Первый список OWASP Top Ten был выпущен в 2004 году. И с того момента появилось 7 обновлений, последнее из которых представлено в ноябре 2025 (пока в статусе Release Candidate). Эксперты WMX проанализировали все выпуски, чтобы разобраться, как с каждым годом и даже десятилетием менялась оценка угроз.

OWASP Top Ten 2004

Акцент на технические ошибки кода и уязвимости инфраструктуры

В топе самого первого OWASP Top Ten находится Unvalidated Input (Неподтвержденные входные данные). Эта угроза включает уязвимости, возникающие, когда веб-приложение принимает данные от пользователя без достаточной проверки, очистки или валидации и далее использует эти данные в критически важных операциях. В начале нулевых разработчики часто не закладывали функциональность валидации для форм ввода и разрешали системе сразу использовать данные. С годами угроза «расщепилась» на более мелкие и точные категории: например, XSS, Injection.

Непривычно выглядит в этом списке DoS уровня приложений. Сейчас отказ в обслуживании воспринимается скорее, как инфраструктурная проблема. Но в desktop-ориентированную эпоху недоступность веба связывали с какими-то багами.

В целом такие угрозы как некорректная обработка ввода, переполнение буфера и небезопасное хранение говорят о том, что ключевую угрозу сообщество видело в ошибках программирования и отсутствии практик безопасной разработки.

 OWASP Top Ten 2007

Смещение акцента с низкоуровневых ошибок кода к проблемам управления данными и сессиями

К 2007 году веб стал динамичнее – началась эра Web 2.0. Внимание сообщества сместилось в сторону более прикладных и веб-ориентированных угроз.

Наибольшее опасение у специалистов вызывал XSS (межсайтовый скриптинг). Реализация этого сценария была простой и очень эффективной на фоне почти отсутствующих механизмов изоляции данных. Попытки эксплуатации уязвимости встречаются в половине атак и сегодня, однако ее критичность значительно сократилась.

Инъекции были на второй строчке списка. Количество SQLi измерялось тысячами, а автоматизированные сканеры находили уязвимости мгновенно. Как отмечали авторы Top Ten 2007, причина – отсутствие культуры безопасной разработки. Следующие 10 лет Injection будут считаться наиболее критичной угрозой для веба. Но с развитием DevSecOps, массовым использованием ORM-фреймворков, параметризованных запросов, строгой типизации и автоматизированных инструментов анализа кода классические инъекции потеряли свою актуальность, хотя и остались серьезной угрозой.

В этом году также появилась новая категория – Insecure Communications (небезопасная передача данных по HTTP). Конечно, для периода, когда протоколы SSL/TLS считались «роскошным максимумом», а HTTPS воспринимался скорее рекомендацией, угроза была действительно актуальна. Но очень скоро она эволюционировала из шифрования каналов в шифрование данных и использование криптографии. 

OWASP Top Ten 2010

Акцент на инфраструктурную безопасность и управление доступом

Этот список отражает сдвиг в сторону более сложных веб-приложений, активного использования API, и роста угроз, связанных с управлением доступом и конфигурацией.

В 2010 году Broken Authentication and Session Management закрепляется в топ-3 критичных угроз и уже не опускается ниже следующие 10 лет. Ошибки в управлении учётными записями, паролями, сессиями надолго станут одной из главных головных болей всех ИБшников. Поскольку все больше сервисов имеют аккаунты, авторизацию, персонализацию, сессии становятся главным активом злоумышленников. В дальнейшем фокус сместился с сессий на бизнес-логику аутентификации.

В том же году появились два новых понятия. Первое - Security Misconfiguration. Это неверные настройки платформы, фреймворка, серверов, которые возникали с ростом сложности стеков. Причиной стало отсутствие жестких стандартов деплоя, человеческие ошибки, устаревшие конфигурации.

Второе - Cross-Site Request Forgery (CSRF). Эта угроза предполагает, что злоумышленник получил возможность использовать браузер жертвы для выполнения действия от её имени и без её ведома на сайте. Пользователь авторизуется на сайте, а далее злоумышленник заставляет браузер отправить запрос на доверенный сайт. Браузер автоматически добавляет cookie, токены сессии и другие данные — поэтому сервер считает, что запрос легитимен. Чаще всего таким образом мошенники переводят себе деньги со счета жертвы после того, как последний авторизовался в личном кабинете банка.  

 OWASP Top Ten 2013

Акцент продолжает смещаться от конкретных багов в сторону архитектурных проблем

Примечательно, что топ-3 угрозы с 2010 года остался неизменным. Но появилась новая важная категория Using Components with Known Vulnerabilities. Использование уязвимых компонентов стало критичной проблемой из-за массового использования open-source. Таким образом, первый раз в истории Top Ten появилась угроза, связанная не с кодом разработчика, а с внешними библиотеками. Это предвещало эпоху Log4Shell (2021), Heartbleed (2014) и т.д. Признание роли сторонних библиотек стало еще одним шагом к DevSecOps и SCA-инструментам.

