OWASP Top 10 to opracowanie, które identyfikuje najistotniejsze zagrożenia dla bezpieczeństwa aplikacji webowych. Dokument ten jest opracowywany przez Open Web Application Security Project (OWASP) – międzynarodową organizację non-profit, która zrzesza tysiące ekspertów, badaczy i pasjonatów cyberbezpieczeństwa z całego świata. OWASP Top 10 pomaga administratorom i deweloperom koncentrować wysiłki na zapobieganiu najczęstszym podatnościom aplikacji i efektywnie wykorzystywać dostępne zasoby.

Za przygotowanie listy odpowiada Open Web Application Security Project (OWASP).

Zagrożenia wynikające z ataków hakerskich na przestrzeni lat ewoluowały, a wraz z nimi lista OWASP. Poprzednie edycje ukazywały się w latach 2003, 2004, 2007, 2010, 2013, 2017, 2021. Lista OWASP Top 10 jest tłumaczona m.in. na niemiecki, japoński, koreański czy hiszpański. Choć oficjalnie istnieje oddział OWASP Polska, który zajmuje się organizacją konferencji, nie powstaje tłumaczenie na język polski.

Obecnie OWASP Top 10 2025 jest już opublikowana w finalnej wersji. W porównaniu do dokumentu udostępnionego 6 listopada 2025 roku w fazie Release Candidate (RC1) w ostatecznej wersji nie wprowadzono żadnych istotnych zmian.

Etap Release Candidate polega na opublikowaniu wersji wstępnej, do której społeczność może zgłaszać uwagi i poprawki. Finalna wersja listy nie jest aktualizowana aż do czasu wydania następnej edycji.

W porównaniu do listy OWASP Top 10 2021 w edycji z 2025 roku pojawiły się dwie nowe kategorie i jedna konsolidacja – SSRF zalicza się teraz do Broken Access Control.

Lista OWASP Top 10 2025:

• Broken Access Control – luka bezpieczeństwa, która występuje, gdy aplikacja internetowa niewystarczająco weryfikuje i kontroluje dostępy użytkowników. Według danych zgromadzonych przez OWASP, 3,73% aplikacji posiadało co najmniej jedną z 40 powszechnych klas CWE (Common Weakness Enumeration) z kategorii Broken Access Control.
• Nieprawidłowa konfiguracja zabezpieczeń – obejmuje błędy w konfiguracji systemów, aplikacji chmurowych i usług, które powodują powstanie luk w zabezpieczeniach. 3% zbadanych aplikacji miało przynajmniej jedną z 16 klas podatności z tej grupy.
• Błędy w łańcuchach dostaw oprogramowania – zagrożenia w procesie tworzenia, dystrybucji lub aktualizacji oprogramowania, które mogą być spowodowane lukami w zabezpieczeniach lub złośliwym kodem w komponentach stron trzecich.
• Błędy kryptograficzne – dotyczą braku szyfrowania, jego niedostatecznego poziomu lub wycieku kluczy kryptograficznych. Problem ten dotyka 3,8% aplikacji.
• Injection – wada umożliwiająca cyberprzestępcy wstrzyknięcie złośliwego kodu, np. poprzez SQL Injection lub XSS. Dotyczy 3,08% aplikacji. W tej kategorii znalazło się 62 445 podatności CVE.
• Błędy projektowe w obszarze bezpieczeństwa – wady projektowe wpływające na bezpieczeństwo aplikacji, wynikające np. z braku profilowania ryzyka biznesowego w tworzonym systemie. Występują w 1,86% aplikacji.
• Błędy uwierzytelniania – polegają na oszukaniu przez atakującego zabezpieczeń w taki sposób, żeby system rozpoznał go jako użytkownika z przydzielonymi uprawnieniami. Obejmują 36 klas podatności CWE. Występują w 2,92% aplikacji.
• Błędy integralności oprogramowania i danych – dotyczą sytuacji, w których system nie weryfikuje, czy kod lub dane pochodzą z zaufanego źródła, co prowadzi do możliwości ich podmiany. Dotykają 2,75% aplikacji.
• Błędy rejestrowania i alarmowania – oznaczają niewystarczające rejestrowanie zdarzeń oraz brak powiadomień o zagrożeniach. Dotyczą 3,91% aplikacji, obejmując tylko 723 CWE.
• Nieprawidłowe postępowanie w sytuacjach wyjątkowych – koncentruje się na błędach logicznych, nieprawidłowej obsłudze awarii i scenariuszach wynikających z nietypowych warunków i problemów. Obejmuje 24 klasy CWE i dotyczy 2,95% aplikacji.

Oprócz powyższych zagrożeń lista OWASP Top 10 prezentuje też dwie dodatkowe pozycje, które nie znalazły się w pierwszej dziesiątce, ale były szczegółowo rozpatrywane pod kątem ich uwzględnienia. Są to: brak odporności aplikacji i błędy zarządzania pamięcią.

Lista OWASP Top 10 opisuje najpoważniejsze zagrożenia z zakresu cyberbezpieczeństwa, ułatwiając firmom ocenę, które obszary wymagają najszybszej interwencji. Dzięki temu organizacja nie traci czasu na zagadnienia o niskim wpływie i może wykorzystać zasoby tam, gdzie są najbardziej potrzebne.

Każda pozycja opisana w liście OWASP Top 10 ma też szczegółowe wytyczne dotyczące tego, jak uniknąć danego zagrożenia oraz przykładowe scenariusze ataków. Zespoły mogą korzystać z listy podczas przeglądów kodu, audytów i planowania prac rozwojowych.

Również kadra zarządzająca powinna wiedzieć, co to jest OWASP Top 10 – taka wiedza stanowi narzędzie do lepszego zrozumienia i argumentowania decyzji inwestycyjnych. Pozwala np. przydzielić większe zasoby już na etapie projektowania aplikacji, żeby uniknąć ryzyka związanego z błędami projektowymi.

Netia dostarcza rozwiązania z zakresu cyberbezpieczeństwa, które zapewniają wysoki poziom ochrony aplikacji webowych.

Usługa Netia Managed WAF działa jak filtr, który chroni aplikacje webowe przed złośliwymi atakami. Sprawdza żądania i zapytania, a następnie wykrywa i blokuje niebezpieczną aktywność. Dzięki temu chroni m.in. przed zagrożeniami z listy OWASP Top 10.

Wśród naszych usług znajdują się także:

• Netia Testy Podatności – dzięki którym możliwe jest sprawdzenie odporności infrastruktury i systemów IT na cyberzagrożenia,
• Testy Penetracyjne aplikacji webowych – pozwalające na kontrolę zabezpieczeń i czujności systemów,
• Netia DDoS Protection – zabezpieczający infrastrukturę i kluczowe aplikacje biznesowe przed atakami typu DDoS oraz zapewniający ciągłość działania nawet w czasie największych zagrożeń wolumetrycznych.