Rapport OWASP Top 10 2025
L'OWASP Top 10 est un document de sensibilisation standard pour les développeurs et la sécurité des applications Web. Il représente un large consensus sur les risques de sécurité les plus critiques pour les applications Web.
Le rapport OWASP Top 10 informe les développeurs, les concepteurs, les architectes et les responsables des risques de sécurité les plus critiques des applications Web. Le rapport fournit des conseils de base sur la manière d'atténuer ces risques.
AppScan Enterprise version 10.11.0 et ultérieure prend en charge le rapport OWASP Top 10 2025.
Ce qui a changé entre l'OWASP Top 10 2021 et 2025
La mise à jour de 2025 introduit une nouvelle catégorie, consolide les vulnérabilités précédentes et ajuste les noms des catégories pour se concentrer sur les causes profondes.
| Catégorie de vulnérabilité de l'OWASP Top 10 2025 | Description et changements par rapport à l'OWASP Top 10 2021 |
|---|---|
| A01 Contrôle d'accès défaillant | Reste le risque de sécurité le plus critique. Cette catégorie inclut désormais la falsification de requête côté serveur (SSRF). |
| A02 Mauvaise configuration de sécurité ⇧ | Remonte de la position 5. Ce changement reflète la dépendance croissante aux configurations pour le comportement des applications. |
| A03 Défaillances de la chaîne d'approvisionnement logicielle ⇧ | Élargit l'ancienne catégorie Composants vulnérables et obsolètes. Elle inclut désormais les compromissions dans l'écosystème des dépendances logicielles, les systèmes de génération et l'infrastructure de distribution. |
| A04 Défaillances cryptographiques ⇩ | Chute de la position 2. Ces défaillances conduisent fréquemment à l'exposition de données sensibles et à la compromission du système. |
| A05 Injection ⇩ | Chute de la position 3. Cette catégorie comprend les vulnérabilités allant du cross-site scripting à l'injection SQL. |
| A06 Conception non sécurisée ⇩ | Chute de la position 4. Cette baisse reflète les améliorations de l'industrie en matière de modélisation des menaces et de conception sécurisée. |
| A07 Défaillances d'authentification | Maintient la position 7. Le nom a été mis à jour de Défaillances d'identification et d'authentification pour mieux refléter sa portée. |
| A08 Défaillances d'intégrité des logiciels ou des données | Maintient la position 8. Se concentre sur les défaillances de vérification de l'intégrité des logiciels, du code et des artefacts de données, et sur le maintien des limites de confiance. |
| A09 Défaillances de journalisation et d'alerte de sécurité | Maintient la position 9. Le nom a été mis à jour de Défaillances de journalisation et de surveillance de la sécurité pour souligner l'importance de la fonctionnalité d'alerte. |
| A10 Mauvaise gestion des conditions exceptionnelles (Nouveau) | Une catégorie nouvellement ajoutée. Se concentre sur la gestion incorrecte des erreurs, les erreurs logiques, l'ouverture en cas d'échec et les conditions système anormales. |
| ⇧ ⇩ Indique un changement de position (A01-A10) par rapport au rapport 2021. | |