OWASP Top 10 là danh sách 10 rủi ro bảo mật nghiêm trọng nhất trong phát triển web do OWASP (Open Web Application Security Project) thống kê dựa trên dữ liệu toàn cầu.
Nó giống như “bảng xếp hạng những lỗ hổng nguy hiểm nhất”, được cập nhật mỗi ~3–4 năm.
Phiên bản gần nhất trước đó là 2021. Bước sang 2025, các xu hướng tấn công mới (API, cloud, supply chain) khiến OWASP phải cập nhật lại bảng xếp hạng.
Dù OWASP 2025 chưa chính thức công bố (dự kiến cuối 2025), nhưng dựa trên xu hướng tấn công của 2024–2025, bản 2025 được dự đoán có:
Tấn công API bùng nổ → Access Control, Authentication cực kỳ quan trọng
Supply-chain attacks tăng mạnh → Integrity Failures giữ vị trí cao
Tấn công cloud–native (SSRF, misconfiguration) diễn ra thường xuyên
AI code generation → Gia tăng nguy cơ “Insecure Design” và “Injection”
Vì vậy bài viết này tổng hợp theo dự đoán từ cộng đồng OWASP + thống kê tấn công thực tế 2023–2024.
90% API bị tấn công trong 2024 liên quan đến truy cập sai quyền, ví dụ:
User thường đọc được dữ liệu của user khác
API thiếu kiểm tra owner
IDOR (Insecure Direct Object Reference)
Server trả về thông tin user 12345 mà không kiểm tra ai đang gọi → IDOR.
Luôn kiểm tra quyền server-side, không phụ thuộc vào frontend
Dùng RBAC/ABAC
Không dùng ID dễ đoán (incremental ID)
Gửi password bằng HTTP
Lưu mật khẩu bằng MD5/SHA1
Không mã hóa dữ liệu nhạy cảm (PII)
Dùng HTTPS 100%
Hash mật khẩu bằng bcrypt/argon2
Encrypt dữ liệu nhạy cảm bằng AES-256
Giờ đây không chỉ là SQL Injection.
Các dạng phổ biến 2025:
SQLi
NoSQL Injection
Command Injection
Template Injection
Prompt Injection (liên quan AI)
→ Dùng prepared statements
→ Không bao giờ trust input từ client
Nhiều hệ thống cloud-native + microservices bị lỗi từ khâu thiết kế thay vì code.
Không có rate limit → DDoS/API abuse
Không có flow xác thực rõ ràng
Thiết kế business logic thiếu validation
Threat Modeling (STRIDE)
Security-by-design ngay từ giai đoạn kiến trúc
Cloud và container khiến lỗi dạng này tăng cao.
S3 bucket để public
CORS cấu hình *
Docker container chạy quyền root
Harden server/container
IaC (Terraform) để tránh config thủ công
Scan config định kỳ
2024–2025 chứng kiến nhiều CVE nghiêm trọng từ:
Log4j (vẫn còn hệ thống chưa vá!)
NPM supply chain
Thư viện AI/ML
Sử dụng Dependabot / Renovate
Không dùng thư viện không rõ nguồn gốc
Môi trường CI scan dependency tự động
Lỗi liên quan đến:
JWT hết hạn nhưng không kiểm tra
OTP reuse
Session fixation
API không kiểm tra authentication → dẫn đến takeover tài khoản
Một trong những rủi ro tăng mạnh nhất vì supply-chain attack.
Hacker chèn mã độc vào CI/CD pipeline
Dùng NPM package bị chiếm quyền publish
Deserialization không an toàn
Ký code (code signing)
Xác thực checksum
Zero-trust CI/CD pipeline
Không có log = không biết hệ thống bị tấn công.
Đăng nhập nhiều lần sai mà không log
Log thiếu IP, thiếu user-agent
Không có alert khi có truy cập bất thường
Chuẩn hóa log theo JSON
Có dashboard alert (CloudWatch, Datadog)
Lưu log tối thiểu 1–2 năm
SSRF cực kỳ nguy hiểm với cloud service.
Hacker gọi:
→ Lấy được IAM credentials!
Chặn truy cập đến internal IP
Validate whitelist URL
Không sử dụng GET proxy tùy ý
| Hạng mục | Đã có? |
|---|---|
| RBAC/ABAC cho API | ☐ |
| HTTPS full-chain | ☐ |
| Rate limit + throttle | ☐ |
| Scan dependency tự động | ☐ |
| Review kiến trúc (Threat Modeling) | ☐ |
| Logging chuẩn hóa | ☐ |
| IaC cho cloud configuration | ☐ |
| Kiểm tra bảo mật CI/CD | ☐ |
| Kiểm thử penetration test định kỳ | ☐ |
OWASP Top 10 2025 cho thấy:
bảo mật không còn chỉ là coding, mà là tổng thể từ thiết kế – vận hành – triển khai – giám sát.
Càng nhiều ứng dụng chạy trên cloud, càng phải chú trọng đến bảo mật toàn vòng đời phát triển.
You need to login in order to like this post: click here
YOU MIGHT ALSO LIKE
SUBSCRIBE TO OUR NEWSLETTER