Также OWASP расширила категорию угроз, связанных с утечками данных. Вместо узкого Insecure Cryptographic Storage/Insecure Communications п��явилось более широкое понятие Sensitive Data Exposure – ошибки хранения и передачи секретной информации (пароли, PII, карты). Массовые утечки данных (компрометация баз, слабо настроенный TLS, плохие ключи/алгоритмы) показали, что проблема часто заключается в неправильном обращении с данными в целом, а не только в том, что «не шифруют».

OWASP Top Ten 2017

Ушли простые угрозы вроде "редиректов", но появились архитектурные и процессные риски

В 2017 году OWASP фактически переосмыслила топ-риски, усилив внимание к архитектурным проблемам, уязвимостям серверной логики и современным типам атак, появившимся из-за API, облаков и микросервисов.

В перечне появились три совершенно новые категории, отражающие современные реалии веб-разработки. В частности, Insufficient Logging & Monitoring – угроза, связанная не с уязвимостью кода, а с отсутствием контроля и мониторинга.

Ещё более значимым нововведением стало включение в топ-10 угрозы Insecure Deserialization (небезопасная сериализация объектов). Уязвимости, формирующие данный риск, встречаются нечасто, но почти гарантированно ведут к взлому и обладают высокой степенью критичности. 

В то же время OWASP убрал из списка такие позиции, как Cross-Site Request Forgery (CSRF) и Unvalidated Redirects and Forwards. Эти уязвимости из года в год встречались всё реже: фреймворки начали автоматически внедрять CSRF-токены, а редиректы перестали быть массовым вектором критических атак. В результате их влияние на безопасность в среднем стало гораздо ниже, чем у других категорий.

OWASP Top Ten 2021

Окончательное смещение акцента в сторону разработки: проблема в том, как вы проектируете, собираете и разворачиваете систему

Эта версия списка стала переломной, чему способствовал локдаун, массовый перевод на удаленный формат работы и резкое изменение инфраструктур. Так инъекции, которые возглавляли перечень с 2013 года, уступили лидерство Broken Access Control (нарушение контроля доступа). Это, например, обход авторизации, эскалация привилегий, прямой доступ к объектам (IDOR), манипуляции с токенами. Проблема особенно критична в API и микросервисах, где проверка прав часто упускается.

Также на фоне «удаленки» и размытия сетевого периметра появилась новая категория – Server-Side Request Forgery(SSRF) или подделка запроса на стороне сервера. Если до пандемии многие использовали локальные серверы или гибридные среды, а внутренние сервисы были изолированы, то на фоне пандемии компании стали в спешке организовывать удаленную работу через облачные платформы. Также организации стали массово строить API для интеграции между новыми ресурсами, часто пренебрегая безопасностью ради скорости.

Еще одна новая угроза – Software and Data Integrity Failures, которая отражает тенденцию на рост атак типа Supply Chain. Это одна из наиболее критичных категорий, поскольку нарушает доверенную модель распространения софта. Толчком для появления этой категории стали громкие атаки на SolarWinds, Codecov, эксплуатация Log4Shell.

Кроме этого, на вторую строчку встала Cryptographic Failures – переосмысленная категория Sensitive Data Exposure, которая теперь включает все ошибки криптографии, а не только утечку данных. Фактически организация меняет тональность угрозы с реактивной на проактивную: не «данные утекли», а «вы не защитили их так, как должны были».

OWASP Top Ten 2025

Наиболее критичной остается угроза ошибок, связанных с управлением доступом (Broken Access Control). Это обход авторизации, IDOR, манипуляции параметрами, SSRF, которая больше не является отдельной категорией.

«Новинка» года – категория Software Supply Chain Failures – сразу заняла третью строчку, что еще раз указывает на растущую значимость проблемы доверительных отношений с поставщиками ПО и подрядчиками.

Важным обновлением стало появление категории Mishandling of Exceptional Conditions или неправильная обработка исключений, ошибок выполнения, таймаутов, краевых случаев, отказов сервисов. Из-за увеличившейся сложности систем (микросервисы, распределённые системы, API, облака) ошибки в обработке исключений стали полноценным вектором атаки, который может привести к утечкам, отказам и RCE.

Появление категорий, связанных с цепочками поставок, обработкой исключительных состояний и архитектурной безопасностью, отражает усложнение архитектуры современных приложений и зависимость от сторонних компонентов. По сути, Тор Ten 2025 показывает, что ландшафт угроз стал более зрелым, многослойным и ориентированным на архитектуру и экосистему приложения. Это требует от компаний пересмотра подходов к безопасности — от точечных исправлений к системному построению устойчивых, контролируемых и предсказуемых платформ.