https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/ Recent content in OWASP Top 10 2025 on ChenOvo Hugo -- gohugo.io en-us ChenOvo Wed, 17 Jun 2026 12:21:29 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top1-broken-access-control%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6%E5%A4%B1%E6%95%88/ Wed, 17 Jun 2026 12:21:29 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top1-broken-access-control%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6%E5%A4%B1%E6%95%88/ <p>在 <strong>OWASP Top 10:2025</strong> 里，<strong>Broken Access Control（访问控制失效）</strong> 仍然排在 <strong>A01，也就是第 1 位</strong>。它的意思很直接：系统没有正确限制“谁能访问什么、谁能执行什么操作”，结果就是用户能看到、修改、删除本不属于自己的数据，甚至越权拿到管理员能力。OWASP 给出的 2025 数据里，这一类问题覆盖了 <strong>100% 被测试应用</strong>，而且总出现次数非常高，说明它不是“高级漏洞”，而是最常见、最容易被遗漏的基础性问题。<br> 来源：<a class="link" href="https://owasp.org/Top10/2025/A01_2025-Broken_Access_Control/" target="_blank" rel="noopener" >OWASP A01:2025 Broken Access Control</a></p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top10-mishandling-of-exceptional-conditions%E5%A4%84%E7%90%86%E5%BC%82%E5%B8%B8%E6%83%85%E5%86%B5%E4%B8%8D%E5%BD%93/ Wed, 20 May 2026 12:33:47 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top10-mishandling-of-exceptional-conditions%E5%A4%84%E7%90%86%E5%BC%82%E5%B8%B8%E6%83%85%E5%86%B5%E4%B8%8D%E5%BD%93/ <p>在 <strong>OWASP Top 10:2025</strong> 里，<strong>Mishandling of Exceptional Conditions</strong> 排在 <strong>A10，也就是第 10 位</strong>。这是 <strong>2025 新增的类别</strong>，它聚焦的是“异常条件处理不当”：系统在遇到缺参、空指针、权限不足、网络中断、资源耗尽、状态异常、事务中断、未预期输入时，没有正确地预防、识别和处理这些异常，最终进入不可预测状态，甚至直接 <strong>fail-open（失败时放行）</strong>。<br> 来源：<a class="link" href="https://owasp.org/Top10/2025/0x00_2025-Introduction/" target="_blank" rel="noopener" >OWASP Top 10:2025 Introduction</a><br> 来源：<a class="link" href="https://owasp.org/Top10/2025/A10_2025-Mishandling_of_Exceptional_Conditions/" target="_blank" rel="noopener" >A10:2025 Mishandling of Exceptional Conditions</a></p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top7-authentication-failures%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E5%A4%B1%E8%B4%A5/ Wed, 20 May 2026 12:33:47 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top7-authentication-failures%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E5%A4%B1%E8%B4%A5/ <p>在 <strong>OWASP Top 10:2025</strong> 里，<strong>Authentication Failures</strong> 排在 <strong>A07，也就是第 7 位</strong>。它和 2021 一样保持在第 7 位，只是名字从 “Identification and Authentication Failures” 略微调整为更直接的 “Authentication Failures”。它关注的是：系统把<strong>不该被当成合法用户的人，当成了合法身份</strong>，或者让攻击者过于容易地猜解、复用、接管、绕过身份认证。<br> 来源：<a class="link" href="https://owasp.org/Top10/2025/0x00_2025-Introduction/" target="_blank" rel="noopener" >OWASP Top 10:2025 Introduction</a><br> 来源：<a class="link" href="https://owasp.org/Top10/2025/A07_2025-Authentication_Failures/" target="_blank" rel="noopener" >A07:2025 Authentication Failures</a></p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top8-software-or-data-integrity-failures%E8%BD%AF%E4%BB%B6%E6%88%96%E6%95%B0%E6%8D%AE%E5%AE%8C%E6%95%B4%E6%80%A7%E6%95%85%E9%9A%9C/ Wed, 20 May 2026 12:33:47 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top8-software-or-data-integrity-failures%E8%BD%AF%E4%BB%B6%E6%88%96%E6%95%B0%E6%8D%AE%E5%AE%8C%E6%95%B4%E6%80%A7%E6%95%85%E9%9A%9C/ <p>在 <strong>OWASP Top 10:2025</strong> 里，<strong>Software or Data Integrity Failures</strong> 排在 <strong>A08，也就是第 8 位</strong>。