• Jitka Marešová
• 12 listopadu, 2025
• Žádné komentáře

Owasp (Open Worldwide Application Security project) je známá mezinárodní nezisková organizace, zaměřená na zabezpečení webových aplikací. Pravidelně vydává seznam nejčastějších a nejkritičtějších zranitelností OWASP Top 10, které se v aplikacích objevují v posledním sledovaném časovém úseku. Vychází z dat dodaných organizacemi a výzkumníky, zabývajícími se bezpečností. Letos nashromáždili data z více než 2.8 milionu zkoumaných aplikací a jedním z dodavatelů je mimo jiných například i pražská Accenture.

Pojďme se společně podívat na stručný přehled změn a novinek v čerstvě vydaném OWASP Top 10, z 6.11. tohoto roku.

Na prvním místě k žádné změně nedošlo a stejně jako v posledním seznamu z roku 2021 zde figuruje Broken Access Control – aplikace neověřuje správně oprávnění k přístupu dat nebo provádění určitých akcí. Alarmující je, že 100% testovaných aplikací mělo nějakou formu této zranitelnosti. Nově se do této kategorie přesunula zranitelnost SSRF (Server Side Request Forgery), umožňující útočníkovi přimět server, aby provedl síťový požadavek na adresu, kterou sám určí — často na interní služby, které by jinak nebyly zvenčí dostupné. Dříve měla zranitelnost SSRF samostatnou kategorii a zaujímala 10. místo seznamu z roku 2021.

Na druhé místo se z pátého vyšvihla kategorie Security Misconfiguration. Nějaká forma nesprávného nastavení aplikace z hlediska bezpečnosti byla opět pozorována u všech testovaných aplikací. Tento nárůst souvisí s rostoucím používáním vysoce konfigurovatelného softwaru, kde je snazší udělat chybu v nastavení. S touto kategorií jsou nejčastěji spojeny zranitelnosti CWE-16 (Configuration) a CWE-611 (XXE – Improper Restriction of XML External Entities).

Na třetím místě je nově kategorie Software Supply Chain Failures, která rozšiřuje dřívější Vulnerable and Outdated Components. Nejde už jen o používání zranitelných nebo neaktualizovaných knihoven, ale obecně o rizika napříč celým dodavatelským řetězcem softwaru – od závislostí, přes build systémy, až po distribuční infrastrukturu.
Ačkoli je tato kategorie v datech zatím méně častá, má nejvyšší průměrné dopady, což z ní podle komunitního průzkumu dělá největší obavu odborné veřejnosti (50 % respondentů ji dalo na první místo). Mezi relevantní zranitelnosti patří například CWE-477 (zastaralé funkce), CWE-1104 (neudržované komponenty), CWE-1329 (nereparovatelné závislosti) a CWE-1395 (závislost na zranitelné třetí straně).

Dále žebříček zranitelností pokračuje kategoriemi, které dříve patřily k druhým, třetím a čtvrtým nejčastějším, došlo tedy tak k poklesu na čtvrté, páté a šesté místo. Jedná se o kategorie Cryptographic Failures, Injection, jenž patří k nejčastěji testovaným kategoriím a zahrnuje širokou škálu problémů a Insecure Design. Posledně jmenovaná kategorie byla představena poprvé v roce 2021 a bylo zaznamenáno znatelné zlepšení v oblasti modelování hrozeb a většího důrazu na bezpečný design.

Následující tři kategorie si udržují stejné pozice jako v minulém hodnocení. Jedná se o Authentication Failures, a zdá se, že zvýšené používání různých standardizovaných frameworků pro autentizaci zde má příznivý vliv. Software or Data Integrity Failures se týká situací, kdy aplikace nedostatečně ověřuje integritu softwaru, kódu nebo dat, a nedokáže tak spolehlivě rozlišit mezi důvěryhodnými a nedůvěryhodnými vstupy či komponentami. A Logging & Alerting Failures, která mírně změnila název, aby byla zdůrazněna i nutnost upozornění na události, nejen samotné logování. Tato zranitelnost bývá v datech podreprezentovaná, protože je obtížné ji spolehlivě testovat, přesto má zásadní dopad na detekci incidentů, reakci na útoky a následnou forenzní analýzu.

Na chvostu žebříčku se nachází zbrusu nová kategorie Mishandling of Exceptional Conditions. Zaměřuje se na chyby v ošetřování výjimečných nebo neobvyklých stavů, například nesprávné zpracování chybových hlášení, logické chyby v případě neplatných vstupů nebo situace, kdy systém chybně „selže otevřeně“ a umožní přístup tam, kde by měl být naopak blokován. Tato kategorie zahrnuje 24 CWE a dříve se části těchto problémů řadily pod obecnou „nízkou kvalitu kódu“, ale nyní je definována přesněji. Mezi významné zranitelnosti patří CWE-209 (citlivé informace v chybových hlášeních), CWE-234 (nezpracovaný chybějící vstup), CWE-274 (nesprávná práce s nedostatečnými oprávněními), CWE-476 (NULL dereference) a CWE-636 (Failing Open).

V rámci našich penetračních testů budeme s novou strukturou OWASP Top 10 pracovat, nicméně jde jen o výběr a fatální důsledky pro vaši firmu může mít klidně i úplně jiná zranitelnost.