OWASP Top 10 2025 / 2021

OWASP: The Open Worldwide Application Security Project.

官网: https://owasp.org/about/

OWASP每3~4年公布一次 Top 10 List for Web Application Security Risks. 上一版本是2021年版。2025年版预计在上半年发布。当前状态为数据收集(从2024年12月至今)，官网声明：

以下为当前版本(2021版): OWASP Top Ten | OWASP Foundation

Top 10 Web Application Security Risks

A01 - Broken Access Control [损坏的访问控制]

从2017年的第五名上升到2021年的第一名。数据支持：对 94% 的应用程序进行了测试，以确定是否存在某种形式的访问控制漏洞。 在 34 个常见弱点枚举（CWE）中，映射到破损访问控制的应用程序出现的次数比任何其他类别都多。

A02 - Cryptographic Failures [加密故障]

从2017年的第三名上升到2021年的第二名。这一项在2017年时叫Sensitive Data Exposure 敏感数据暴露，这个叫法更倾向于描述一种广泛存在的症状，而非引起此类症状的原因。因此，2021年的版本中改叫 Cryptographic Failures，关注于与密码学有关的故障，这些故障往往导致敏感数据暴露或系统受损。

A03 - Injection [注入]

从2017年的第一名跌至2021年的第三名。数据支持：94% 的应用程序接受了某种形式的注入测试，33 种 CWE 在此类应用程序中的出现率位居第二。 跨站脚本现在属于本版的这一类别。

A04 - Insecure Design [不安全的设计]

2021年新增项，此前没有。该项关注于于设计缺陷有关的安全风险。

A05 - Security Misconfiguration [安全配置错误]

从2017年的第6位上升至2021年的第5位。数据支持：对90％的应用进行了某种形式的配置错误测试。高度可配置的软件越来越多，因此安全配置错误的排名有所上升。

A06 - Vulnerable and Outdated Components [易受攻击和过时的组件]

2017年排名第9，2021年上升至第6。2017年名为Using Components with Known Vulnerabilities, 使用具有已知漏洞的组件。

A07 - Identification and Authentication Failures [识别和身份验证故障]

从2017年的第2位跌至2021年的第7位。2017年叫 Broken Authentication，身份验证故障。

A08 - Software and Data Integrity Failures [软件和数据完整性故障]

2021年新增项。关注于在没有验证完整性的情况下做出与软件更新、关键数据和CI/CD管道相关的假设。

A09 - Security Logging and Monitoring Failures [安全日志和监控故障]

2017年时叫Insufficient Logging & Monitoring, 日志记录和监控不足，排名第10。2021年改名为Security Logging and Monitoring Failures，排名上升至第9位。改名后这一项目包含了更多故障类型，测试起来较困难。 这一类别的故障会直接影响可见性、事件警报和取证。

A10 - Server-Side Request Forgery [服务器端请求伪造]

2021年新增项。数据显示其发生率相对较低，测试覆盖率高于平均水平，漏洞利用和影响潜力评级也高于平均水平。