OWASP Top 10 2025: когда «доступ сломан», конфиги плачут, а ИИ просит не поддаваться

Плохие новости: «мой пароль — это имя кота» — не стратегия безопасности. OWASP опубликовал Top 10 рисков приложений на 2025 год, и вершину снова удерживает старый знакомый — сломанный контроль доступа. Список презентовали на Global AppSec USA, а официальный разбор пока в превью. Кураторы Нил Смитлайн и Таня Янка подчёркивают: документ построен на данных и помогает расставить приоритеты, а не раздать выговоры.

Итак, картина такая. A01 — Broken Access Control: безоговорочный лидер для веб‑приложений и API, встречается в 3,73% протестированных систем. Классика жанра — обход прав через «угадай URL», отсутствующая авторизация в API, нарушение принципа наименьших привилегий. Главный совет простой как молоток: «для всего, кроме публичного, deny by default».

На второй строчке — конфигурационные ошибки. В облаках и инфраструктуре они и вовсе короли. Инженерия всё чаще «настраивает» безопасность вместо того, чтобы «вшивать» её в код — и один неверный флаг сводит замок к декоративной функции.

Третьи — провалы в цепочке поставок. Хотя встречаются реже, их средняя взрывоопасность по CVE выше всех. Заменили прежнюю категорию «уязвимые и устаревшие компоненты» — чтобы честно назвать проблему: зависимостями правит случай.

Инъекции (SQLi, XSS и прочие) опустились на пятое место — показатель того, что индустрия научилась их тестировать. Но расслабляться не стоит: там, где проверки нет, классика возвращается.

Из архитектурных перестановок: SSRF переехал внутрь Broken Access Control, а сообщество выбило новую категорию — «неверная обработка исключительных состояний». Это про гонки, атаки на полуготовые транзакции и болтливые сообщения об ошибках.

Отдельный проект OWASP по рискам для LLM и GenAI уверенно ставит на вершину prompt injection — когда модель уговаривают обойти собственные правила. И да, это не «фича», а риск.

Меняется ли мир? Разработчики ворчат, что всё «как десять лет назад», менеджмент любит фичи больше, чем безопасность — до первого инцидента. Но инструменты стали умнее, а «конфиг как код» и автоматические проверки дают шанс. Начните с малого: запирайте всё по умолчанию, режьте привилегии, пересматривайте цепочки зависимостей — и пусть кот останется просто котом, а не админом.