Tổ chức Open Web Application Security Project (OWASP) đã chính thức công bố ấn bản thứ tám của danh sách OWASP Top 10 2025, tài liệu ảnh hưởng lớn đến an ninh ứng dụng. Phiên bản này mang đến những thay đổi đáng kể, phản ánh sự phát triển liên tục của các mối đe dọa mạng trong lĩnh vực bảo mật ứng dụng.

Bản cập nhật 2025 giới thiệu hai hạng mục bảo mật mới và những dịch chuyển đáng kể trong xếp hạng rủi ro, dựa trên dữ liệu đóng góp và phản hồi từ cộng đồng. Đây là một tài liệu quan trọng để các nhà phát triển, đội ngũ bảo mật và tổ chức trên toàn cầu nâng cao nhận thức về các nguy cơ tiềm ẩn.

Giới thiệu các hạng mục mới trong OWASP Top 10 2025

Ấn bản OWASP Top 10 2025 nổi bật với sự xuất hiện của hai hạng mục hoàn toàn mới, phản ánh những xu hướng tấn công và điểm yếu bảo mật mới nổi trong hệ sinh thái phần mềm hiện đại.

A03: Software Supply Chain Failures (Lỗi Chuỗi Cung Ứng Phần Mềm)

Software Supply Chain Failures được giới thiệu là một hạng mục mới quan trọng ở vị trí A03. Hạng mục này đại diện cho một trọng tâm mở rộng từ hạng mục cũ “Vulnerable and Outdated Components” (Các Thành Phần Dễ Bị Tổn Thương và Lỗi Thời). Thay vì chỉ tập trung vào các thành phần, hạng mục mới bao gồm các lỗ hổng và sự xâm phạm rộng hơn xảy ra trên toàn bộ hệ sinh thái phụ thuộc phần mềm, hệ thống xây dựng (build systems), và cơ sở hạ tầng phân phối.

Việc bổ sung hạng mục này phản ánh những lo ngại ngày càng tăng về các cuộc tấn công chuỗi cung ứng đã thống trị các tiêu đề bảo mật trong những năm gần đây. Ví dụ điển hình bao gồm các cuộc tấn công nhắm vào các thư viện mã nguồn mở, công cụ phát triển hoặc quy trình CI/CD. Một sự cố trong chuỗi cung ứng có thể dẫn đến việc phát tán mã độc hoặc lỗ hổng tới hàng ngàn ứng dụng và tổ chức sử dụng.

A10: Mishandling of Exceptional Conditions (Xử lý Điều kiện Ngoại lệ Sai Cách)

Mishandling of Exceptional Conditions là hạng mục hoàn toàn mới ở vị trí A10. Hạng mục này tập trung vào 24 Common Weakness Enumerations (CWEs), đặc biệt chú trọng vào việc xử lý lỗi không đúng cách, các lỗi logic, và các kịch bản “failing open” mà hệ thống gặp phải trong điều kiện bất thường. “Failing open” là tình trạng khi một hệ thống thất bại trong việc xử lý một điều kiện lỗi và thay vì chuyển sang trạng thái an toàn, nó lại mở ra các truy cập hoặc thông tin nhạy cảm.

Việc xử lý lỗi không đúng cách có thể dẫn đến rò rỉ thông tin nhạy cảm (như stack traces, thông báo lỗi chi tiết), bỏ qua kiểm soát truy cập, hoặc tạo ra các điểm yếu khác có thể bị khai thác bởi kẻ tấn công. Ví dụ, một lỗi trong logic xác thực có thể cho phép kẻ tấn công truy cập vào tài nguyên mà không cần xác thực hợp lệ nếu điều kiện ngoại lệ không được xử lý chính xác.

Sự Dịch chuyển trong Xếp hạng các mối đe dọa hiện có

Bên cạnh các hạng mục mới, OWASP Top 10 2025 cũng chứng kiến sự thay đổi đáng kể về vị trí của các mối đe dọa đã có, phản ánh mức độ phổ biến và tác động của chúng trong môi trường hiện tại.

A01: Broken Access Control (Kiểm Soát Truy Cập Bị Hỏng)

Broken Access Control vẫn duy trì vị trí thống trị ở hạng mục số một. Dữ liệu chỉ ra rằng 3.73% các ứng dụng được kiểm thử chứa ít nhất một trong 40 CWEs thuộc hạng mục này. Điều này nhấn mạnh rằng các lỗi trong việc thực thi kiểm soát truy cập vẫn là vấn đề phổ biến và nghiêm trọng nhất đối với an ninh ứng dụng, cho phép người dùng thực hiện các hành động vượt quá quyền hạn của họ.

