OWASP Top 10
OWASP Top 10 je autoritatívny zoznam desiatich najrozšírenejších a najkritickejších bezpečnostných zraniteľností webových aplikácií, ktorý vydáva Open Worldwide Application Security Project — slúži ako základ pre bezpečnostné audity aj vývojové štandardy.
Ako to funguje
OWASP (Open Worldwide Application Security Project) je nezisková organizácia, ktorá dlhodobo mapuje reálne bezpečnostné hrozby pre webové aplikácie. Ich Top 10 zoznam vychádza z analýzy stoviek tisíc skutočných zraniteľností a aktualizuje sa každé štyri roky. Nie je to akademická klasifikácia — je to praktický prehľad toho, čo útočníci skutočne využívajú.
Zoznam v edícii 2021 zahŕňa: A01 Broken Access Control (nesprávne nastavené oprávnenia), A02 Cryptographic Failures (slabé šifrovanie, odhalené citlivé dáta), A03 Injection (SQL injection, command injection), A04 Insecure Design (zlý návrh bezpečnosti), A05 Security Misconfiguration (chybná konfigurácia serverov), A06 Vulnerable Components (zastaralé knižnice), A07 Authentication Failures (slabá autentifikácia), A08 Software Integrity Failures (nedôveryhodné aktualizácie), A09 Logging Failures (chýbajúce logy) a A10 Server-Side Request Forgery.
Najzávažnejšia kategória — Broken Access Control — je zároveň najčastejšia. Príklady zo skutočnosti: používateľ zmení ID v URL a vidí cudzie dáta, admin endpoint nie je chránený, API vracia viac dát ako treba (over-fetching). Tieto chyby nevyžadujú sofistikovaný útok — stačí zvedavosť a trochu znalostí z vývojárskych nástrojov prehliadača.
OWASP Top 10 sa stal štandardom pre bezpečnostné audity — penetračné testery ho systematicky prechádzajú, compliance frameworky (PCI DSS, ISO 27001) naň odkazujú. Pre vývojový tím je to checklist minimálnej bezpečnosti: ak vaša aplikácia pokrýva všetky tieto kategórie, eliminujete väčšinu bežných hrozieb. Nenahradí komplexný pentest, ale je nevyhnutný základ.
Z našej praxe
V Strange Loops prechádzame OWASP Top 10 štandardne pri code review každého projektu s citlivými dátami. Pri SylvoRehab (zdravotné záznamy pacientov) a Ovulogy (zdravotné dáta žien) je to povinná súčasť odovzdania — Broken Access Control, Cryptographic Failures a Authentication Failures sú kontrolné body, ktoré prechádzame explicitne. Používame Better Auth pre autentifikáciu, Drizzle ORM eliminuje riziko SQL injection cez parameterizované dotazy, a všetky API majú rate limiting cez Fastify pluginy.
Kedy to potrebujete
- Pred spustením aplikácie, ktorá spracúva osobné alebo zdravotné dáta, chcete vedieť, že ste neprehli základné bezpečnostné riziká.
- Zákazník alebo audítor požaduje bezpečnostný report — OWASP Top 10 je štandardný rámec, na ktorý sa odvolávajú.
- Váš vývojový tím onboarduje nového člena — OWASP Top 10 je najefektívnejší spôsob, ako ho uviesť do praktickej aplikačnej bezpečnosti.
- Riešite penetračný test alebo bug bounty program a chcete vedieť, kde testeri začnú hľadať — začnú práve tu.
Najčastejšie otázky
Ako často sa OWASP Top 10 aktualizuje?
OWASP Top 10 vychádza približne každé štyri roky — posledná verzia je z roku 2021. Medzi vydaniami OWASP publikuje doplňujúce zoznamy pre špecifické oblasti (API Security Top 10, Mobile Top 10, LLM Top 10). Aktuálna verzia zostáva relevantná, pretože základné kategórie sa nemenia dramaticky.
Je OWASP Top 10 povinné dodržiavať zo zákona?
Priamo zo zákona nie, ale nepriamo áno. PCI DSS (platobné karty), HIPAA (zdravotné dáta v USA) a ISO 27001 naň explicitne odkazujú alebo vyžadujú ekvivalentné opatrenia. V EÚ GDPR vyžaduje 'primerané technické opatrenia' — neošetrené OWASP riziká by boli ťažko obhájiteľné pri bezpečnostnom incidente.
Stačí OWASP Top 10 ako bezpečnostný audit?
Nie — OWASP Top 10 je minimálny základ, nie komplexný audit. Pokrýva najčastejšie hrozby, ale existujú ďalšie kategórie rizík špecifické pre vaše prostredie. Produkčné aplikácie s citlivými dátami by mali absolvovať aj penetračný test od externého bezpečnostného špecialistu.
Potrebujete s tým pomôcť?
Ak riešite niečo z toho, čo tu opisujeme, ozvite sa. Povieme vám, či a ako vieme pomôcť.