Самые упускаемые из виду риски OWASP Top 10 в 2025 году

Мюнхен, Германия - 19 сентября 2025

Почему организации все еще не устраняют критические веб-уязвимости

Несмотря на широкую осведомленность об OWASP Top 10, недавние тесты на проникновение веб-приложений от Rasotec показывают, что многие организации все еще упускают несколько наиболее impactful рисков. Эти упущения редко связаны с отсутствием знаний. Вместо этого они проистекают из сложности, несовпадения приоритетов и чрезмерной зависимости от автоматизированных инструментов сканирования.

OWASP Top 10 представляет наиболее распространенные и критические риски веб-безопасности. Тем не менее, даже зрелые организации часто недооценивают определенные пункты, оставляя эксплуатируемые пробелы. Эти упускаемые риски обычно не являются техническими ошибками конфигурации, а представляют собой недостатки бизнес-логики, проблемы контроля доступа и небезопасные интеграции, которые требуют тестирования под руководством человека для обнаружения.

Неконтролируемый доступ (A01:2021) остается наиболее consistently недооцененным риском в выводах Rasotec. Приложения часто полагаются на проверки на стороне клиента или неполное применение ролей, позволяя эскалацию привилегий, горизонтальный доступ к данным или административные действия без авторизации. Автоматические сканеры редко обнаруживают эти проблемы, потому что они требуют контекстного понимания логики приложения.

Небезопасный дизайн (A04:2021) - это еще один риск, который организации склонны игнорировать. Безопасность часто добавляется после разработки, а не встраивается с самого начала. Это приводит к хрупким потокам авторизации, небезопасным границам доверия и отсутствующим controls безопасности. Такие недостатки невидимы для статического анализа и требуют моделирования угроз и ручной оценки для обнаружения.

"Автоматизированные инструменты упускают то, что злоумышленники эксплуатируют чаще всего: недостатки логики и пробелы в дизайне. Наши тесты выявляют их до того, как они станут инцидентами", - сказал Рик Грассманн, Chief Executive Officer в Rasotec.

Уязвимые и устаревшие компоненты (A06:2021) широко известны, но часто преуменьшаются. Команды предполагают, что менеджеры пакетов и базовые образы контейнеров обновлены, но Rasotec часто находит неисправленные библиотеки или устаревшие компоненты, работающие в production. Злоумышленники эксплуатируют эти пробелы, потому что они предсказуемы, хорошо документированы и легко автоматизируются.

Сбои безопасности логирования и мониторинга (A09:2021) особенно проблематичны во время реагирования на инциденты. Без надлежащих журналов аудита организации не могут обнаружить или восстановить атаки, что приводит к длительному времени пребывания. Rasotec часто наблюдает отсутствие аудита входа в систему, отсутствие логирования административных действий и отсутствие оповещений о подозрительной активности, что дает злоумышленникам операционное прикрытие.

Эти выводы подчеркивают повторяющуюся закономерность: организации инвестируют в поверхностные меры безопасности, но пренебрегают структурными слабостями, которые требуют ручного анализа. Автоматизированные инструменты играют important роль, но они не могут оценить бизнес-логику, контекстные правила доступа или дизайнерские предположения. Только целевое, проводимое человеком тестирование на проникновение может reliably выявить эти недостатки.

Бутиковый подход Rasotec focuses на глубоком, ручном анализе сложных веб-приложений, имитирующем реальное поведение злоумышленников, а не полагаясь исключительно на сканеры для выявления упущенных рисков OWASP Top 10, которые представляют наибольшее реальное impact.

О Rasotec: Rasotec является одним из ближайших партнеров CypSec и бутиковой security фирмой, специализирующейся на ручном тестировании на проникновение сложных веб-, мобильных и инфраструктурных сред. Ее команда focuses на выявлении недостатков логики, цепочек атак и уязвимостей с высоким impact, которые упускают автоматизированные инструменты. Для получения дополнительной информации посетите rasotec.com.

Контакт для СМИ: Рик Грассманн, Chief Executive Officer в Rasotec - rick.grassmann@rasotec.com.