OWASP Top 10 (обзор)

OWASP Top 10 — это документ международного сообщества Open Worldwide Application Security Project, который описывает десять наиболее распространённых и опасных категорий рисков для веб-приложений. Список обновляется примерно раз в 3-4 года и служит ориентиром для разработчиков и аудиторов.

Актуальные категории (редакция 2021) включают:

• A01 Broken Access Control — нарушение контроля доступа.
• A02 Cryptographic Failures — ошибки криптографии и раскрытие данных.
• A03 Injection — инъекции (SQL, команды, шаблоны).
• A04 Insecure Design — небезопасный дизайн.
• A05 Security Misconfiguration — ошибки конфигурации.
• A06 Vulnerable and Outdated Components — уязвимые зависимости.
• A07 Identification and Authentication Failures — ошибки аутентификации.
• A08 Software and Data Integrity Failures — нарушение целостности.
• A09 Security Logging and Monitoring Failures — недостаток логирования.
• A10 Server-Side Request Forgery (SSRF).

Список не является исчерпывающим стандартом, но даёт хорошую отправную точку для приоритизации защиты.