OWASP Top 10 2025 – En reflektion

Från att ha sågat allt med generativ AI vid fotknölarna, och provocerat ungefär halva IT-världen, så är det idag dags för mig att prata om något mer lättsamt. Låt oss gemensamt fundera på rollen som OWASP Top 10 (den klassiska webb-varianten) fyller i våran moderna IT-säkerhetsvärld. Traditionellt har OWASP Top 10 fungerar som en gyllene standard för allt relaterat till säkerhetstest av webbapplikationer. Gäller detta fortfarande med den senaste versionen?

Som brukligt är det bäst att starta från början med en kort summering. Sedan så går vi igenom hur OWASP Top 10 historiskt har använts, vad den senaste versionen innehåller i stora drag och vad som skiljer sig främst för den senaste versionen (jämfört med äldre). Genom att gå igenom detta så kommer vi se att användningsområdet för OWASP Top 10 har förändrats, och att denna inte längre tjänar samma syfte som tidigare. Avslutningsvis funderar vi på vad för alternativ som finns för den som ändå vill utföra metodiska säkerhetstest.

Häng med.

Vad är OWASP Top 10?

OWASP (som nuförtiden står för ”Open Worldwide Application Security Project” men tidigare för ”Open Web Application Security Project”) är en grupp som sysslar med att informera och främja applikationssäkerhet. Under åren har OWASP haft många olika projekt och ramverk för att informera, vägleda, underlätta och förbättra arbetet med applikationssäkerhet.

Ett av deras mest välkända imitativ är utan tvekan listan OWASP Top 10. Första utgåvan kom redan 2003 och innehåller en sammanställning av de vanligaste formerna av sårbarhetskategorier för webbapplikationer. Ungefär vart fjärde år kommer en uppdaterad variant av listan för att reflektera den rådande samtiden. Exakt hur listan utformas är ett förhållandevis komplicerat ämne som vi får avstå från att tänka för mycket på nu.

Senaste åren har OWASP expanderat bortom enbart webbapplikationssäkerhet till andra någorlunda relaterade områden. Därför finns det idag ett flertal olika OWASP Top 10 listor för olika områden (exempelvis mobilapplikationer och flertalet AI-relaterade). I regel är det fortfarande så att om inget annat sägs så menas med OWASP Top 10 alltid den ursprungliga listan för webbapplikationer.

Hur har OWASP Top 10 använts?

Under över tjugoårs tid så har OWASP Top 10 tjänat som en vägledning och standard av vad ett webbapplikationssäkerhetstest bör innehålla. Självfallet har denna inte inkluderat alla möjliga webbsårbarheter. Istället har fokuset alltid varit på att avhandla de vanligaste och mest påfallande typerna av sårbarheter. En webbapplikation som kan genomlida OWASP Top 10 utan några större avvikelser brukar anses vara motståndskraftig mot de vanligaste typerna av attacker, speciellt när dessa inte är riktade och skräddarsydda mot just den betraktade webbapplikationen.

När det gäller rapporteringen och bokföringen för säkerhetstest har OWASP Top 10 haft än mer tyngd. Strukturen följer nästan alltid denna. Tanken är att det ska finnas en tydlig gemensam och standardisera struktur sådant att utfallet är mindre personberoende samt är lättare att repetera om så önskas.

Vad innehåller OWASP Top 10 från 2025?

