OWASP Top 10:2025: ключевые изменения и современные подходы к безопасности ПО

Казахстан продолжает активно развивать цифровую экономику, внедряя удобные финтех-платформы, маркетплейсы, государственные сервисы и облачные решения. Однако вместе с технологической зрелостью выросло и количество потенциальных угроз.

Например, АО «Государственная техническая служба» (ГТС) за 2024 год фиксирует 2,6-кратный рост киберинцидентов (свыше 41 тыс.), среди которых преобладает использование вредоносного ПО, фишинг, DDoS-атаки и утечки данных. А в прошлом году одним из самых обсуждаемых инцидентов стала утечка данных около 16 миллионов граждан Казахстана, расследование которой продолжается на уровне Комитета Национальной Безопасности.

Подобные инциденты показывают, что современные риски всё чаще связаны не только с классическими уязвимостями, но и с ошибками бизнес-логики, слабым контролем доступа, небезопасными API и проблемами конфигурации инфраструктуры.

Обновленный OWASP Top 10:2025 показывает, как изменился ландшафт угроз для веб-приложений и что нужно делать компаниям, чтобы своевременно выявлять уязвимости, снижать риски утечек данных и обеспечивать устойчивость цифровых сервисов к современным кибератакам.

В этих условиях использование практик OWASP становится не просто рекомендацией, а частью современной культуры безопасной разработки.

Что такое OWASP Top 10:2025 и что в нем нового

OWASP Top 10 — это мировой стандарт по повышению осведомленности о рисках безопасности веб-приложений, созданный на основе практического опыта специалистов и отраслевой аналитики.

Этот список служит важным ориентиром для выявления и снижения наиболее критичных классов угроз. Опираясь на него, команды разработки получают приоритеты и фокус в тех ситуациях, где требования к информационной безопасности могут казаться размытыми или неоднозначными.

Например, с его помощью создатель веб-системы, позволяющей B2B-компаниям страховать бизнес или людей от рисков или форс-мажорных обстоятельств, смог значительно улучшить уровень ее безопасности и снизить вероятность критических уязвимостей и атак.

В 2025 году команда проекта обновила категории и приоритеты, чтобы они точнее отражали современные риски безопасности веб-приложений.

Ключевые изменения в версии 2025:

• Добавлены две новые категории: A03 «Ошибки в цепочке поставки программного обеспечения» — категория расширяет фокус с уязвимых компонентов на всю цепочку поставки: зависимости, CI/CD-процессы, сборку и распространение ПО; A10 «Некорректная обработка исключительных ситуаций» — категория систематизирует ошибки, возникающие при сбоях, отказах и нестандартных состояниях системы.
• Пересмотрены позиции категорий: A02 «Небезопасная конфигурация» поднялась на второе место из-за растущей сложности облачных инфраструктур и микросервисных архитектур; A01 сохранила первое место; категории «Криптографические ошибки», «Инъекции» и «Небезопасный дизайн» немного сместились вниз в рейтинге, но по-прежнему остаются критически важными.

Обзор OWASP Top 10:2025: что важно знать

Каждая категория в OWASP Top 10 отражает одну из ключевых областей риска для современных веб-приложений.

Далее рассмотрим, какие угрозы включает каждая категория, почему они важны для бизнеса и какие практические QA-подходы помогают снижать вероятность подобных уязвимостей.

A01: Нарушение контроля доступа

Что включено

Ошибки авторизации и контроля доступа, вертикальное и горизонтальное повышение привилегий, несоответствие контекста доступа. Сюда также относится SSRF (Server-Side Request Forgery) — уязвимость, при которой злоумышленник может заставить сервер выполнять запросы от своего имени. В некоторых случаях это позволяет обходить механизмы авторизации и получать доступ к внутренним сервисам или защищенным данным.

Возможные последствия

• Несанкционированный доступ к данным и функциям системы;
• получение доступа к данным других клиентов или компаний внутри одной платформы;
• риски несоответствия требованиям безопасности и комплаенса.

QA-практики: как предотвратить нарушения контроля доступа

Тестирование API и UI с учётом ролей (позитивные и негативные сценарии), проверка политик минимально необходимых привилегий и контекстно-зависимого доступа, а также контроль корректных настроек доступа на уровне шлюзов, сервисов и данных.

A02: Небезопасная конфигурация

Что включено

Небезопасные настройки по умолчанию, неограниченно доступные точки доступа API, несогласованные конфигурации между окружениями, отсутствие необходимых HTTP-заголовков безопасности, неправильное хранение и обработка секретов и учетных данных.

