Wróć do bloga
Bezpieczeństwo praktyczne

OWASP Top 10 – najważniejsze zagrożenia aplikacji webowych

2025-02-087 min


Czym jest OWASP Top 10?


OWASP (Open Web Application Security Project) co kilka lat publikuje listę dziesięciu najczęstszych i najpoważniejszych zagrożeń bezpieczeństwa aplikacji webowych. To nie lista „wszystkich” zagrożeń, ale punkt wyjścia do przeglądu bezpieczeństwa i planowania testów (w tym pentestów).


Dlaczego warto znać Top 10?


  • Wspólny język – zespoły i audytorzy używają tych kategorii przy raportach.
  • Priorytety – pomaga skupić się na tym, co najczęściej występuje w praktyce.
  • Compliance – wiele standardów i wymagań klientów odnosi się do OWASP.

    • Wybrane kategorie (skrót)


    A01: Broken Access Control

    Błędy w kontroli dostępu – użytkownik może zobaczyć lub zmodyfikować dane, do których nie powinien mieć dostępu (np. IDOR).


    A02: Cryptographic Failures

    Słabe szyfrowanie, przechowywanie wrażliwych danych w postaci jawnej, brak TLS tam gdzie trzeba.


    A03: Injection

    Wstrzykiwanie kodu (SQL, NoSQL, OS, LDAP) – dane użytkownika traktowane jako część zapytania lub polecenia.


    A04: Insecure Design

    Słaba architektura i projekt – brak „security by design”, brak modelowania zagrożeń.


    A05: Security Misconfiguration

    Błędna konfiguracja serwerów, frameworków, nagłówków (CORS, CSP), domyślne hasła, zbędne funkcje włączone.


    A06–A10

    Pozostałe kategorie obejmują m.in. vulnerable components (przestarzałe biblioteki), auth failures, logowanie i monitoring, SSRF. Warto przejrzeć pełną listę na stronie OWASP.


    Co dalej?


    Znajomość Top 10 pomaga w code review, w przygotowaniu do pentestu i w rozmowach z klientem o zakresie testów. Jeśli budujesz lub utrzymujesz aplikację webową, warto co jakiś czas sprawdzić, czy Twoje rozwiązania adresują te obszary.


    Planujesz pentest? Możemy omówić zakres pod kątem OWASP i Twojej technologii.