🤨 Дождались! Больше года с нетерпением ожидал новый список топовых уязвимостей от OWASP. Для веба они выходят раз в 3-4 года, начиная с 2003 года. В рейтинге десяти самых распространённых за 2025 год появились две новые категории и одна консолидированная. Список предварительный (кандидат), окончательный будет чуть позже. ▎ Новые топовые уязвимости: ➡️A03:2025 — Ошибки в цепочке поставок ПО (Software Supply Chain Failures). Расширяет прежний пункт Vulnerable and Outdated Components и охватывает компрометации на всех этапах экосистемы разработки: зависимости, системы сборки и инфраструктуру распространения; ➡️A10:2025 — Неправильная обработка исключительных условий (Mishandling of Exceptional Conditions). Новая категория, включающая 24 типа уязвимостей, связанных с неправильной обработкой ошибок, логическими сбоями, "fail-open" сценариями и другими ситуациями, возникающими при аномальных условиях работы системы. ▎ Что это значит для пентестеров и разработчиков? ➡️Цепочки поставок становятся главным вектором атак. Теперь уязвимость может прийти не из кода, а из зависимостей и CI/CD; ➡️Ошибки обработки исключений — напоминание, что даже простая 500-ая ошибка может стоить дорого, если логика не защищена. Распространите новый топ OWASP. И да, ИБ спецы, с проф праздником вас! UPD. Это кандидат на окончательное утверждение топа. 🔗 Ссылка на OWASP top 10 2025