開放式 Web 應用程式安全專案 (OWASP) 發布了其 Web 應用程式十大關鍵風險清單的修訂版，新增了兩個類別，並重新調整了整體清單順序。這份 2025 年 OWASP Top 10 清單，不僅反映了自 2021 年以來 Web 應用程式安全生態的演變，更明確指出了當前企業面臨的最高風險與應對方向。
在 2021 年攀升至榜首之後， 2025 年 OWASP Top 10 榜單中，存取控制漏洞依然保持領先地位。這持續位居首位的風險，強烈突顯了授權機制（Authorization）的複雜性與設計缺陷在實務中仍是應用程式最普遍且最危險的弱點。存取控制漏洞類別現在包含了伺服器端請求偽造 (SSRF)，該漏洞先前是單獨的，在榜單中排名第十。這項合併不僅簡化了分類，更強調了SSRF本質上是對伺服器資源的未經授權存取，將其納入存取控制範疇是合理的歸類修正。

安全配置錯誤現在排名第二，比 2021 年 OWASP Top 10 榜單上的第五名上升了一位，顯示出應用程式與雲端環境配置複雜度的增加，使得預設密碼、未修補的漏洞、不當的權限設置等錯誤，成為駭客利用的便捷途徑。

緊隨其後的是軟體供應鏈故障，這是漏洞和過時組件的擴展，此前排名第六。此項風險的大幅提升，反映了全球對軟體建構過程中引入的第三方、開源組件及相關管道的擔憂加劇。從SolarWinds事件到Log4Shell漏洞，供應鏈安全已從單純的庫更新問題，升級為系統性的信任與驗證挑戰，對應用程式整體的安全性造成深遠影響。

**新增的「異常情況處理不當」類別排名第十。**此類別包括開啟失敗、錯誤處理不當、邏輯錯誤以及系統可能遇到的其他異常情況。這一新類別的引入，代表著安全專家開始更關注應用程式在非正常路徑下的行為。開發者若未能妥善處理異常狀況，可能導致機敏資訊暴露在錯誤訊息中、系統狀態不一致，甚至繞過核心邏輯控制，開啟新的攻擊介面。

根據 OWASP 的說法，與 2021 年相比，本期清單中的一些類別發生了變化，主要是由於採用了略有不同的方法。OWASP解釋說：「在本次迭代中，我們不再像2021年那樣限制CWE的數量，而是要求提供特定年份（從2021年開始）測試的應用程式數量，以及在測試中發現至少一個CWE實例的應用程式數量。這種格式使我們能夠追蹤每個CWE在所有應用程式中的普遍程度。」

這種統計方法的調整，使新榜單更能反映出實際應用程式中弱點的「普遍性」（Prevalence），而非單純的技術嚴重性。這強化了 OWASP Top 10 作為開發者優先處理風險清單的指導作用。

總體而言，2025 年 OWASP Top 10 清單不僅是對傳統注入攻擊等風險的持續警示，更將安全焦點轉向了更深層的架構性缺陷，包括授權邏輯、供應鏈信任和非功能性需求（如異常處理）。對於開發者和企業而言，應將資源優先投入到存取控制的嚴格驗證、供應鏈組件的全面清單與管理，以及編碼過程中對各種異常情境的邏輯嚴謹性測試，才能有效提升Web應用程式的整體安全水位。

註：
MITRE於2025年10月28日(週二)宣布，其 ATT&CK 框架已更新至 18 版，多個部分進行了重大更改，與ATT&CK v17相比，最大的修改與 ATT&CK 的防禦內容有關。具體來說，檢測中新增了兩個物件：偵測策略，它定義了偵測特定攻擊者技術的高級方法；以及分析，它提供了特定於平台的威脅偵測邏輯。

在 ATT&CK v18 的網路威脅情報 (CTI) 部分，MITRE 增加了新的組織和活動，以及與供應鏈攻擊、雲端身分利用和針對虛擬化和邊緣系統的攻擊相關的軟體。在行動裝置部分，新增了針對攻擊者濫用 Signal 和 WhatsApp 中「關聯裝置」功能的防護內容。此外，該部分還重新引入了「濫用輔助功能」技術，該技術先前在 ATT&CK 第 7 版中已被棄用。

工業控制系統 (ICS) 部分最顯著的變化與新增資產和現有資產描述的更新有關，新增資產包括分散式控制系統控制器、防火牆和交換器。