它延续了 2021 的排名，只是名字做了轻微澄清。这个类别关注的是：系统<strong>没有验证软件、代码、更新包或数据对象的完整性，就直接把它们当成可信内容使用了</strong>。<br> 来源：<a class="link" href="https://owasp.org/Top10/2025/0x00_2025-Introduction/" target="_blank" rel="noopener" >OWASP Top 10:2025 Introduction</a><br> 来源：<a class="link" href="https://owasp.org/Top10/2025/A08_2025-Software_or_Data_Integrity_Failures/" target="_blank" rel="noopener" >A08:2025 Software or Data Integrity Failures</a></p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top9-security-logging-and-alerting-failures%E5%AE%89%E5%85%A8%E6%97%A5%E5%BF%97%E8%AE%B0%E5%BD%95%E5%92%8C%E8%AD%A6%E6%8A%A5%E6%95%85%E9%9A%9C/ Wed, 20 May 2026 12:33:47 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top9-security-logging-and-alerting-failures%E5%AE%89%E5%85%A8%E6%97%A5%E5%BF%97%E8%AE%B0%E5%BD%95%E5%92%8C%E8%AD%A6%E6%8A%A5%E6%95%85%E9%9A%9C/ <p>在 <strong>OWASP Top 10:2025</strong> 里，<strong>Security Logging and Alerting Failures</strong> 排在 <strong>A09，也就是第 9 位</strong>。它延续了 2021 的位置，但名字从 “Logging and Monitoring Failures” 调整成了更强调行动性的 “Logging and Alerting Failures”。OWASP 的意思很明确：<strong>光有日志不够，日志如果不能触发正确告警和响应，价值是很有限的。</strong><br> 来源：<a class="link" href="https://owasp.org/Top10/2025/0x00_2025-Introduction/" target="_blank" rel="noopener" >OWASP Top 10:2025 Introduction</a><br> 来源：<a class="link" href="https://owasp.org/Top10/2025/A09_2025-Security_Logging_and_Alerting_Failures/" target="_blank" rel="noopener" >A09:2025 Security Logging and Alerting Failures</a></p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top3-software-supply-chain-failureso%E8%BD%AF%E4%BB%B6%E4%BE%9B%E5%BA%94%E9%93%BE%E6%95%85%E9%9A%9C/ Wed, 20 May 2026 12:33:46 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top3-software-supply-chain-failureso%E8%BD%AF%E4%BB%B6%E4%BE%9B%E5%BA%94%E9%93%BE%E6%95%85%E9%9A%9C/ <p>在 <strong>OWASP Top 10:2025</strong> 里，<strong>Software Supply Chain Failures</strong> 排在 <strong>A03，也就是第 3 位</strong>。它可以理解成“软件供应链失效”：风险不再只是“依赖里有漏洞”，而是从依赖、构建、仓库、IDE、CI/CD、制品、更新发布到生产部署的整条链路，只要有一个环节被投毒、失管、篡改或长期裸奔，最后都会变成你的应用风险。OWASP 在 2025 版里明确把它从 2021 年的 “Vulnerable and Outdated Components” 扩展成了更大的风险类别，说明现代软件最危险的地方之一，已经不是你自己写的业务代码，而是你信任的那整条开发与交付链。<br> 来源：<a class="link" href="https://owasp.org/Top10/2025/0x00_2025-Introduction/" target="_blank" rel="noopener" >OWASP Top 10:2025 Introduction</a><br> 来源：<a class="link" href="https://owasp.org/Top10/2025/A03_2025-Software_Supply_Chain_Failures/" target="_blank" rel="noopener" >A03:2025 Software Supply Chain Failures</a></p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top4-cryptographic-failures%E5%AF%86%E7%A0%81%E5%AD%A6%E6%95%85%E9%9A%9C/ Wed, 20 May 2026 12:33:46 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top4-cryptographic-failures%E5%AF%86%E7%A0%81%E5%AD%A6%E6%95%85%E9%9A%9C/ <p>在 <strong>OWASP Top 10:2025</strong> 里，<strong>Cryptographic Failures</strong> 排在 <strong>A04，也就是第 4 位</strong>。