Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Глоссарий

Что такое OWASP Top 10 — эталонный список 10 главных рисков веб-приложений

OWASP Top 10 — эталонный список наиболее критичных рисков безопасности веб-приложений. Разбираем, что на деле означает каждая категория — нарушение контроля доступа, инъекции, ошибки конфигурации и другие, — и что стоит защищать в первую очередь в своём приложении, со ссылками на разборы этого сайта.

Опубликовано 2026-07-04 Обновлено 2026-07-04 3 мин чтения

«OWASP Top 10» — общий язык для разговора о безопасности веб-приложений. Вот что означает каждый пункт — как оптика для защиты, а не как шаги атаки — со ссылками на более глубокие разборы этого сайта.

10 рисков с высоты птичьего полёта (2021)

Каждый пункт — категория. Наложите её на своё приложение и идите сверху вниз как по оптике аудита.

#РискГрубо говоря, о чём этоСвязанное на этом сайте
A01Нарушение контроля доступа«залогинен = разрешено»; нет проверки владельцааутентификация vs авторизация / IDOR
A02Криптографические сбоисекреты в открытом виде, слабая криптография, пробелы в TLSкриптография с открытым ключом / хеширование паролей
A03Инъекцииввод перехватывает запрос/командуSQL-инъекция / XSS
A04Небезопасное проектированиеугрозы не продуманы на этапе проектированияминимальный чек-лист
A05Ошибки конфигурации безопасностиотладка в проде, значения по умолчанию, открытые функцииCORS
A06Уязвимые и устаревшие компонентыпроигнорированные известные CVE в зависимостяхмониторинг CVE в зависимостях
A07Сбои аутентификациислабая аутентификация, нет защиты от перебора, нет MFA2FA / passkey
A08Сбои целостности ПО и данныхподмена цепочки поставок / канала обновленийистория безопасности (цепочки поставок)
A09Сбои логирования и мониторинганевозможно обнаружить или отследить инцидентпочему важны журналы аудита
A10SSRFсервер заставляют обращаться к внутренним целямSSRF

Как этим пользоваться: старт для приоритетов, а не чек-лист

Не считайте «закрытие» Top 10 завершённой работой

Top 10 — это десять наиболее показательных категорий, а не гарантия достаточности. Используйте его как отправную точку для расстановки приоритетов и поиска пробелов, а также укрепляйте основы, которых он напрямую не касается, — мониторинг CVE в зависимостях, управление секретами, резервные копии и обнаружение.

1

Начните с верхних (A01–A03) в своём приложении

Проверьте контроль доступа, криптографию и инъекции в своём коде в первую очередь — самые частые источники инцидентов сосредоточены здесь.

2

Механически проверьте конфигурацию и зависимости (A05, A06)

Ужесточите продакшн-конфигурацию (без утечки отладки) и сделайте мониторинг CVE в зависимостях механизмом.

3

Обеспечьте обнаружение (A09) до инцидента

Без журналов и мониторинга вы не заметите инцидент и не сможете его отследить. Храните хотя бы базовые журналы аудита и доступа.

Взгляд этого сайта: инструмент, чтобы наложить это на свой код

Ценность Top 10 не в заучивании номеров, а в том, чтобы наложить каждую категорию на своё приложение и провести аудит. Этот сайт держит разборы по каждому риску, переведённые в «как вы защищаетесь». Используйте Top 10 как вход и начинайте с верхних пунктов — контроль доступа, криптография, инъекции — в своём коде.

Читать дальше

FAQ

QЧто такое OWASP Top 10?
A

Это список, который некоммерческая организация OWASP (Open Worldwide Application Security Project) публикует раз в несколько лет, — «самые критичные риски безопасности веб-приложений», разбитые на десять категорий. Это не набор рецептов атак, а общий язык, которым разработчики и те, кто эксплуатирует системы, проверяют, «куда мне как минимум нужно посмотреть». Актуальная редакция — версия 2021 года.

QЧто на первом месте в OWASP Top 10?
A

Редакцию 2021 года возглавляет нарушение контроля доступа (Broken Access Control) — проектная дыра, когда «залогинен» приравнивается к «разрешено», без проверки, вправе ли этот пользователь действительно выполнить это действие или коснуться этих данных. IDOR (доступ к чужим данным по подставленному ID) — классический пример этой категории.

QЕсли я закрою OWASP Top 10, я в безопасности?
A

Нет. Top 10 — это десять наиболее показательных категорий, а не чек-лист, гарантирующий достаточность. Используйте его как отправную точку для расстановки приоритетов и поиска пробелов, а также укрепляйте основы, которых он напрямую не касается, — мониторинг CVE в зависимостях, управление секретами, резервные копии и обнаружение инцидентов.