北京时间11月11日,OWASP基金会(开放Web应用安全项目)正式发布了备受瞩目的《OWASP Top 10 2025》。这份堪称“应用安全风向标”的报告揭示了一个令人警醒的趋势:在时隔四年后,“访问控制失效”(Broken Access Control)以惊人的流行率和破坏力,重新夺回了榜首位置,成为全球应用安全面临的首要威胁。
这一变化在深层次上反映出,尽管行业在自动化和云原生技术上高歌猛进,但在最核心、最基础的安全逻辑上,我们正面临严峻的“回归式”挑战。
访问控制为何“重回”榜首?
2021 年和 2025 年 OWASP 十大应用程序风险的变化 来源:OWASP
根据OWASP 2025年的最新数据,在接受测试的应用程序中,高达94%的程序存在某种形式的“访问控制失效”漏洞。这一数据创下了历史新高,使其从2021年榜单的(编者注:根据本次报告的设定)第二位跃升至第一位,取代了长期盘踞榜首的“注入”(Injection)漏洞。
“访问控制失效”的回归绝非偶然。GoUpSec综合多方报道和专家分析,认为其背后主要有三大驱动因素:
1. “万物皆API”时代的必然阵痛
近年,现代应用架构已从传统的单体应用转向以微服务和API为核心的分布式系统。应用程序的“API化”导致了攻击面的爆炸性增长。访问控制不再是简单地在几个页面上验证用户角色,而是需要在数百甚至数千个API端点上精细地执行“谁可以在什么时间、对什么资源执行什么操作”。这种复杂性带来了巨大的管理和验证挑战,不安全的直接对象引用(IDOR)、功能级别访问控制缺失等问题层出不穷。
2. 云原生与IAM的复杂性“黑洞”
云原生环境(如Kubernetes)和公有云(AWS, Azure, GCP)的复杂IAM(身份与访问管理)策略,为访问控制带来了新的噩梦。一个配置错误的IAM角色、一个过于宽泛的服务账户权限,或是一个JWT (JSON Web Token) 的不当验证,都可能导致灾难性的访问控制绕过。系统越是互联互通,一个点的失控所造成的连锁反应就越是致命。
3. “左移”的盲区:重代码扫描,轻逻辑验证
尽管“DevSecOps”和“安全左移”的理念已被广泛接受,但目前的自动化安全工具(SAST/DAST)在检测“注入”或“过时的组件”等代码层面的缺陷时效率很高,但在识别“访问控制失效”这类业务逻辑缺陷时却常常力不从心。
安全团队可以自动扫描出SQL注入,但机器很难自动理解“为什么一个普通用户A不应该能通过修改API请求中的ID,去访问用户B的私密数据”。这种对业务逻辑的深度理解缺失,导致大量访问控制漏洞在自动化流水线中被“放行”。
2025榜单:不止一个“坏消息”
除了“访问控制失效”登顶外,OWASP Top 10 2025榜单还释放了其他几个值得高度关注的信号:
A03:2025-“注入”退位:长期霸榜的“注入”(Injection)在2025版中下降至第三位。但这绝不意味着注入漏洞已得到解决。OWASP专家指出,这主要归功于现代开发框架(如React, Angular)和ORM(对象关系映射)工具提供了更强的默认防护。然而,当开发者绕过框架或在特定场景(如NoSQL查询)下,注入威胁依然严重。
A08:2025-新晋威胁:“AI安全风险” 这是一个全新的、反映时代特征的类别。随着生成式AI和大型语言模型(LLM)被深度集成到应用中,“提示词注入”(Prompt Injection)、“模型数据投毒”(Data Poisoning)和“敏感信息泄露”(LLM data leakage)等新型威胁正迅速成为核心风险。
A04:2025-“不安全设计”与“安全配置错误”的整合 2021年榜单中的“不安全设计”(Insecure Design)和“安全配置错误”(Security Misconfiguration)在2025版中被整合和重新定义为“不安全的系统设计”(Insecure System Design)。这标志着OWASP正推动行业从“亡羊补牢”式的打补丁,转向在系统设计和架构阶段就必须“默认安全”(Secure-by-Design)。
SSRF的持续高危:“服务器端请求伪造”在2021年首次进入Top 10(A10:2021),而在2025版中其排名进一步攀升。这与云环境的普及密切相关,SSRF已成为攻击者探测云上内网、窃取元数据和凭证的“黄金钥匙”。
对CISO和安全团队的启示
OWASP Top 10 2025的发布,尤其是“访问控制失效”的登顶,对所有CISO、安全负责人和开发团队都敲响了警钟。这表明,我们正在“基础课”上挂科。
GoUpSec认为,企业亟需从以下几个方面做出应对:
将“授权”置于“认证”同等重要的位置:我们花了太多精力在“你是谁”(认证),而对“你能做什么”(授权)的验证却远远不够。必须在应用的每一个层面(从网关到API,再到微服务)强制执行显式和默认拒绝的访问控制策略。
“零信任”必须落地,而非口号:访问控制失效是“隐式信任”的直接恶果。企业必须假定内网和应用内部的任何组件都不可信,对每一次访问请求进行严格的、持续的验证。
强化API安全与业务逻辑测试:投资API安全工具(如API发现、API网关、API威胁防护),并大幅增加对业务逻辑的人工审查和渗透测试投入。安全团队必须像攻击者一样去思考:“我如何能滥用这个功能?”
将“威胁建模”贯穿设计始终:在“不安全设计”风险上升的当下,必须在产品设计的最初阶段就引入威胁建模,识别出架构层面的访问控制缺陷,而不是等到应用上线前才发现。
结语
OWASP Top 10 2025榜单是一面镜子,“访问控制失效”重回榜首,这个看似“倒退”的信号,实则是在提醒我们:在追逐AI、云原生等新技术浪潮时,那些关于“权限”和“边界”的古老安全原则,比以往任何时候都更加重要。
参考链接:
https://owasp.org/Top10/2025/0x00_2025-Introduction/
相 关 阅 读
