OWASP Top 10 终于发布了-2025最新版

原创 于 2025-12-04 16:56:40 发布 · 436 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全性测试 #威胁分析

2025 年 TOP 10 中新增了两个类别,并对一个类别进行了整合

A01:2025 - Broken Access Control 

A01:2025 - 访问控制缺陷继续保持在第一位,作为最严重的应用安全风险

A02:2025 - Security Misconfiguration 

A02:2025 - 安全配置错误从 2021 年的第 5 位上升至 2025 年的第 2 位。

​​​​​​A03:2025 - Software Supply Chain Failures

A03:2025 - 软件供应链故障是对 A06:2021-易受攻击和过时的组件的扩展,以涵盖更广泛的软件依赖关系、构建系统和分发基础设施中或跨整个生态系统的妥协范围。

​​​​​​A04:2025 - Cryptographic Failures

A04:2025 - 加密失败在排名中从第 2 位降至第 4 位。

A05:2025 - Injection

A05:2025 - 注入攻击在排名中从第 3 位下降到第 5 位,与加密失败和设计缺陷保持相对位置。

A06:2025 - Insecure Design 

A06:2025 - 设计缺陷在排名中从第 4 位下降到第 6 位。

A07:2025 - Authentication Failures 

A07:2025 - 身份验证失败保持在第 7 位,名称略有更改(之前为“身份和验证失败”),以更准确地反映该类别中的 36 个 CWE。

A08:2025 - Software or Data Integrity Failures

A08:2025 - 软件或数据完整性故障继续位列第 8。

A09:2025 - Logging & Alerting Failures
 

A09:2025 - 日志记录与告警故障仍保持第 9 位。该类别名称略有变更(此前为“安全日志记录和监控故障”),以强调告警功能的重要性,该功能对于在相关日志事件上采取适当行动至关重要。
 

​​​​​​A10:2025 - Mishandling of Exceptional Conditions

A10:2025 - 处理异常情况是一个 2025 年新增的类别。该类别包含 24 个 CWE,专注于不当的错误处理、逻辑错误、开放失败以及其他与系统可能遇到的异常情况相关的场景。

