时隔四年访问控制漏洞重回OWASP应用安全TOP10榜首

主要观点总结

本文介绍了OWASP基金会发布的《OWASP Top 10 2025》报告，该报告揭示了应用安全的新趋势和挑战。其中，“访问控制失效”重新夺回榜首位置，成为全球应用安全面临的首要威胁。文章还分析了背后的原因，包括现代应用架构的转变、云原生和IAM的复杂性以及安全工具对业务逻辑缺陷的识别不足。此外，文章还提到了其他值得关注的信号，如注入、AI安全风险、不安全的系统设计等。最后，文章为CISO和安全团队提供了启示和建议。

关键观点总结

关键观点1: “访问控制失效”重新成为全球应用安全面临的首要威胁。

在时隔四年后，“访问控制失效”以惊人的流行率和破坏力重新夺回OWASP Top 10榜首位置。高达94%的程序存在某种形式的“访问控制失效”漏洞，这一数据创下了历史新高。

关键观点2: “访问控制失效”背后的原因。

现代应用架构的转变、云原生和IAM的复杂性以及安全工具对业务逻辑缺陷的识别不足是“访问控制失效”背后的主要原因。

关键观点3: 其他值得关注的信号。

除了“访问控制失效”外，报告还揭示了其他值得关注的安全问题，如注入、AI安全风险、不安全的系统设计等。

关键观点4: 对CISO和安全团队的启示。

企业应该加强API安全与业务逻辑测试，将授权置于认证同等重要的位置，“零信任”必须落地而非只是口号，并强调将威胁建模贯穿设计始终。