OWASP Top 10 最新版
今天也是顺手搜了一下OWASP Top 10,发现跟以前相比发生了很多变化,写这篇文章的时候是2025年九月,不知道最终版官方什么时候定下来
OWASP Top 10:2025 - 7月
注:截至 2025 年中,OWASP Top 10:2025 正在准备发布中,官方尚未正式公布完整最终列表。本文基于 OWASP 官网的状态更新 + 多家安全公司 /研究机构的预测 /趋势分析整理,仅作为提前了解方向之用。官方版本可能有变动。
目录
- 背景 + 官方状态
- 当前已经明确/趋势明显的风险类别
- 新增或加强关注的领域
- 与 2021 年版相比可能的变化点
- 防护建议 + 实践方向
- 总结
1. 背景 + 官方状态
- OWASP 官网显示,OWASP Top Ten 2025 项目正在进行中,预计在 2025 年晚夏或秋季(late summer / early fall)发布。 :contentReference[oaicite:0]{index=0}
- 官方目前在数据采集、归一化、类别命名与范围定义上仍在推进。 :contentReference[oaicite:1]{index=1}
- 业内人士与安全公司(Reflectiz、Hadrian.io 等)也基于 CVE /漏洞报表 /实际渗透测试经验,对即将出现的 Top10 类别提出了预测。 :contentReference[oaicite:2]{index=2}
2. 当前已经明确/趋势明显的风险类别
基于公开资料与预测,可比较确定或高概率会继续存在(或被加强)的类别有:
| 类别 | 含义简述 |
|---|---|
| Broken Access Control | 权限控制失误:用户越权访问数据 / 功能 /接口未经充分校验。Reflectiz & Hadrian 提出该类会继续排在前列。:contentReference[oaicite:3]{index=3} |
| Cryptographic Failures | 加密失败,包括弱加密、密钥管理不当、TLS 配置不安全等。:contentReference[oaicite:4]{index=4} |
| Injection | 注入类漏洞(包括 SQL、命令注入、模板注入、可能新的变种如 GraphQL、日志注入等)持续成为常见重大风险。:contentReference[oaicite:5]{index=5} |
| Insecure Design | 设计阶段的安全缺陷(缺乏威胁建模、安全架构、对信任边界/身份边界/服务边界的设计不充分)。预测中被多次提及。:contentReference[oaicite:6]{index=6} |
| Security Misconfiguration | 配置错误,比如默认配置、暴露端口、不必要服务开启、CORS / API 路径/权限配置松懈等。:contentReference[oaicite:7]{index=7} |
| Vulnerable / Outdated Components / Supply Chain Risks | 使用有漏洞或不再维护的组件、第三方依赖、容器镜像、CI/CD 管道安全等供应链问题被反复强调。:contentReference[oaicite:8]{index=8} |
3. 新增或加强关注的领域
以下是预测中可能被新增或在 2025 年版中得到更多重视的安全风险类别 /子类别:
-
API 安全
随着应用更“API-first” 或微服务 /云原生架构普及,通过 API 的攻击面(权限、过度暴露、数据泄露等)变得更加敏感。可能成为单独类别或在多个类别中更明确体现。:contentReference[oaicite:9]{index=9} -
AI / LLM 集成风险
包括 prompt injection、新协议安全、外部插件或模型访问控制不严、数据泄露、模型被滥用或误用等。虽然 OWASP 已经为 LLM /AI 出了专门 Top 10,但在 Web 应用 /服务中整合 AI 的风险可能被纳入 2025 的 Web Top10。:contentReference[oaicite:10]{index=10} -
软件/数据完整性(Software & Data Integrity)加强
它可能在 2021 年已经被引入,但预测中提及更新机制(软件补丁 /包签名)、CI/CD 管道被污染、恶意依赖注入、镜像安全等问题将更突出。:contentReference[oaicite:11]{index=11} -
身份与认证 / 会话管理问题升级
随着 MFA 的更广泛采用,也有新的挑战:设备授权、令牌泄露、会话劫持、跨域身份验证等。:contentReference[oaicite:12]{index=12}
4. 与 2021 年版相比可能的变化点
这些预测风险类别显示出与 2021 年版相比,可能有如下变化:
| 方面 | 2021 年版特点 | 2025 预测中新变化/趋势 |
|---|---|---|
| 类别侧重从“漏洞 /编码错误”向“系统性 /设计 /运维 /构建流程”转移 | 2021 年版中 “Insecure Design”、“Software & Data Integrity Failures” 是新增/加强类别,以 root cause 为导向。:contentReference[oaicite:13]{index=13} | 2025 可能进一步强调供应链、设计流程、AI 集成等非代码漏洞 /漏洞链的风险 |
| 插件/第三方组件 /依赖风险 | 已经包含 “Vulnerable and Outdated Components” 类别 | 预测中此类风险被认为仍将或增强,包括容器 /镜像 /依赖注入 /软件供应链 |
| 新技术 /协议带来的风险 | 2021 时已开始看到 SSRF、新 API 漏洞等 | 2025 可能引入 AI/LLM、GraphQL/Protobuf /云原生 服务、API 安全、身份边界等新的攻击面 |
| 默认配置与暴露服务 | 在 Misconfiguration 类别中已强调 | 预计配置错误、权限边界、环境变量泄露 /错误配置的云服务等被更强烈关注 |
5. 防护建议 + 实践方向
面对 2025 年可能的 OWASP Top 10 风险方向,这里是一些建议供开发团队 /安全团队提前落实:
-
在设计阶段引入威胁建模
不只是编码,系统结构、信任边界、组件依赖、升级/部署管道都要考虑安全风险。 -
加强依赖管理和供应链安全
使用可信源、签名依赖、镜像扫描、漏洞扫描工具、及时更新组件/容器/包。 -
API 安全最佳实践
使用严格的权限控制(RBAC / ABAC)、输入验证 /输出编码、速率限制 /流量控制、CORS /跨域策略、API 安全网关等。 -
强化身份认证 /会话管理
MFA、短生命周期令牌 / 会话、令牌撤销机制、身份令牌加密与验证、使用安全库。 -
加密 /传输层安全 +密钥管理
TLS 强制、证书更新、密钥保护、禁止使用弱算法、加密敏感数据(存储中与传输中)。 -
安全日志/监控/可观测性
日志完整性、敏感操作记录、告警与响应机制、入侵检测、异常行为分析。 -
AI /LLM 集成安全审查
对输入做严格验证,限制插件访问权限,监控模型输出敏感内容,识别 prompt injection 和模型滥用风险。 -
最小权限原则 +零信任 / 边界控制
微服务之间、第三方服务之间、环境之间使用最小权限原则,隔离不可信区。
6. 总结
OWASP Top10:2025 虽然尚未正式发布,但已有明确的趋势显示:应用安全正在从单一编码漏洞 /错误修复,逐渐扩展到设计、构建流程、供应链、AI集成等更广泛也更系统的安全风险。对于开发团队 /安全团队而言,不要等列表出炉才行动,而应提前在设计与运行阶段就纳入这些风险防护,才能在未来的安全环境中处于主动。
如果你愿意,我可以帮你整理一个中文版本的正式 OWASP Top10:2025 博客稿 ——待官方发布之后一起完善。你要这个吗?