它从 2021 年的第 2 位下降到了第 4 位，但这不代表它不重要，而是说明其它系统性风险上升得更快。它关注的不是单纯“有没有加密”，而是更完整的一组问题：没加密、加密不够强、密钥管理差、随机数弱、证书校验错、模式用错、散列算法过时，都会落在这个类别里。<br> 来源：<a class="link" href="https://owasp.org/Top10/2025/0x00_2025-Introduction/" target="_blank" rel="noopener" >OWASP Top 10:2025 Introduction</a><br> 来源：<a class="link" href="https://owasp.org/Top10/2025/A04_2025-Cryptographic_Failures/" target="_blank" rel="noopener" >A04:2025 Cryptographic Failures</a></p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top5-injection%E6%B3%A8%E5%85%A5/ Wed, 20 May 2026 12:33:46 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top5-injection%E6%B3%A8%E5%85%A5/ <p>在 <strong>OWASP Top 10:2025</strong> 里，<strong>Injection</strong> 排在 <strong>A05，也就是第 5 位</strong>。它从 2021 年的第 3 位下降到了第 5 位，但依然是最经典、最常见、也最容易造成高危后果的一类漏洞。它的核心很简单：<strong>不可信输入进入了解释器，并被当成命令、语句或结构的一部分执行了</strong>。<br> 来源：<a class="link" href="https://owasp.org/Top10/2025/0x00_2025-Introduction/" target="_blank" rel="noopener" >OWASP Top 10:2025 Introduction</a><br> 来源：<a class="link" href="https://owasp.org/Top10/2025/A05_2025-Injection/" target="_blank" rel="noopener" >A05:2025 Injection</a></p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top6-insecure-design%E4%B8%8D%E5%AE%89%E5%85%A8%E8%AE%BE%E8%AE%A1/ Wed, 20 May 2026 12:33:46 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top6-insecure-design%E4%B8%8D%E5%AE%89%E5%85%A8%E8%AE%BE%E8%AE%A1/ <p>在 <strong>OWASP Top 10:2025</strong> 里，<strong>Insecure Design</strong> 排在 <strong>A06，也就是第 6 位</strong>。它从 2021 年的第 4 位降到了第 6 位，但这并不代表它不关键。相反，OWASP 把它保留在榜单里，就是因为很多严重安全问题并不是“代码写错了”，而是<strong>从需求、流程、权限模型、业务状态机、租户隔离到失败状态设计，一开始就没有把安全控制设计进去</strong>。<br> 来源：<a class="link" href="https://owasp.org/Top10/2025/0x00_2025-Introduction/" target="_blank" rel="noopener" >OWASP Top 10:2025 Introduction</a><br> 来源：<a class="link" href="https://owasp.org/Top10/2025/A06_2025-Insecure_Design/" target="_blank" rel="noopener" >A06:2025 Insecure Design</a></p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/00-owasp-top-10-2025-%E6%80%BB%E8%A7%88%E4%B8%8E%E5%88%86%E6%9E%90/ Wed, 20 May 2026 12:28:39 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/00-owasp-top-10-2025-%E6%80%BB%E8%A7%88%E4%B8%8E%E5%88%86%E6%9E%90/ <h1 id="owasp-top-10-2025-总览与分析">OWASP Top 10 2025 总览与分析 </h1><h2 id="这份笔记适合怎么用">这份笔记适合怎么用 </h2><ul> <li>如果你是开发者：先看“怎么理解这份榜单”，再看每一项的“开发/排查重点”。</li> <li>如果你是安全测试人员：重点看每一项的“常见表现”和“检查点”。</li> <li>如果你是做安全治理：重点看“2025 版变化”和“落地建议”。</li> </ul> <hr> <h2 id="一owasp-top-10-2025-是什么">一、OWASP Top 10 2025 是什么 </h2><p>OWASP Top 10 是面向 Web 应用安全风险的高优先级清单。<br> 2025 版是第 8 次发布，官方说明它依旧是“数据驱动，但不盲从数据”的榜单：一部分来自大规模测试数据，一部分来自社区调查，用来补足那些“现实里很重要、但不容易被自动化工具统计出来”的风险。</p> https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top2-security-misconfiguration-%E5%AE%89%E5%85%A8%E9%85%8D%E7%BD%AE%E9%94%99%E8%AF%AF/ Mon, 27 Apr 2026 16:32:19 +0800 https://blog.xxchenchen.top/wiki/web%E5%AE%89%E5%85%A8/owasp-top-10-2025/top2-security-misconfiguration-%E5%AE%89%E5%85%A8%E9%85%8D%E7%BD%AE%E9%94%99%E8%AF%AF/ <p>Security Misconfiguration 可以翻成“安全配置错误”或“安全配置不当”。它不是某一个单点漏洞，而是一类问题：系统、应用、框架、云服务、数据库、Web 服务器、中间件明明能配得更安全，但实际部署时配错了、漏配了、保留了默认值，结果给攻击者留下入口。</p>