文章总结： OWASP发布2025年十大Web应用安全风险，更新了排名以反映现代威胁。新增软件供应链风险和异常处理不当两个类别，访问控制失效、安全配置错误、加密不当及注入等风险仍居前列。建议开发人员查看完整文档，重点关注供应链安全与异常处理逻辑，以提升应用防御能力。 综合评分： 63 文章分类： 应用安全,WEB安全,供应链安全,漏洞预警,安全意识

OWASP 2025 年十大漏洞

Ots安全

2025年12月29日 12:08 广东

威胁简报

恶意软件

漏洞攻击

OWASP Top Ten是应用安全领域最具影响力的安全意识文档之一，由开放全球应用安全项目 (OWASP) 发布。它代表了由社区驱动的 Web 应用面临的最关键风险排名。2025 版延续了以往版本（例如 2021 版）的传统，同时更新了其重点，以反映现代软件构建、部署和攻击方式的变化。

以下是更新后的列表：

A01:2025 – 访问控制失效

A02:2025 – 安全配置错误

A03:2025 – 软件供应链风险

A04:2025 – 加密不当

A05:2025 – SQL注入

A06:2025 – 不安全的设计

A07:2025 – 身份验证失效

A08:2025 – 软件或数据完整性失效

A09:2025 – 安全日志记录和警报失效

A10:2025 – 异常处理不当

从目前的情况来看，新增了两个类别：

软件供应链故障：这一新的风险类别承认，威胁可能源于 SDLC 的更早阶段，从受损的软件包到不安全的依赖项管理，都会影响代码库本身之外的安全。

异常情况处理不当：此补充内容涵盖了因错误处理不当、对系统行为的未经验证的假设以及导致应用程序处于不安全状态的异常路径而产生的风险。

除此之外，还有一些其他的变化和重组，我们建议您查看OWASP 网站上的完整新文档。https://brackish.io/2025/12/27/owasp-top-ten-2025/

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《OWASP 2025 年十大漏洞》