OWASP 2025年度十大应用安全风险发布：访问控制缺陷仍居首位

开放全球应用安全项目（OWASP）刚刚发布了2025年应用安全十大风险类别，这是自2021年以来的首次更新。研究发现，访问控制缺陷仍然是最主要的安全问题，安全配置错误紧随其后排名第二，软件供应链问题依然突出。

该更新在组织的全球应用安全美国大会上发布。据OWASP十大风险联合负责人Neil Smithline和Tanya Janca表示，榜单已最终确定，但官方详细说明仍在预览阶段。

他们表示，这份十大风险榜单是"一份基于数据的认知文档，旨在帮助组织确定优先级"。榜单基于各组织和调查受访者提供的数据编制而成。

2021年与2025年OWASP十大应用风险的变化

这些类别不可避免地存在不精确性，并在2025年版本中进行了更新。软件供应链故障是新增类别，取代了之前的"易受攻击和过时组件"。服务器端请求伪造（SSRF）已合并到访问控制缺陷中。还新增了一个类别——"异常条件处理不当"。

据Smithline和Janca介绍，访问控制缺陷"毫无疑问是网络应用、API和许多其他数字系统的头号问题"。这一问题影响了3.73%的被测应用程序。此类错误包括通过URL篡改绕过访问控制、API缺失访问控制、普通用户猜测特权页面URL，或任何违反最小权限原则的行为。

"除公共资源外，默认拒绝"是预防此类问题的首要建议。

安全配置错误排名第二，Smithline和Janca在演讲中表示，如果针对云和基础设施安全，这一问题将排名第一。由于工程趋势更多地将安全基于配置而非其他方法，这一问题在榜单中的排名有所上升。

供应链故障排名第三，尽管发生频率相对较低，但OWASP报告称，此类问题"在通用漏洞披露（CVE）中具有最高的平均利用和影响评分"。

注入攻击已从第三位降至第五位，这得益于它是测试最充分的类别之一。注入问题包括SQL注入和跨站脚本攻击。

OWASP的一个独立项目涵盖了大语言模型和生成式AI应用的十大风险，其中提示注入被列为首要风险，这种攻击通过提示输入操纵模型响应以绕过安全检查。

基于社区反馈新增的异常条件处理不当类别，涵盖了代码无法正确响应异常情况的问题，包括竞争条件、对部分完成交易的攻击，或在错误消息中泄露敏感信息。

Janca在Reddit上表示："最初我们考虑将'代码质量差'作为一个类别，但这个范围太宽泛了。而且如何修复呢？建议会是什么？……'你的代码很糟糕，做得好一点'，这根本没有帮助。"

OWASP提供了大量改善应用安全的优秀建议，但是否取得了进展？一位开发者在回应新的十大风险时抱怨道："安全方面的情况与5年前、10年前、15年前、20年前完全一样"，不过他也承认现在有更多问题被工具识别出来。

另一位从小企业角度发言的人士表示，安全编码仍然"很大程度上是事后考虑"，管理层更关注新功能，直到出现问题时才重视，但那时为时已晚。

Q&A

Q1：OWASP十大应用风险榜单是什么？

A：OWASP十大应用风险榜单是开放全球应用安全项目发布的年度应用安全风险排名，是一份基于数据的认知文档，旨在帮助组织确定安全优先级。2025年版本是自2021年以来的首次更新。

Q2：访问控制缺陷为什么排名第一？

A：访问控制缺陷是网络应用、API和许多数字系统的头号问题，影响了3.73%的被测应用程序。常见错误包括通过URL篡改绕过访问控制、API缺失访问控制、普通用户猜测特权页面URL等违反最小权限原则的行为。

Q3：2025年榜单相比2021年有哪些主要变化？

A：主要变化包括：新增"软件供应链故障"类别取代"易受攻击和过时组件"；服务器端请求伪造合并到访问控制缺陷中；新增"异常条件处理不当"类别；注入攻击从第三位降至第五位；安全配置错误上升至第二位。