På tampen av 2025 ble åttende utgave av OWASP Top 10 utgitt. Dette er en liste over de ti mest kritiske sikkerhetsrisikoene for webapplikasjoner, utarbeidet av Open Web Application Security Project (OWASP). Den fungerer som en veiledning for utviklere og sikkerhetsansvarlige for å prioritere tiltak mot de mest vanlige og alvorlige sårbarhetene.
Denne topp-10-lista blir utgitt ca. hvert fjerde år, hvor åtte av innslagene er basert på statistikk over registrerte sårbarheter, mens to av innslagene kommer fra en spørreundersøkelse i sikkerhetsmiljøet. Forrige utgave kom i 2021, og jeg tar her en liten gjennomgang av hva som er nytt i 2025-utgaven.
1. A01:2025 – Broken Access Control
Ødelagt tilgangskontroll regnes som den mest alvorlige risikoen og toppet også lista i 2021. Denne kategorien representerer feil som fører til at noen eller noe får uautorisert tilgang til data eller funksjoner. Eksempelvis når en bruker kan endre URL for å få tilgang til en annen brukers konto. Kategorien inkluderer nå også forrige utgaves jumboplassering, A10-2021 Server-Side Request Forgery (SSRF), som går ut på å sende lureforespørsler til servere.
2. A02:2025 – Security Misconfiguration
På andreplass finner vi feil sikkerhetskonfigurasjon, som tidligere lå nede på en femteplass. For eksempel er en klassisk gjenganger her at standardpassord «admin123» ikke er endret på admin-konto eller at man finner passord hardkodet i kildekoden. Det er som å låse døra med en hyssing og håpe på det beste.
3. A03:2025 – Software Supply Chain Failures
Bronseplassen, sårbare leverandørkjeder for programvare, har blitt stemt fram av sikkerhetsmiljøet, og er en utvidelse av A06:2021-Vulnerable and Outdated Components. Denne dukker opp når man benytter seg av sårbare programmer, biblioteker eller tjenester som er levert av andre. Hendelsen hvor SolarWinds sitt infiserte nettverksverktøy Orion ble distribuert til over 18 000 kunder er kanskje det mest kjente eksempelet her. Vanskelig å beskytte seg mot når man ikke vet helt hva som er under panseret på det man har fått fra andre, og derfor høyt plassert på lista.
4. A04:2025 – Cryptographic Failures
Svakheter i kryptering eller håndtering av sensitive data faller faktisk to plasser ned på lista siden sist. Har vi blitt flinkere til å krydre hashede passord med salt og pepper eller unngå svake kryptoalgoritmer? Tja, kanskje, men fremdeles viktig å sjekke opp sertifikatene dine. Kryptering er som å pakke julegaver – ingen liker gjennomsiktige papir. Bruk sterke algoritmer og nøkler, ellers kan angriperen pakke opp gaven din før du rekker å si «AES».
5. A05:2025 – Injection
Injisering av lumsk kode via nettskjema eller URL-er faller fra tredje til femteplass. Et klassisk råd her er å anta at alle sluttbrukere er onde og at data fra dem ikke kan stoles på. Vask og skrubb derfor alt som serveren din mottar. Da kan Bobby Tables starte på skolen igjen uten at det blir kluss.
6. A06:2025 – Insecure Design
Dårlig design som gjør applikasjonen sårbar er det vanskelig å komme utenom, selv om denne også har falt ned et par plasser. Kategorien er veldig bred i seg selv, og dekker egentlig mange av de andre kategoriene. En systematisk utviklingsprosess som har fokus på sikkerhet fra begynnelse til slutt er nok det beste botemiddelet.
7. A07:2025 Authentication Failures
Svakheter i autentiseringsmekanismer gjør det mulig å utgi seg å være noen andre enn den man er. Denne kategorien beholder samme plassering, men har fått et litt forenklet navn fra A07:2021 Identification and Authentication Failures. Multifaktorautentisering har blitt mer og mer utbredt, og er kanskje det viktigste en bruker kan gjøre. For utviklere, husk action tokens og sikre kjeks (cookies).
8. A08:2025 – Software or Data Integrity Failures
Programvare- og dataintegritetsfeil oppstår når kode og infrastruktur ikke beskytter mot at ugyldig eller uverifisert kode eller data behandles som gyldig og betrodd. Denne kategorien beholder navn og plassering fra 2021, men er også nært beslektet usikre leverandørkjeder (A03:2025 – Software Supply Chain Failures) lengre oppe. En typisk tabbe er å kjøre automatisk oppdatering uten signaturverifisering.
9. A09:2025 Security Logging & Alerting Failures
Utilstrekkelig logging og overvåkning av hendelser har samme plassering som sist, men har gjennomgått en kosmetisk navneoperasjon (tidligere A09:2021 Security Logging and Monitoring Failures). Dette er den andre kategorien som ikke er tatt med basert på statistikk, men som sikkerhetsmiljøet mener må være med på lista. Husk, det hjelper ikke å logge hendelser dersom ingen gidder å sjekke loggene og rope ut før det er for sent.
10. A10:2025 – Mishandling of Exceptional Conditions
Nederst på lista finner vi en nykomling. Feil håndtering av unntakstilstander skjer når programmet ikke klarer å forebygge, oppdage eller håndtere uvanlige og uforutsigbare situasjoner under kjøretid. Dette kan føre til krasj, dårlig oppførsel og sikkerhetshendelser. Vi har for eksempel slitt med buffer overflow siden 1970-tallet, og det er fremdeles vanskelig å takle uforutsett programoppførsel, enten det er gjort med vilje eller skyldes naturlige årsaker.