Глоссарий
Что такое OWASP Top 10 — эталонный список 10 главных рисков веб-приложений
OWASP Top 10 — эталонный список наиболее критичных рисков безопасности веб-приложений. Разбираем, что на деле означает каждая категория — нарушение контроля доступа, инъекции, ошибки конфигурации и другие, — и что стоит защищать в первую очередь в своём приложении, со ссылками на разборы этого сайта.
«OWASP Top 10» — общий язык для разговора о безопасности веб-приложений. Вот что означает каждый пункт — как оптика для защиты, а не как шаги атаки — со ссылками на более глубокие разборы этого сайта.
10 рисков с высоты птичьего полёта (2021)
Каждый пункт — категория. Наложите её на своё приложение и идите сверху вниз как по оптике аудита.
| # | Риск | Грубо говоря, о чём это | Связанное на этом сайте |
|---|---|---|---|
| A01 | Нарушение контроля доступа | «залогинен = разрешено»; нет проверки владельца | аутентификация vs авторизация / IDOR |
| A02 | Криптографические сбои | секреты в открытом виде, слабая криптография, пробелы в TLS | криптография с открытым ключом / хеширование паролей |
| A03 | Инъекции | ввод перехватывает запрос/команду | SQL-инъекция / XSS |
| A04 | Небезопасное проектирование | угрозы не продуманы на этапе проектирования | минимальный чек-лист |
| A05 | Ошибки конфигурации безопасности | отладка в проде, значения по умолчанию, открытые функции | CORS |
| A06 | Уязвимые и устаревшие компоненты | проигнорированные известные CVE в зависимостях | мониторинг CVE в зависимостях |
| A07 | Сбои аутентификации | слабая аутентификация, нет защиты от перебора, нет MFA | 2FA / passkey |
| A08 | Сбои целостности ПО и данных | подмена цепочки поставок / канала обновлений | история безопасности (цепочки поставок) |
| A09 | Сбои логирования и мониторинга | невозможно обнаружить или отследить инцидент | почему важны журналы аудита |
| A10 | SSRF | сервер заставляют обращаться к внутренним целям | SSRF |
Как этим пользоваться: старт для приоритетов, а не чек-лист
Не считайте «закрытие» Top 10 завершённой работой
Top 10 — это десять наиболее показательных категорий, а не гарантия достаточности. Используйте его как отправную точку для расстановки приоритетов и поиска пробелов, а также укрепляйте основы, которых он напрямую не касается, — мониторинг CVE в зависимостях, управление секретами, резервные копии и обнаружение.
Начните с верхних (A01–A03) в своём приложении
Проверьте контроль доступа, криптографию и инъекции в своём коде в первую очередь — самые частые источники инцидентов сосредоточены здесь.
Механически проверьте конфигурацию и зависимости (A05, A06)
Ужесточите продакшн-конфигурацию (без утечки отладки) и сделайте мониторинг CVE в зависимостях механизмом.
Обеспечьте обнаружение (A09) до инцидента
Без журналов и мониторинга вы не заметите инцидент и не сможете его отследить. Храните хотя бы базовые журналы аудита и доступа.
Взгляд этого сайта: инструмент, чтобы наложить это на свой код
Ценность Top 10 не в заучивании номеров, а в том, чтобы наложить каждую категорию на своё приложение и провести аудит. Этот сайт держит разборы по каждому риску, переведённые в «как вы защищаетесь». Используйте Top 10 как вход и начинайте с верхних пунктов — контроль доступа, криптография, инъекции — в своём коде.
Читать дальше
- Основы: аутентификация vs авторизация (сердце A01) · минимальный чек-лист безопасности
- Глоссарий: SQL-инъекция · IDOR · SSRF
- История: история безопасности (хронология)
FAQ
QЧто такое OWASP Top 10?
Это список, который некоммерческая организация OWASP (Open Worldwide Application Security Project) публикует раз в несколько лет, — «самые критичные риски безопасности веб-приложений», разбитые на десять категорий. Это не набор рецептов атак, а общий язык, которым разработчики и те, кто эксплуатирует системы, проверяют, «куда мне как минимум нужно посмотреть». Актуальная редакция — версия 2021 года.
QЧто на первом месте в OWASP Top 10?
Редакцию 2021 года возглавляет нарушение контроля доступа (Broken Access Control) — проектная дыра, когда «залогинен» приравнивается к «разрешено», без проверки, вправе ли этот пользователь действительно выполнить это действие или коснуться этих данных. IDOR (доступ к чужим данным по подставленному ID) — классический пример этой категории.
QЕсли я закрою OWASP Top 10, я в безопасности?
Нет. Top 10 — это десять наиболее показательных категорий, а не чек-лист, гарантирующий достаточность. Используйте его как отправную точку для расстановки приоритетов и поиска пробелов, а также укрепляйте основы, которых он напрямую не касается, — мониторинг CVE в зависимостях, управление секретами, резервные копии и обнаружение инцидентов.