Возможные последствия

• Быстрая эксплуатация уязвимостей злоумышленниками;
• распространение атаки внутри инфраструктуры;
• увеличение затрат на устранение проблем.

QA-практики: как избежать проблем с конфигурацией

Проверка инфраструктурных конфигураций Terraform и Helm на соответствие требованиям безопасности, использование чек-листов по безопасной настройке системы, применение стандартных безопасных конфигураций и контроль отклонений от них в CI/CD.

A03: Ошибки в цепочке поставки программного обеспечения

Что включено

Уязвимости в зависимостях и сторонних библиотеках, взлом репозиториев пакетов или каналов обновления ПО, атаки на CI/CD-процессы, а также риски, связанные со сборкой, подписыванием и распространением ПО.

Возможные последствия

• Масштабные инциденты безопасности, затрагивающие сразу множество систем и пользователей;
• длительные последствия атак;
• риски нарушения нормативных и регуляторных требований.

Практики QA/AppSec для предотвращения таких ошибок ПО

Создание списка всех используемых библиотек и зависимостей для каждого релиза (SBOM); использование только одобренных источников зависимостей и лицензий; автоматическая проверка сторонних компонентов и библиотек на известные уязвимости (SCA-сканирование); проверка целостности сборок, пакетов и контейнеров перед выпуском; контроль происхождения и изменений файлов сборки на всех этапах CI/CD; защита CI/CD-процессов с применением принципа минимальных привилегий, разделения ролей и подхода «доверяй, но проверяй».

A04: Криптографические ошибки

Что включено

Использование слабых алгоритмов и режимов шифрования, ошибки в настройке защищенного TLS-соединения, опасное хранение ключей и секретов, недостаточная защита чувствительных данных с помощью шифрования.

Возможные последствия

• Утечки данных;
• несоответствие требованиям стандартов и регуляторов;
• финансовые и репутационные риски.

QA-практики по устранению криптографических ошибок

Проверка настроек TLS, тестирование управления ключами и секретами (ротация ключей, разграничение доступа, поиск утечек секретов), контроль корректного шифрования данных при передаче и хранении и проверка корректности криптографической реализации.

A05: Инъекции

Что включено

SQL-, NoSQL- и LDAP-инъекции, внедрение вредоносных команд в операционную систему, а также инъекции в шаблоны и выражения, возникающие из-за недостаточной проверки пользовательского ввода.

Возможные последствия

• Нарушение целостности данных и команд;
• получение несанкционированного доступа к хранилищам данных;
• получение полного контроля над системой.

QA-практики защиты ПО от инъекций

Использование подготовленных запросов и строгой валидации входных данных, автоматическое тестирование приложения на наличие уязвимостей и ошибок обработки входных данных, а также проверка шаблонов и выражений во время анализа кода.

A06: Небезопасный дизайн

Что включено

Отсутствие необходимых архитектурных механизмов защиты, попытки устранять проблемы безопасности уже после разработки вместо того, чтобы закладывать ограничения и защитные меры на этапе проектирования системы.

Возможные последствия

Системные ошибки безопасности, исправление которых требует значительных изменений в архитектуре и высоких затрат.

Практики QA/архитектуры для безопасности ПО

Анализ возможных угроз безопасности еще до начала разработки, подготовка тест-кейсов бизнес-логики на основе выявленных угроз, формализация правил безопасного взаимодействия между сервисами, проверка архитектуры системы с помощью автоматизированных тестов.

A07: Ошибки аутентификации

Что включено

Слабые механизмы входа в систему, неправильная обработка пользовательских сессий, ошибки в многофакторной аутентификации, использование токенов без привязки к устройству или контексту пользователя.

Возможные последствия

• Захват учетных записей;
• мошеннические действия;
• повышение привилегий злоумышленником.

QA-практики по устранению ошибок аутентификации

Проверка негативных сценариев многофакторной аутентификации, тестирование защиты от ботов и попыток подбора паролей, тестирование управления пользовательскими сессиями, проверка привязки авторизации к устройству и контексту пользователя, а также безопасность сценариев восстановления доступа.

A08: Нарушение целостности программного обеспечения или данных

Что включено

Установка обновлений из недоверенных источников, несанкционированные изменения критически важных конфигураций и данных, отсутствие проверки цифровых подписей.

Возможные последствия

• Скрытое внедрение вредоносных изменений в систему;
• незаметное изменение бизнес-логики;
• изменение критически важных процессов приложения.