A02: Security Misconfiguration (Cấu Hình Bảo Mật Sai Cách)

Sự thay đổi đáng chú ý nhất là Security Misconfiguration, đã tăng mạnh từ vị trí thứ năm vào năm 2021 lên vị trí thứ hai vào năm 2025. Hạng mục này ảnh hưởng đến 3.00% các ứng dụng được kiểm thử trên 16 CWEs. Các cấu hình sai này có thể bao gồm cài đặt mặc định không an toàn, bật các tính năng không cần thiết, lỗi trong cấu hình quyền hạn hoặc bỏ qua các bản vá bảo mật, tạo ra rủi ro bảo mật đáng kể.

Để giảm thiểu rủi ro này, việc áp dụng các quy trình cấu hình an toàn, kiểm tra cấu hình định kỳ và sử dụng các công cụ tự động hóa là vô cùng quan trọng. Các nhà phát triển cần ưu tiên việc đảm bảo rằng các môi trường sản xuất không chứa các thiết lập mặc định hoặc các dịch vụ không cần thiết.

Các mối đe dọa khác có sự thay đổi

• A04: Cryptographic Failures (Lỗi Mã Hóa): Giảm từ vị trí thứ hai xuống thứ tư. Mặc dù giảm hạng, đây vẫn là một mối quan tâm bảo mật quan trọng, đặc biệt khi liên quan đến việc bảo vệ dữ liệu nhạy cảm.
• A05: Injection (Tiêm Mã): Trượt từ vị trí thứ ba xuống thứ năm. Các lỗ hổng tiêm mã như SQL Injection vẫn tiềm ẩn nguy cơ cao nếu không được kiểm soát đúng mức.
• A06: Insecure Design (Thiết Kế Không An Toàn): Di chuyển từ vị trí thứ tư xuống thứ sáu. Các vấn đề liên quan đến thiết kế bảo mật từ giai đoạn đầu vẫn là nền tảng cho nhiều lỗ hổng khác.

Mặc dù các hạng mục này có sự sụt giảm về thứ hạng, chúng vẫn là những mối đe dọa bảo mật nghiêm trọng và cần được quan tâm đúng mức trong quá trình phát triển và kiểm thử ứng dụng. Việc nắm vững các khái niệm cơ bản về bảo mật vẫn luôn cần thiết.

Phương pháp luận và Phân tích dữ liệu đằng sau OWASP Top 10 2025

Danh sách OWASP Top 10 2025 đã phân tích 589 CWEs trên 248 hạng mục, một sự gia tăng đáng kể so với khoảng 400 CWEs được phân tích vào năm 2021. Sự mở rộng này cho thấy một cái nhìn toàn diện hơn về các điểm yếu phần mềm.

OWASP đã kết hợp phân tích dựa trên dữ liệu với ý kiến đóng góp từ cộng đồng, sử dụng tám hạng mục dựa trên dữ liệu và hai hạng mục do cộng đồng bình chọn để giải quyết các mối đe dọa mới nổi mà việc kiểm thử có thể chưa phát hiện được một cách đáng tin cậy. Cách tiếp cận này giúp bao quát cả các mối đe dọa đã được thiết lập rõ ràng trong dữ liệu kiểm thử và các rủi ro mới nổi được xác định bởi các chuyên gia bảo mật.

Dự án đã phân tích khoảng 175.000 bản ghi CVE được ánh xạ tới CWEs từ Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD – National Vulnerability Database), kết hợp điểm khai thác (exploit) và tác động (impact) của CVSS để đánh giá mức độ nghiêm trọng của rủi ro. Việc tích hợp dữ liệu từ NVD và CVSS cung cấp một cái nhìn khách quan về tác động thực tế của các lỗ hổng CVE.

Ý nghĩa đối với An ninh Mạng và Phát triển Phần mềm

Bản cập nhật OWASP Top 10 2025 là một tài liệu nhận thức quan trọng cho các nhà phát triển, đội ngũ bảo mật và các tổ chức trên toàn thế giới. Với sự nhấn mạnh ngày càng tăng vào an ninh chuỗi cung ứng và xử lý lỗi đúng cách, danh sách này giải quyết các vectơ tấn công hiện đại trong khi vẫn duy trì trọng tâm vào các mối đe dọa dai dẳng như lỗi kiểm soát truy cập và cấu hình sai tiếp tục gây ảnh hưởng đến các ứng dụng.

Việc các tổ chức thường xuyên kiểm tra và triển khai bản vá bảo mật cho các thành phần phần mềm là cực kỳ cần thiết để giảm thiểu rủi ro từ các lỗ hổng. Việc tuân thủ hướng dẫn từ OWASP Top 10 2025 giúp định hình chiến lược an ninh mạng hiệu quả, đảm bảo an toàn thông tin cho các ứng dụng và hệ thống.