Najprežaostavljeniji OWASP Top 10 rizici 2025.

München, Nemačka – 19. septembar 2025.

Zašto organizacije i dalje ne rešavaju kritične veb ranjivosti

Iako je OWASP Top 10 široko poznat, Rasotec-ovi skorašnji pentesti veb aplikacija pokazuju da mnoge organizacije i dalje previde nekoliko najuticajnijih rizika. Ove previde retko su posledica nedostatka znanja. U stvari, potiču iz složenosti, pogrešno postavljenih prioriteta i preteranog oslanjanja na automatizovane skenere.

OWASP Top 10 predstavlja najčešće i najkritičnije veb bezbednosne rizike. Ipak, čak i zrele organizacije često potcenjuju određene stavke, ostavljajući eksploatibilne procepe. Ovi prežaostavljeni rizici obično nisu tehničke greške konfiguracije, već propusti poslovne logike, problema kontrole pristupa i nesigurnih integracija koje zahtevaju ljudsko testiranje da bi se otkrile.

Slomljena kontrola pristupa (A01:2021) i dalje je najdoslednije neadekvatno obrađeni rizik u Rasotec-ovim nalazima. Aplikacije se često oslanjaju na klijentske provere ili nepotpuno sprovođenje uloga, omogućavajući eskalaciju privilegija, horizontalni pristup podacima ili administratorske radnje bez ovlašćenja. Automatizovani skeneri retko otkrivaju ove probleme jer zahtevaju kontekstualno razumevanje logike aplikacije.

Nesiguran dizajn (A04:2021) je još jedan rizik koji organizacije sklone da zanemare. Bezbednost se često dodaje naknadno, nakon razvoja, umesto da bude ugrađena od početka. To rezultira krhkim tokovima autorizacije, nebezbednim granicama poverenja i nedostajućim bezbednosnim kontrolama. Takvi propusti su nevidljivi statičkoj analizi i zahtevaju modeliranje pretnji i ručnu procenu da bi se otkrili.

Automatizovani alati propuste ono što napadači najviše iskorištavaju: propuste logike i rupe u dizajnu. Naši testovi ih otkrivaju pre nego što postanu incidenti, izjavio je Rick Grassmann, izvršni direktor u Rasotec.

Ranjive i zastarele komponente (A06:2021) su široko poznate, ali često potcenjene. Timovi pretpostavljaju da su menadžeri paketa i osnove kontejnera ažurni, ali Rasotec često pronalazi nezakrpljene biblioteke ili napuštene komponente u proizvodnji. Napadači iskorištavaju te procepe jer su predvidivi, dobro dokumentovani i laki za automatizaciju.

Propusti u bezbednosnom evidentiranju i nadzoru (A09:2021) su posebno problematični tokom reagovanja na incidente. Bez odgovarajućih revizijskih evidencija, organizacije ne mogu da detektuju ili rekonstruišu napade, što dovodi do dugih vremena boravka. Rasotec često uočava nedostajuće evidencije prijava, odsustvo logovanja administratorskih radnji i nikakva upozorenja o sumnjivim aktivnostima, pružajući napadačima operativni pokrov.

Ovi nalazi istiću ponavljajući obrazac: organizacije ulazu u bezbednosne mere površinskog nivoa, ali zanemaruju strukturne slabosti koje zahtevaju ručnu analizu. Automatizovani alati igraju važnu ulogu, ali ne mogu da procene poslovnu logiku, kontekstualna pravila pristupa ili pretpostavke dizajna. Samo ciljano, ljudsko vođeno pentestiranje može pouzdano otkriti ove propuste.

Rasotec-ov butik pristup fokusira se na duboku, ručnu analizu složenih veb aplikacija, simulirajući ponašanje pravih napadača umesto da se oslanja isključivo na skenere da bi otkrio prežaostavljene OWASP Top 10 rizike koji predstavljaju najveći uticaj u realnom svetu.

O Rasotec: Rasotec je jedan od najbližih partnera CypSec i butik bezbednosna firma specijalizovana za ručno pentestiranje složenih veb, mobilnih i infrastrukturnih okruženja. Njegov tim se fokusira na otkrivanje propusta logike, ulančanih napadnih puteva i visoko-uticajnih ranjivosti koje automatizovani alati previde. Za više informacija posetite rasotec.com.

Kontakt za medije: Rick Grassmann, izvršni direktor u Rasotec - rick.grassmann@rasotec.com.