2025 年最易被忽视的 OWASP Top 10 风险

德国慕尼黑 - 2025 年 9 月 19 日

为何组织仍未能解决关键 Web 漏洞

尽管 OWASP Top 10 已广为人知，Rasotec 最新的 Web 应用渗透测试显示，许多组织仍遗漏若干最具影响的风险。这些疏忽很少源于知识缺乏，而是来自复杂性、优先级错位以及对自动化扫描工具的过度依赖。

OWASP Top 10 代表了最常见且关键的 Web 安全风险。然而，即便是成熟组织也常低估某些项，留下可利用缺口。这些被忽视的风险通常不是技术配置错误，而是业务逻辑缺陷、访问控制问题与不安全的集成，需要人工主导测试才能发现。

失效的访问控制（A01:2021）在 Rasotec 的发现中仍是最常被忽视的风险。应用常依赖客户端检查或不完整的角色执行，允许权限提升、横向数据访问或未经授权的管理操作。自动化扫描器极少发现这些问题，因为它们需要对应用逻辑的上下文理解。

不安全设计（A04:2021）是另一项常被组织忽略的风险。安全常在开发后才被附加，而非从一开始就嵌入。这导致脆弱的授权流、不安全的信任边界与缺失的安全控制。此类缺陷对静态分析不可见，需要威胁建模与人工评估才能揭露。

"自动化工具错过了攻击者最常利用的东西：逻辑缺陷与设计缺口。我们的测试在它们变成事件之前将其暴露。"——Rasotec 首席执行官 Rick Grassmann

易受攻击与过时的组件（A06:2021）广为人知，却常被轻视。团队假定包管理器与容器基础镜像已更新，但 Rasotec 常发现生产环境中未修补的库或孤立组件。攻击者利用这些缺口，因为它们可预测、有详细记录且易于自动化。

安全日志与监控失败（A09:2021）在事件响应中尤为棘手。缺乏适当审计日志，组织无法检测或重构攻击，导致攻击者驻留时间延长。Rasotec 常观察到缺失的登录审计轨迹、缺席的管理操作日志以及对可疑活动无告警，给攻击者提供行动掩护。

这些发现揭示了一个反复出现的模式：组织投资于表层安全措施，却忽视需要人工分析的结构弱点。自动化工具虽重要，但无法评估业务逻辑、上下文访问规则或设计假设。只有针对性、人工主导的渗透测试才能可靠地发现这些缺陷。

Rasotec 的精品方法专注于复杂 Web 应用的深度人工分析，模拟真实攻击者行为，而非仅依赖扫描器，从而识别出代表最高现实影响的、被忽视的 OWASP Top 10 风险。

关于 Rasotec：Rasotec 是 CypSec 最紧密的合作伙伴之一，是一家精品安全公司，专注于复杂 Web、移动与基础设施环境的人工渗透测试。其团队专注于发现自动化工具遗漏的逻辑缺陷、链式攻击路径与高影响漏洞。更多信息请访问 rasotec.com。

媒体联系人：Rasotec 首席执行官 Rick Grassmann - rick.grassmann@rasotec.com。