QA-практики по защите ПО

Проверка цифровых подписей и целостности обновлений, сборок и других файлов приложения, контроль изменений критически важных данных и конфигураций с помощью хеширования и мониторинга, применение «правила двух человек» при внесении изменений в бизнес-логику системы.

A09: Ошибки журналирования и мониторинга безопасности

Что включено

Неполные или недостаточно информативные логи, отсутствие проверки и корреляции событий безопасности, ненадежные или игнорируемые оповещения, отсутствие целевых показателей времени обнаружения инцидентов.

Возможные последствия

• Позднее обнаружение атак и инцидентов безопасности;
• рост ущерба бизнесу;
• трата времени и ресурсов на восстановление системы.

Практики QA/Operations для защиты ПО

Проверка того, насколько быстро система замечает подозрительные действия, атаки и сбои, контроль полноты и корректности логов, регулярные упражнения для команд безопасности и эксплуатации с оценкой скорости обнаружения и устранения инцидентов.

A10: Некорректная обработка исключительных ситуаций

Что включено

Раскрытие чувствительной информации в сообщениях об ошибках, небезопасное поведение системы при сбоях, конфликты и ошибки при одновременном выполнении нескольких операций, некорректная работа приложения в нестандартных или аварийных ситуациях.

Возможные последствия

• Перегрузка или недоступность системы для пользователей;
• утечка внутренней информации о системе;
• нарушение целостности бизнес-операций и транзакций.

QA-практики для безопасности ПО

Тестирование поведения системы при сбоях сервисов и сетевых зависимостей, проверка безопасной обработки ошибок без раскрытия внутренних деталей, тестирование корректной деградации функциональности, проверка таймаутов и механизмов повторных запросов.

Скрытый риск ИИ-генерируемого кода

Представьте: благодаря разработке с помощью ИИ новая функциональность запускается в рекордные сроки. Код выглядит безупречно, проходит автоматические тесты и без проблем попадает в продуктовую среду. Но за внешней надежностью может скрываться критически важная проблема — отсутствие защиты бизнес-логики.

В 2026 году значительная часть кода будет создаваться с помощью ИИ, и вместе с этим появится новая волна уязвимостей: логические ошибки, которые не способны обнаружить обычные сканеры безопасности.

Например:

• изменение суммы платежа после авторизации;
• валидация данных только при загрузке страницы;
• доступ к данным других клиентов через цепочку API-запросов.

Сегодня это может казаться гипотетическими сценариями, а завтра — стать причиной громких инцидентов и утечек данных.

Почему программы-вымогатели все еще остаются одной из главных угроз

Пока компании сосредоточены на ранее неизвестных уязвимостях и ошибках, связанных с использованием ИИ в разработке, программы-вымогатели по-прежнему остаются одной из самых серьезных и быстрорастущих угроз безопасности.

Сегодня злоумышленники все чаще используют тактику двойного вымогательства: не только шифруют данные, но и угрожают их публичной публикацией. Более того, некоторые компании становятся жертвами повторных атак. Финансовый ущерб от этого продолжает расти из года в год, и пока эта тенденция не замедляется.

Что это означает для специалистов по тестированию в Казахстане

Эти тенденции меняют приоритеты QA-команд. Одних только автоматизированных тестов уже недостаточно, чтобы выявлять логические ошибки, возникающие при использовании ИИ для генерации кода, или проблемы конфигурации, которые могут использовать злоумышленники.

Поэтому все большую роль играет проактивное тестирование безопасности: моделирование угроз, проверка устойчивости системы к сбоям и тестирование бизнес-логики приложения.

Категории OWASP Top 10, такие как A01 и A10, напрямую связаны с этими современными рисками. Интеграция таких практик в QA-стратегию уже сегодня помогает снизить вероятность серьезных инцидентов в будущем.

Заключение

OWASP Top 10:2025 — это важнейший аспект безопасной разработки в эпоху активного внедрения AI и роста киберугроз.

Интеграция этих принципов в QA-процессы помогает компаниям снижать системные риски, соответствовать требованиям безопасности и обеспечивать стабильные релизы без потери скорости разработки.

Начать можно уже сегодня:

• Провести аудит QA-практик в соответствии с рекомендациями OWASP Top 10:2025.
• Внедрить проверки безопасности в CI/CD.
• Развивать в командах практики моделирования угроз и тестирования бизнес-логики.

Напишите нам, если вам нужна помощь с тестированием безопасности ПО, мы будем рады обсудить, какие решения подойдут именно вашему продукту.