在 OWASP Top 10:2025 里，Security Logging and Alerting Failures 排在 A09，也就是第 9 位。它延续了 2021 的位置，但名字从 “Logging and Monitoring Failures” 调整成了更强调行动性的 “Logging and Alerting Failures”。OWASP 的意思很明确：光有日志不够，日志如果不能触发正确告警和响应，价值是很有限的。
来源：OWASP Top 10:2025 Introduction
来源：A09:2025 Security Logging and Alerting Failures

你可以把它理解成：
系统不是没被攻击，而是被攻击了却没看见；或者看见了也没法及时行动。

为什么它长期上榜
OWASP 官方明确说，这一类问题很难通过传统测试数据充分体现，所以它会长期在数据里“被低估”。但现实中，它对安全事件的可见性、取证和响应速度影响极大。没有日志和监控，入侵很难被发现；没有告警，发现了也很难在正确时间做出正确动作。

常见表现

• 只记录成功登录，不记录失败登录。
• 登录、越权、服务端校验失败、关键交易等可审计事件没有统一记录。
• 警告和错误日志不清晰、不完整，或者根本不记。
• 日志完整性没有保护，攻击者可以删改。
• 应用和 API 日志没有被持续监控。
• 日志只存本地，没有备份，也没有集中分析。
• 没有阈值、没有升级流程、没有 playbook，导致告警来了也没人处理。
• DAST、渗透测试、批量探测根本触发不了告警。
• 日志里写入了不该记录的敏感信息，或者日志输出未编码，反而给日志系统带来注入风险。
• 误报太多，真正的攻击信号被 SOC 淹没。

OWASP 官方典型场景

• 医疗相关网站因为缺乏监控和日志，外部第三方先发现大规模数据被改，而系统自己多年都没察觉。
• 航空公司的大规模旅客数据泄露，还是第三方云服务商事后通知才知道。
• 支付相关漏洞导致欧洲大型航空公司发生 GDPR 级别的数据事件，最后不仅是技术问题，还变成高额罚款和合规问题。

怎么防

• 把登录、访问控制失败、服务端输入校验失败、高价值交易等事件纳入统一审计。
• 所有安全控制点都要记录“成功”和“失败”，而不是只记一边。
• 使用日志平台易消费的统一格式，便于 SIEM/SOC 处理。
• 正确编码日志内容，防止日志注入或监控系统被攻击。
• 关键交易要有完整审计链，并用防篡改方式保存。
• 对可疑行为及时发出告警，不要把日志当“只留档不行动”的黑盒。
• 建立有效的监控用例、告警阈值和响应 playbook。
• 通过 honeytoken、行为分析等方式降低误报、提高命中率。
• 制定并演练事件响应与恢复方案，让开发团队知道“攻击长什么样”。

一句话总结
Security Logging and Alerting Failures 的本质是：系统没有把安全事件记录成可发现、可告警、可响应、可追溯的信号。