OWASP Top 10ga yangi ikki hujum turi qo'shildi

OWASP o‘zining veb-ilovalar uchun eng muhim xavf-xatarlari Top 10 ro‘yxatining yangilangan talqiniga ikkita yangi toifani qo‘shdi.

Ochiq Veb Ilovalar Xavfsizligi Loyihasi (OWASP) veb-ilovalar uchun eng muhim xavf-xatarlari Top 10 ro‘yxatining yangilangan talqinini e’lon qildi. Yangilangan ro‘yxatda ikkita yangi toifa qo‘shilgan va umumiy tartib qayta shakllantirilgan.

2025-yilgi ushbu tavsiya etilayotgan talqin (release candidate) – OWASP asosiy Top 10 ro‘yxatining yakuniy loyihasiga yaqin shakli bo‘lib, 20-noyabrgacha fikr-mulohaza bildirish uchun ochiq.

Broken Access Control (Buzilgan kirish nazorati) 2021-yilda birinchi o‘ringa chiqqanidan so‘ng, 2025-yilgi OWASP Top 10 ro‘yxatida yetakchi o‘rinni saqlab qolgan. Ushbu toifa ilgarigi talqinda alohida bo‘lgandi va endi ro‘yxatda o‘ninchi o‘rinni egallamoqda, endi u Server-side Request Forgery (SSRF)ni ham o‘z ichiga oladi.

Security Misconfiguration (Xavfsizlikning noto‘g‘ri sozlanishi) esa 2021-yilgi Top 10da beshinchi o‘rinda bo‘lgan bo‘lsa, endi ikkinchi o‘ringa ko‘tarilgan. Uchinchi o‘rinda esa ilgari oltinchi bo‘lgan Vulnerable and Outdated Components (Zaif va eskirgan komponentlar) toifasining kengaytirilgan shakli – Software Supply Chain Failures (Dasturiy ta’minot zanjiri xatolari) joylashgan.

OWASP ta’kidlaganidek, ushbu kengaytirilgan toifa “dasturiy ta’minot bog‘liqliklari, yig‘ish tizimlari va tarqatish infratuzilmasi ekotizimi ichida yoki butun zanjir bo‘ylab yuz beradigan buzilishlarning kengroq doirasini” o‘z ichiga oladi. Shuningdek, bu masala jamoat so‘rovnomasida eng muhim tashvishlardan biri sifatida qayd etilgan.

Kriptografik xatolar (Cryptographic Failures), Injekshn (Injection) (shu jumladan XSS va SQL Injection), hamda Xavfsizlashtirilmagan dizayn (Insecure Design) toifalari har biri ikki pog‘onaga pastlagan bo‘lib, hozirda mos ravishda to‘rtinchi, beshinchi va oltinchi o‘rinlarda joylashgan.

Tasdiqlov xatolari (Authentication Failures), Dasturiy ta’minot yoki ma’lumotlar yaxlitligi xatolari (Software or Data Integrity Failures) va qaydlash va ogohlantirish xatolari (Logging & Alerting Failures) esa 2021-yilgi OWASP Top 10 ro‘yxatidagi o‘z joylarini saqlab qolib, mos ravishda yettinchi, sakkizinchi va to‘qqizinchi o‘rinlarda qolgan.

Ro‘yxatdagi yangi toifa — Mishandling of Exceptional Conditions (Noodatiy holatlarni noto‘g‘ri boshqarish) — endilikda o‘ninchi o‘rinda turibdi. U “open” rejimda ishlash (failing open), xatolarni noto‘g‘ri qayta ishlash, mantiqiy xatolar va tizimlar duch kelishi mumkin bo‘lgan noodatiy holatlar bilan bog‘liq boshqa holatlarni o‘z ichiga oladi.

OWASP ma’lumotiga ko‘ra, ushbu ro‘yxatdagi ayrim toifalar 2021-yildagilarga nisbatan o‘zgargan, bu esa asosan biroz boshqacha yondashuv natijasidir.

Tashkilot muammolarning ildiz sababiga e’tibor qaratgan va bitta ilova ichida CWElarning takrorlanish chastotasini inobatga olmagan. Tahlil uchun 589 ta CWEdan iborat ma’lumotlar to‘plamidan foydalanilgan — bu 2017-yildagi 30 ta CWE va 2021-yildagi qariyb 400 ta CWE bilan solishtirganda ancha ko‘p.

Biroq, jamoa Exploitability (foydalanish imkoniyati) va Technical Impact (texnik ta’sir)ni baholash uchun CVE ma’lumotlaridan foydalangan. Ular CVElarni CVSS ballari bo‘yicha CWElar bilan guruhlab, CVSSv3 va CVSSv2 ballari mavjud bo‘lgan ilovalarning foiziga qarab o‘rtacha eksploit va ta’sir ko‘rsatkichlarini hisoblagan.

Avtomatlashtirilgan sinov cheklovlari sababli ushbu ma’lumotlar asosida faqat sakkizta toifa tanlangan, va ular to‘liq emas deb hisoblanadi. Qolgan ikki toifa esa OWASP hamjamiyati so‘rovnomasiga asoslangan bo‘lib, unda mutaxassislar o‘z fikricha eng katta xavf tug‘diruvchi toifalarga ovoz berganlar.