官网地址:https://owasp.org/Top10/2025/0x00_2025-Introduction/

OWASP Top 10 最新版
2301_79035389的博客
09-14 1122
OWASP Top10:2025 虽然尚未正式发布,但已有明确的趋势显示:应用安全正在从单一编码漏洞 /错误修复,逐渐扩展到设计、构建流程、供应链、AI集成等更广泛也更系统的安全风险。对于开发团队 /安全团队而言,不要等列表出炉才行动,而应提前在设计与运行阶段就纳入这些风险防护,才能在未来的安全环境中处于主动。如果你愿意,我可以帮你整理一个中文版本的正式 OWASP Top10:2025 博客稿 ——待官方发布之后一起完善。你要这个吗?
OWASP Top 10 2025 数据分析计划-Owasp Top10的形成zz
ruanjiananquan99的博客
05-21 1082
如果提交者希望匿名存储数据,甚至以匿名方式提交数据,那么这些数据将被归类为 “未验证” 数据,与 “已验证” 数据区分开来。此外,我们将为排名前 20 - 30 的 CWE 制定基础的 CWSS(常见弱点严重度评分),并将潜在影响纳入 OWASP Top 10 的权重计算。至少,我们需要数据的时间段、数据集中测试的应用程序总数,以及 CWE(常见弱点枚举)列表及其在各应用程序中的出现次数。在分析数据时,若数据集包含未验证数据,我们将谨慎区分其对分析结果的影响。提供的信息越详细,我们的分析就越准确。
OWASP TOP10 2025来了
二狗学网安
11-24 309
owasp top10 2025
OWASP-TOP10-2021最新中文版V1.0.pdf
gitblog_06714的博客
04-26 441
OWASP-TOP10-2021最新中文版V1.0.pdf 【下载地址】OWASP-TOP10-2021最新中文版V1.0.pdf OWASP-TOP10-2021最新中文版V1.0.pdf 是一份专注于网络安全的权威指南,详细解析了当前网络环境中最为关键的十大安全风险。这份资料为安全从业者、开发者和IT管理人员提供了全...
OWASP Top 10
temp0504的博客
06-17 3207
OWASPTop10揭示2024年Web应用十大安全威胁:注入攻击、身份验证失效、敏感数据泄露、XXE注入、权限控制缺陷、安全配置错误、XSS跨站脚本、反序列化漏洞、组件已知漏洞及监控不足。这些风险可能导致数据泄露、权限提升和系统入侵,开发者需重点防范。(148字)
OWASP Top 10 2025 / 2021
Focusing on Cybersecurity and Applied Cryptography
03-17 2593
官网:OWASP每3~4年公布一次 Top 10 List for Web Application Security Risks. 上一版本是2021年版。2025年版预计在上半年发布
2025 owasp top10 | 十大常见漏洞详解及防御
m0_60736804的博客
06-20 6277
访问控制失败意味着攻击者能够访问其权限之外的数据或操作。用户查看/修改其他用户的数据(水平越权)普通用户访问管理接口(垂直越权)OWASP 2025报告指出,94% 的Web应用漏洞与访问控制有关。
OWASP-TOP10漏洞
weixin_64359465的博客
03-31 1007
攻击者可泄露容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的 数据、存储的数据以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪 行为。注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web应用程序中事先定义好的查询语句的结尾上添加额外的执行语句,在管理员不知情的情况 下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应 的数据信息。通过身份验证的用户,可以访问其他用户的相关信息,没有实施恰当的访问权限。
owasp-top10(2024)
m0_74402888的博客
07-26 2949
攻击者可以很容易的获取到,并造成破坏,因此,我们需要对敏感数据加密,这些数据包括传输过程中的数据、存储的数据。安全配置错误是最常见的安全问题,这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。①、水平越权:A,B 两个用户权限是相同的,但是 A 可以访问 B 的信息。
精选资源
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021 是 OWASP 基金会发布的一份关于 Web 应用程序安全的报告,旨在帮助开发者和安全专家识别和避免常见的安全风险。该报告涵盖了 Web 应用程序安全的十个最常见的风险,包括失效的访问控制、加密机制...
精选资源
OWASP-TOP10-2021中文版V1.0发布
01-22
2021年版OWASP Top 10发布,带来了许多变化和改进。本文将对OWASP Top 10的重要知识点进行详细解释。 项目介绍 OWASP Top 10是一个开源项目,旨在提高网络应用安全的意识和防护能力。该项目提供了一个有价值的资源...
精选资源
OWASP-TOP10-2021中文版V1.0
01-28
OWASP TOP 10 2021 中文版 V1.0 OWASP TOP 10 2021 中文版 V1.0 是一个全新的、使用新图形设计的项目,旨在提高 Web 应用程序的安全性。该项目提供了一个详细的清单,涵盖了当前最常见的十大安全风险,旨在帮助...
OWASP Top 10 2017 v1.3中文最新版.pdf
08-25
OWASP Top 10 2017 v1.3中文最新版】是一个重要的网络安全文档,它详细列出了Web应用程序面临的十种最严重的安全风险。OWASP(开源Web应用程序安全项目)是一个专注于提高应用程序安全性的全球性社区,提供免费和...
以WHOC为例的电源电气安全性测试规范
weixin_54148147的博客
10-10 827
摘要:随着数字化转型加速,数据中心需求年增10%,服务器安全测试至关重要。国际标准IEC62368-1取代IEC60950-1,要求进行耐压、接地阻抗等四项电气安全测试。以周源科技2700W电源为例,其通过80PLUS铂金等多项认证,满足高功率、低干扰的专业需求。测试标准涉及耐压(10kV/1min)、接地电阻(≤1Ω)、绝缘电阻及接触电流(人体模型1500-2000Ω)等核心指标,确保设备在高温高湿等严苛环境下可靠运行。(149字)
利用攻击图进行汽车威胁分析与风险评估
NewCarRen的博客
11-19 979
本文提出了一种基于图的攻击路径优先级排序工具(GAPP),用于自动化ISO/SAE 21434标准中的威胁分析与风险评估(TARA)流程。该工具通过构建有向加权图模型,自动枚举汽车系统中的潜在攻击路径,并基于攻击潜力方法计算各路径的可行性。评估表明,GAPP比手动TARA分析能识别更全面的攻击路径,同时提高了评估效率。未来工作将优化可行性计算方法,整合实际攻击数据,并增强可视化功能,以进一步完善汽车网络安全评估。这一自动化方法为处理复杂汽车网络的安全问题提供了可行解决方案。
(45页PPT)智慧口某省市场发展前景及投资研究报告.ppt
12-03
(45页PPT)智慧口某省市场发展前景及投资研究报告.ppt
3D打印机调度问题的研究。目标是同时降低完成时间和成本.zip
最新发布
12-03
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Bot468__30192_1764666289903.zip
12-03
Bot468__30192_1764666289903.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwTesting

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值