Den senaste versionen av OWASP Top 10 är som kanske kan misstänkas nu från 2025 (november). Så vad innehåller den? En otroligt snabb genomgång är som följer:

• A01:2025 – Broken Access Control
  • Alla typer av behörighetsbrister, såsom möjligt för en vanlig användare att kunna komma åt administratörsfunktioner.
• A02:2025 – Security Misconfiguration
  • Alla typer av konfigurationsbrister. Sådana går alltid i principiellt att åtgärda genom att ändra i någon av de underliggande komponenters konfiguration.
• A03:2025 – Software Supply Chain Failures
  • Inkluderar kända sårbarheter i underliggande komponenter och bibliotek. Men detta ska även inkludera hanteringen av beroenden/bibliotek för applikationen och hur leverantörskedjan säkras för alla komponenter.
• A04:2025 – Cryptographic Failures
  • Alla typer av brister som rör kryptografi. Detta inkluderar de kända exemplet av transportkryptering men detta är enbart en liten del av en större helhet.
• A05:2025 – Injection
  • Alla typer av injektionsbrister. Detta inkluderar många av de mest välkända webbapplikationssårbarheterna såsom SQL injektioner och Cross-Site Scripting (XSS).
• A06:2025 – Insecure Design
  • Rör brister som kan kopplas till hur själva applikationen är designad och utformad, samt hur applikationen hanteras och underhålls.
• A07:2025 – Authentication Failures
  • Alla typer av brister som rör autentisering och inloggning. Innefattar även sessionsmekanismer för webbapplikationer.
• A08:2025 – Software or Data Integrity Failures
  • Brister som går bortom kategori A03 och kan beröra exempelvis uppdateringen av underliggande bibliotek och konsumtionen av extern data. I de senare fallen så förespråkar kategorin att trovärdigheten och riktigheten av data kontrolleras.
• A09:2025 – Security Logging and Alerting Failures
  • Rör åtgärder för att implementera loggning och larm för att uppmärksam avvikande händelser mot och inom applikationen.
• A10:2025 – Mishandling of Exceptional Conditions
  • Brister som rör oväntade händelser inom applikationen. Detta inkluderar exempelvis felhantering, valideringen av affärsflöde och minneshantering.

För den som vill djupdyka så finns detaljerade beskrivningar för respektive kategori på OWASP Top 10 hemsidan. Vid en första anblick så verkar kanske allt i sin ordning. Men om vi försöker använda den här utgåvan på samma sätt som tidigare kommer vi bli varse den förändringen som har skett inom OWASP Top 10.

Hur skiljer sig 2025 utgåvan från tidigare utgåvor?

Det här är en fråga som OWASP alltid försöker besvara själva i samband med utfärdandet av en uppdaterad utgåva. I introduktionssidan när senaste utgåvan tillkännages så finns en figur som försöker illustrera hur de tidigare kategorierna översätts till de nya

Istället för att gå kategori för kategori och försöka förstå hur de gamla svarar mot de nya så ska vi snarare fokusera på den större bilden. Utöver det, hur fungerar det att utföra och rapportera säkerhetstest utefter OWASP Top 10 2025? För den här punkten så är det bra att det har hunnit gå flera månader sedan 2025 utgåvan kom. Det går nu att se hur väl denna varianten fungerar när praktiska säkerhetstest utförs och rapporteras.

Först den större bilden av förändringarna. En uppenbar iakttagelse är att det har skett en generell förändring i tankesätt och ställningstagande. Kanske till och med i filosofin bakom hur säkerhetstest ska betraktas inom webbapplikationssäkerhet. Det här är inte en fullständig nyhet, trenden kunde även ses i föregående utgåva ifrån 2021. Så vad är förändringen? Jämfört mot tidigare är det ett väldigt stor fokus på saker som egentligen är bortom rena sårbarheter. På vilket sätt belyser loggning [A09] och leverantörshanteringen [A03,A09] konkreta sårbarheter? Ger detta någon gemensam terminologi som på ett enkelt och rättfram sätt beskriver vad som är den faktiska sårbarheterna som går att utnyttja? Och hur kan detta ens kopplas ihop med en risk, sannolikhet och påverkan? Alla dessa frågor förblir öppna i den senaste versionen. Från ett test- och sårbarhets-perspektiv är många kategorier otydliga och trubbiga. Om beskrivningen för varje kategori tas så som beskriven av OWASP själva blir innebörden att ca fyra är omöjliga att utvärdera enbart via säkerhetstester. Dessa är A03, A06, A08, A09. Utöver det är flera andra kategorier delvis påverkande eftersom flera olika inslag inte kan bedömas utan att ha detaljerad insyn i alla delar av applikationen. Enbart om vi betraktas OWASP Top 10 som någon typ av helhetsprogram för säkerheten hos organisationen bakom själva applikationen finns någon logik. Som sagt kunde detta resonemang redan ses i föregående variant. Men nu är det uppenbart att detta är vad de bakom listan strävar efter. Att en sådan helhetslista finns behöver i sig inte vara dåligt. Samtidigt är frågan då vem som är den tilltänkta målgruppen för OWASP Top 10? Och om det inte hade varit bättre att göra något helt nytt istället för att kappa detta anrika säkerhetstest hjälpmedel? En för bred målgrupp gör sällan någon nöjd. Som det är nu är detta inte någon sammanställning av de mest relevanta webbapplikationssårbarheterna.

