🤨 Дождались!

Больше года с нетерпением ожидал новый список топовых уязвимостей от OWASP. Для веба они выходят раз в 3-4 года, начиная с 2003 года. В рейтинге десяти самых распространённых за 2025 год появились две новые категории и одна консолидированная.

▎ Новые топовые уязвимости:
➡️A03:2025 — Ошибки в цепочке поставок ПО (Software Supply Chain Failures). Расширяет прежний пункт Vulnerable and Outdated Components и охватывает компрометации на всех этапах экосистемы разработки: зависимости, системы сборки и инфраструктуру распространения;
➡️A10:2025 — Неправильная обработка исключительных условий (Mishandling of Exceptional Conditions). Новая категория, включающая 24 типа уязвимостей, связанных с неправильной обработкой ошибок, логическими сбоями, "fail-open" сценариями и другими ситуациями, возникающими при аномальных условиях работы системы.

▎ Что это значит для пентестеров и разработчиков?
➡️Цепочки поставок становятся главным вектором атак. Теперь уязвимость может прийти не из кода, а из зависимостей и CI/CD;
➡️Ошибки обработки исключений — напоминание, что даже простая 500-ая ошибка может стоить дорого, если логика не защищена.

Распространите новый топ OWASP.
И да, ИБ спецы, с проф праздником вас!

🔗 Ссылка на OWASP top 10 2025