文章总结： OWASP更新十大风险榜单，新增软件供应链故障和特殊条件处理不当两项。访问控制失效仍居首位，安全配置错误升至第二，软件供应链风险因针对IDE、CI/CD等攻击激增而首次进入前三。AI风险暂未入榜但列入候选。榜单基于300万应用数据及221位专家调查，反映开发环节已成攻击重点。 综合评分： 75 文章分类： 漏洞分析,供应链安全,安全建设,漏洞预警,应用安全

行业资讯：软件供应链风险进入OWASP十大风险榜单

君说安全

2026年2月8日 16:28 贵州

分享网络安全知识，提升网络安全认知！

让你看到达摩克利斯之剑的另一面！

“ 软件供应链风险进入OWASP十大风险榜单。”

备注：图片来源于网络

大家好，我是Jun哥。

最近更新的OWASP十大风险榜单有一些变化，包括增加了供应链风险，但之前的风险榜单中，访问控制失效依然位居首位。

软件供应链故障和特殊情况处理不当这两项是更新后的OWASP十大漏洞清单中新增内容，该榜单列出了主要的网络应用漏洞。

当前，AI相关风险暂未进入前十名，但它被列入了一个即将被纳入的“下一步”部分，此外比较重要的风险还有应用程序弹性不足和内存管理失败。

据了解，OWASP 十大名单基于来自十几个不同组织、涵盖近 300 万个应用的安全数据，以及对 221 位安全专家的调查。

  OWASP十大风险榜单清单如下

No.1 访问控制失效

当应用程序未能正确执行对认证用户权限的限制时，攻击者便能够访问未经授权的功能或数据。

例如，攻击者可能控URL参数访问其他用户的账户信息，或将其权限从普通用户提升为管理员。该项现已包含服务器端请求伪造，2021年时该项是独立的列表项。

No.2 安全配置错误

安全设置未被正确定义、实施或维护，导致系统暴露于攻击之下。

常见的例子包括：从未更改的默认凭证、未启用的不必要功能、暴露敏感信息的冗长错误信息，或公开访问的云存储桶。这种脆弱点从2021年的第五跃升至2025年的第二名。

No.3 软件供应链故障

攻击者会在构建、分发或更新过程中攻破软件，注入恶意代码，并分发给多个组织。

例如，攻击者可能会攻破一个流行的开源库，注入恶意代码，这些代码被集成到成千上万依赖它的应用中，或者入侵厂商系统，在合法软件更新中插入后门。

这是一个新的清单项目，尽管2021年还有一个更狭窄的相关项目——脆弱和过时的组件。

“开发者现在已成为许多网络攻击的主要目标。”“现在的问题不再是包含一个依赖性可疑的图书馆。”

现在针对IDE、CI/CD流水线、插件和仓库、开发工作站等都存在主动攻击，整个软件供应链目前都是攻击者的重点。

No.3 密码学故障

应用程序未能通过加密有效保护敏感数据，或使用薄弱或破损的密码算法。

如，明文传输敏感数据、使用弱加密算法、未正确验证SSL/TLS证书，或存储密码时未进行正确哈希验证。

这些故障常常导致敏感数据暴露或系统泄露。

No.5 注射或者注入漏洞

不可信的数据作为命令或查询的一部分提交，欺骗应用程序执行非预期命令或访问未经授权的数据。

例子包括跨站脚本，即攻击者将恶意脚本注入其他用户浏览的网页，到SQL注入，利用数据库查询访问或修改敏感数据。今年的这份作品排名也下降了几个。

No.6 不安全设计

在应用设计阶段，安全性未被妥善考虑，导致控制措施缺失或无效。

例如，未能实施适当的威胁建模、未在开发开始前建立安全要求，或设计缺乏纵深防御的系统。

该类别于2021年推出，旨在关注设计和架构缺陷，而非实现缺陷，但由于行业在威胁建模方面取得了显著进步，排名下降了几位。

No.7 认证失败

应用程序未能正确验证用户身份，或未能保护认证凭证和会话令牌。

例如允许暴力破解攻击、允许弱密码、暴露 URL 中的会话 ID、登出后未正确使会话失效，或未能为敏感功能实现多因素认证。

No.8 软件或数据完整性故障

应用程序未能维护信任边界，也无法验证软件、代码和数据产物的完整性。

例如，依赖来自不受信任来源的插件、库或模块且未进行完整性检查的应用，允许代码在部署前修改的不安全CI/CD流水线，或在未验证数字签名的情况下自动更新的应用。

No.9 安全日志和警报失败

应用程序未能记录与安全相关的事件，或在发生可疑活动时未能及时通知安全团队。

例如不记录登录失败尝试、本地存储日志且不备份、记录细节不足以重建攻击，或生成不与安全信息与事件管理（SIEM）系统集成的日志。

没有警报的良好日志在识别安全事件方面价值有限。

No.10 特殊条件处理不当

应用程序未能妥善处理错误、边缘情况和异常状况，导致安全漏洞。

例如显示详细错误信息以揭示系统架构敏感信息、安全检查失败导致错误发生时允许未经授权访问，或应用程序崩溃并暴露敏感数据于内存转储中。

全文完，喜欢请三连，这对我很重要！

-End-

免责声明：本文相关素材均来自互联网，仅为传递信息之用。****

如有侵权，请联系作者删除。

★点赞，转发，设为星标★

与你一起分享网络安全职场故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：君说安全 《行业资讯：软件供应链风险进入OWASP十大风险榜单》