Utöver det hade vi den praktiska biten. Hur väl utgåvan fungerar som ett stöd och struktur vid utförande samt rapporteringen av webbapplikationssäkerhetstest. Som konsekvens av föregående, inte speciellt bra. Flera kategorier kan inte konkret utvärderas via säkerhetstest. Ännu mer påtagligt blir det i de fallen när testarna inte har fullständig åtkomst till i princip alla delar av applikationen. Det är ytterst sällan som utförarna har åtkomst till exakt alla delar av applikationen, så som koden och infrastrukturen. Vidare behövs även en genomgång av organisationens policy och hantering av bland annat leverantörer och uppdateringar. Detta är fallet om samtliga kategorier i OWASP Top 10 ska kunna bedömas. Ett vanligt alternativ är att exkludera somliga kategorier för att undvika detta. Samtidigt är det inte idealt att i princip hälften av ett testramverk ska grå markeras varje gång.

Slutsatsen är att OWASP Top 10 2025 inte tjänar sitt syfte längre som ett stöd vid säkerhetstester. Istället har det blivit som en kortlista på aspekter som en organisation själv bör arbete med för att förbättra sin säkerhet kopplat till en webbapplikation. Som utförare av säkerhetstester så har dess funktion kraftigt försämrats jämfört med hur det var förr i tiden. OWASP Top 10 fungerar inte längre som en gemensam ram för att beskriva och rapportera sårbarheter.

Vad ska vi använda istället?

Med ovan slutsats så är det på sin plats att börja kolla efter alternativ. Det som vi vill ha är ett ramverk som ger oss stöd vid utförandet av säkerhetstest och som framförallt ger oss en struktur för rapportering av sårbarheter. En bonus är om det ger en gemensam vokabulär och terminologi för sårbarheter. Som tur är så behöver vi inte leta länge innan vi hittar ett vettigt alternativ. Vi behöver inte ens lämna OWASP.

Alternativet stavas ”OWASP Web Security Testing Guide”. Det är ett dokument som innehåller specifika tester indelade i olika kategorier för att kunna uppdaga sårbarheter. Perfekt för säkerhetstester. Länge har Testing Guide fungerar som ett komplement till OWASP Top 10; Till för den som vill ha mer detaljerad information om de praktiska testerna som bör utföras för att hitta sårbarheter och via det bemöta kategorierna i Top 10. Med tillkortakommandena i senaste Top 10 så är det dags att överge denna till förmån för Testing Guide helt. Genom att betrakta varje avsnitt i Testing Guide så återfås den välbekanta kategori-indelningen (om än med ett annorlunda antal än tio).

Framtiden för webbapplikationssårbarheter bör således med fördel förlita sig på OWASP Web Security Testing Guide. I framtida bloggar så kanske jag utforskar denna närmare för att bättre illustrera dess fördelar, nackdelar och framförallt dess innehåll.