КиберосноваSGRC
OWASP 2021

OWASP Top 10 — классификация рисков веб-приложений

Десять наиболее критичных рисков безопасности веб-приложений (версия 2021) с маппингом типов CWE и количеством уязвимостей в реестре БДУ ФСТЭК.
Категорий рисков: 10
Связанных типов CWE: 24
Уязвимостей в БДУ: 24 988
Реестр БДУ ФСТЭККаталог CWE

Реестр БДУ ФСТЭК

Поиск по 85 000+ уязвимостям

Каталог CWE

Типы уязвимостей по БДУ

Калькулятор CVSS v4.0

SLA по приказу №117

10 категорий OWASP Top 10 (2021)

Каждая категория содержит связанные типы CWE и модуль КиберОснова для защиты.

A01:2021
Критический
4 653 в БДУ

Нарушение контроля доступа

Broken Access Control

Пользователи действуют за пределами назначенных прав. Эскалация привилегий, доступ к чужим данным, изменение прав.

CWE-862(411)CWE-287(1 027)CWE-269(1 527)CWE-863(527)CWE-22(1 161)
Аудит ИБПодробнее
A02:2021
Критический
955 в БДУ

Криптографические ошибки

Cryptographic Failures

Слабая криптография, открытая передача данных, использование устаревших алгоритмов (MD5, SHA-1, DES).

CWE-327(159)CWE-295(306)CWE-522(232)CWE-310(258)
Учёт СКЗИПодробнее
A03:2021
Критический
9 232 в БДУ

Инъекции

Injection

Внедрение вредоносного кода через пользовательский ввод: SQL, XSS, OS Command, LDAP, XPath.

CWE-79(4 004)CWE-89(1 083)CWE-78(1 588)CWE-77(1 347)CWE-94(1 210)
БДУ ФСТЭКПодробнее
A04:2021
Высокий
7 900 в БДУ

Небезопасное проектирование

Insecure Design

Архитектурные ошибки, отсутствие моделирования угроз, недостаточный контроль бизнес-логики.

CWE-20(7 477)CWE-352(423)
Управление рискамиПодробнее
A05:2021
Высокий
546 в БДУ

Ошибки конфигурации

Security Misconfiguration

Небезопасные настройки по умолчанию, открытые порты, лишние сервисы, избыточные права.

CWE-276(285)CWE-732(261)
ИнвентаризацияПодробнее
A06:2021
Высокий

Уязвимые компоненты

Vulnerable and Outdated Components

Использование библиотек и компонентов с известными уязвимостями. Отсутствие обновлений.

CWE-1035
БДУ ФСТЭК + ИнвентаризацияПодробнее
A07:2021
Высокий
1 793 в БДУ

Ошибки аутентификации

Identification and Authentication Failures

Слабые пароли, отсутствие MFA, захардкоженные credentials, brute-force.

CWE-287(1 027)CWE-306(397)CWE-798(369)
Документы ИБПодробнее
A08:2021
Средний
1 834 в БДУ

Нарушение целостности ПО и данных

Software and Data Integrity Failures

Небезопасная десериализация, атаки на CI/CD, подмена зависимостей (supply chain).

CWE-502(624)CWE-94(1 210)
Управление рискамиПодробнее
A09:2021
Средний

Недостаточное логирование и мониторинг

Security Logging and Monitoring Failures

Отсутствие логов, алертов и реагирования на инциденты. Атаки остаются незамеченными.

CWE-778
Задачи ИБПодробнее
A10:2021
Средний
312 в БДУ

Подделка серверных запросов (SSRF)

Server-Side Request Forgery (SSRF)

Приложение отправляет запросы к внутренним ресурсам по указанию атакующего.

CWE-918(312)
БДУ ФСТЭКПодробнее

Как использовать OWASP Top 10 для аудита ИБ по приказам ФСТЭК

OWASP Top 10 — международно признанный рейтинг рисков безопасности веб-приложений. Приказы ФСТЭК России (№117, №21, №239) содержат меры защиты, которые покрывают те же риски: группы АНЗ (анализ уязвимостей), ОЦЛ (целостность), ЗИС (защита информационных систем) и УПД (управление доступом).

Каждая категория OWASP маппится на типы CWE, а реестр БДУ ФСТЭК классифицирует уязвимости по тем же CWE-идентификаторам. Это позволяет оценить, какие категории OWASP актуальны для вашей инфраструктуры, и приоритизировать меры защиты. При построении модели угроз OWASP Top 10 служит чеклистом полноты: если модель не учитывает инъекции (A03), нарушение контроля доступа (A01) или ошибки криптографии (A02) — в ней есть пробелы. КиберОснова SGRC автоматизирует этот анализ, ежедневно синхронизируя данные с БДУ ФСТЭК.

Открыть реестр БДУПопробовать КиберОснова
FAQ

Вопросы об OWASP Top 10

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг OWASP Top 10

КиберОснова SGRC: мониторинг БДУ ФСТЭК по всем категориям OWASP, CWE-аналитика, SLA по приказу №117.

Каталог CWE