Организация представила проект версии 2025 года, который открыт для обсуждения до 20 ноября.
Как и в предыдущем издании, на первом месте остался Broken Access Control — ошибки контроля доступа. Категория расширена и теперь охватывает также уязвимости класса SSRF, которые ранее занимали десятую позицию.
На второй строке расположилась Security Misconfiguration — ошибки конфигурации безопасности, поднявшаяся с пятого места (в рейтинге 2021 года). Третью позицию заняли Software Supply Chain Failures — проблемы в цепочках поставок программного обеспечения. Это расширенная версия категории Vulnerable and Outdated Components, включающая сбои и компрометации в экосистеме зависимостей, систем сборки и инфраструктуры распространения. По данным OWASP, именно эти риски стали одной из главных тревог профессионального сообщества в ходе опроса.
Далее следуют Cryptographic Failures, Injection (включающая XSS и SQL-инъекции) и Insecure Design — все три категории опустились на две позиции и теперь занимают четвёртое, пятое и шестое места соответственно. Authentication Failures, Software or Data Integrity Failures и Logging & Alerting Failures сохранили свои прежние позиции — с седьмой по девятую.
Новая категория в десятке — Mishandling of Exceptional Conditions, замыкающая список. В неё включены ошибки обработки исключительных ситуаций, некорректная реакция на аномалии, неправильная обработка ошибок и логические сбои, возникающие при нестандартных условиях работы систем.
Представители OWASP отметили, что структура 2025 года отличается от списка 2021-го. Теперь при анализе учитывались данные о количестве приложений, протестированных за год, и о числе систем, в которых были выявлены хотя бы по одному случаю конкретной CWE (Common Weakness Enumeration). Такой подход позволяет отслеживать распространённость уязвимостей по всему массиву тестируемых продуктов, не обращая внимания на количество повторений одной и той же проблемы внутри одного приложения. Для анализа использовалось 589 CWE, тогда как в 2017 году их было всего 30, а в 2021 — около 400.
При оценке эксплуатируемости и технического воздействия OWASP применил данные по CVE, группируя их по CWE и рассчитывая средние значения по CVSS-оценкам. Из-за ограничений автоматизированного тестирования только восемь категорий были выбраны на основании этих данных. Ещё две появились благодаря опросу сообщества, в котором специалисты указывали риски, считающиеся наиболее критичными на практике.
Таким образом, OWASP Top 10 — 2025 отражает сдвиг фокуса сообщества: внимание сместилось от классических ошибок внедрения к проблемам конфигурации, архитектуры и цепочек поставок, которые всё чаще становятся причиной компрометации современных веб-приложений.