На днях появился предварительный новый список рисков 25 года. Новым его, конечно, назвать сложно, но об этом чуть позже. Для справки: OWASP Top 10 - открытый проект, составляемый сообществом раз в 4 года и определяющий наиболее популярные риски веб-приложений к моменту составления топа. На текущий момент появился список кандидитов 25 года. Он вряд ли сильно изменится, но пока еще принимаются комментарии и возможны изменения. Думаю, что окончательный список будет в начале 26 года.
Так или иначе, предварительные риски есть и их уже можно обсуждать. Формальное описание можно встретить тут, а я опишу некоторые поинты:
- 🔅В целом, особо ничего не поменялось. Произошло некоторое смещение позиций, одно объединение и новая категория. При этом как будто векторов меньше не стало (за счет слияния SSRF в BAC и расширения категории с устаревшими компонентами)
- 🔅Broken Access Control (BAC) остается на первом месте и это хорошо метчится с тем, что во всяком случае я наблюдаю на проектах. На самом деле, допустить подобные уязвимости очень легко из-за невнимательности. А если попадается одна из них, то обычно вспывает еще куча подобных
- 🔅3 место, Software Supply Chain Failures теперь включает в себя уязвимости CI/CD - пайплайна и в целом цикла SDLC. Давно напрашивалось что-то подобное в топ, что в целом очень хорошее явление
- 🔅Новая категория, занимающая последнее место (Mishandling of Exceptional Conditions), на мой взгляд выглядит очень многообещающе. В последнее время я видел несколько интересных ресерчей, построенных на вызове ошибок и нестандартном поведении приложений. Как минимум, это хороший вектор для исследований, и, полагаю, в будущем будем видеть больше таких
На этом пока все, будем следить за изменениями. Еще раз ссылка на место, где можно почиать подробнее
#owasp #web
☠️ Hunt Or Be Hunted
