A 2025-ben leggyakrabban figyelmen kívül hagyott OWASP Top 10 kockázatok

München, Németország – 2025. szeptember 19.

Miért nem kezelnek a szervezetek továbbra is kritikus webes sebezhetőségeket

Annak ellenére, hogy az OWASP Top 10 széles körben ismert, a Rasotec legutóbbi webalkalmazás-penetrációs tesztjei azt mutatják, hogy számos szervezet továbbra is figyelmen kívül hagyja a legnagyobb hatású kockázatok egy részét. Ezek az elnézések ritkán a hiányos tudás miatt történnek. Inkább a komplexitás, a rosszul összehangolt prioritások és az automatikus szkennelő eszközökkel szembeni túlzott bizalom az ok.

Az OWASP Top 10 a leggyakoribb és legkritikusabb webes biztonsági kockázatokat képviseli. Mégis, még érett szervezetek is gyakran alábecsülnek bizonyos pontokat, kihasználható réseket hagyva maguk után. Ezek a figyelmen kívül hagyott kockázatok általában nem technikai konfigurációs hibák, hanem üzleti logikai hibák, hozzáférés-szabályozási problémák és biztonságtalan integrációk, amelyek emberi vezetésű tesztelést igényelnek a feltáráshoz.

A megtört hozzáférés-szabályozás (A01:2021) továbbra is a legkonzisztensebben alulkezelt kockázat a Rasotec megállapításai szerint. Az alkalmazások gyakran kliens-oldali ellenőrzésekre vagy hiányos szerepkör-érvényesítésre támaszkodnak, amelyek jogosultság-növelést, vízszintes adathozzáférést vagy adminisztratív műveletek engedély nélküli végrehajtását teszik lehetővé. Az automatizált szkennerek ritkán fedezik fel ezeket a problémákat, mivel kontextus-érthető alkalmazáslogikát igényelnek.

A bizonytalan tervezés (A04:2021) egy másik olyan kockázat, amelyet a szervezetek hajlamosak figyelmen kívül hagyni. A biztonságot gyakran a fejlesztés után toldják hozzá, nem pedig kezdettől beágyazzák. Ez törékeny hitelesítési folyamatokat, bizonytalan bizalmi határokat és hiányzó biztonsági vezérlőket eredményez. Az ilyen hibák a statikus elemzés számára láthatatlanok, és fenyegetésmodellezéssel, valamint kézi értékeléssel tárhatók fel.

„Az automatizált eszközök figyelmen kívül hagyják azt, amit a támadók a leginkább kihasználnak: a logikai hibákat és a tervezési réseket. Tesztjeink ezeket már incidens előtt feltárják” – mondta Rick Grassmann, a Rasotec vezérigazgatója.

A sebezhető és elavult komponensek (A06:2021) széles körben ismertek, de gyakran alábecsülik őket. A csapatok feltételezik, hogy a csomagkezelők és a konténer-alapképek naprakészek, ám a Rasotec gyakran nem javított könyvtárakat vagy árva komponenseket talál éles környezetben. A támadók ezeket a réseket azért használják ki, mert előreláthatóak, jól dokumentáltak és automatizálhatók.

A biztonsági naplózás és monitorozás hiányosságai (A09:2021) különösen problémásak incidens-válasz során. Megfelelő audit-naplók nélkül a szervezetek nem képesek észlelni vagy rekonstruálni a támadásokat, ami hosszú észlelési időt eredményez. A Rasotec gyakran tapasztal hiányzó bejelentkezési audit-nyomokat, admin-műveleti naplózás teljes mellőzését és riasztás nélküli gyanús tevékenységet, ami operatív fedezéket biztosít a támadóknak.

Ezek az eredmények egy ismétlődő mintázatot emelnek ki: a szervezetek felszíni biztonsági intézkedésekbe fektetnek be, ám elhanyagolják a szerkezeti gyengeségeket, amelyek kézi elemzést igényelnek. Az automatizált eszközök fontos szerepet játszanak, de nem tudják értékelni az üzleti logikát, a kontextus-alapú hozzáférési szabályokat vagy a tervezési feltételezéseket. Csak a célzott, emberi vezetésű penetrációs tesztelés tudja ezeket a hibákat megbízhatóan feltárni.

A Rasotec „boutique” megközelítése összetett webalkalmazások mély, kézi elemzésére összpontosít, valós támadói viselkedést szimulálva, nem csupán szkennerekre támaszkodva azon OWASP Top 10 kockázatok azonosításához, amelyek a legnagyobb valós világbeli hatással bírnak.

A Rasotec-ról: A Rasotec a CypSec egyik legközelebbi partnere, „boutique” biztonsági vállalat, amely összetett webes, mobil és infrastruktúra-környezetek kézi penetrációs tesztelésére specializálódott. Csapata logikai hibákra, láncolt támadási utakra és nagy hatású sebezhetőségekre fókuszál, amelyeket az automatizált eszközök nem fedeznek fel. További információ: rasotec.com.

Média kapcsolat: Rick Grassmann, vezérigazgató, Rasotec – rick.grassmann@rasotec.com.