в 2025 начинаются через зависимость.

Примеры:

  • npm-пакеты с вредоносными обновлениями.
  • Взломы через популярные WordPress-плагины.

Что делать:

  • Использовать Dependabot / Renovate.
  • Удалять пакеты, которые «установлены, но не используются».
  • Проверять чексуммы и цифровые подписи.

7. Identification and Authentication Failures (Ошибки идентификации и аутентификации)

Пароли больше не являются главным методом защиты.

Проблемы:

  • People reuse passwords.
  • Credential stuffing атаки автоматизированы.

Решение:

  • MFA по умолчанию.
  • Passkeys и FIDO2.
  • Ограничение сессий по устройству и географии.

8. Software and Data Integrity Failures (Проблемы целостности данных и компонентов)

Сюда входит знаменитый supply-chain attack.

Пример реального кейса:
Злоумышленник захватывает maintainer-аккаунт npm-пакета → добавляет бэкдор → тысячи сайтов становятся уязвимы в один день.

Решение:

  • Подпись всех сборок.
  • Контроль цепочек поставок.
  • SBOM (Software Bill of Materials).

9. Security Logging & Monitoring Failures (Отсутствие мониторинга и логирования)

Если вы не видите атаку — вы уже проиграли.

Решение:

  • WAF + SIEM (например, Splunk, Sentinel, CrowdStrike).
  • Корреляция событий.
  • Реагирование в реальном времени.

10. Server-Side Request Forgery (SSRF)

Одна из самых активно эксплуатируемых уязвимостей в облаках.

Почему опасно:
SSRF позволяет атакующему заставить сервер делать запросы внутрь корпоративной сети, минуя брандмауэры.

Что помогает:

  • Сегментация сети.
  • Strict allowlists.
  • Подпись запросов и проверка метаданных.

Итог: Как адаптироваться к новой реальности

Мера Эффект
MFA + Passkeys Устранение до 90% атак на аккаунты
WAF + Bot protection Защита от автоматизированных атак
SBOM Контроль цепочки зависимостей
Threat Modeling перед разработкой Устранение уязвимостей ещё до написания кода
Постоянные pentests Выявление реальных рисков

Главное: без автоматизации компании больше не справляются

2025 — это год, когда безопасность перестала быть ручной работой.
Сегодня защита — это про процессы и автоматизацию.