रिसर्च 24 फरवरी, 2025 25 मिनट पठन

OWASP Top 10 2025: वेब एप्लिकेशन सुरक्षा जोखिमों के लिए पूर्ण गाइड

OWASP Top 10 वेब एप्लिकेशन सुरक्षा जोखिमों के लिए सबसे व्यापक रूप से मान्यता प्राप्त मानक है। चाहे आप डेवलपर हों, सुरक्षा इंजीनियर हों, या व्यावसायिक नेता — यह गाइड वास्तविक दुनिया के उदाहरणों, डिटेक्शन तकनीकों और रेमेडिएशन रणनीतियों के साथ हर श्रेणी की व्याख्या करती है।

ℹ️ OWASP Top 10 क्या है?

एक समय-समय पर अपडेट होने वाला जागरूकता दस्तावेज़ जो वेब एप्लिकेशन के लिए सबसे महत्वपूर्ण सुरक्षा जोखिमों को रैंक करता है। सैकड़ों संगठनों, सामुदायिक सर्वेक्षणों और वास्तविक विश्व ब्रीच डेटा से डेटा विश्लेषण के आधार पर। PCI DSS, DORA, NIS2, और कई उद्योग मानकों द्वारा संदर्भित।


A01 ब्रोकन एक्सेस कंट्रोल

#1 सबसे आम वल्नरेबिलिटी — परीक्षित एप्लिकेशन के 94% में पाई गई।

⚠️ वास्तविक दुनिया के उदाहरण

  • IDOR: /api/users/123/profile को /api/users/124/profile में बदलना
  • विशेषाधिकार वृद्धि: नियमित उपयोगकर्ता /admin/dashboard तक पहुंच रहा है
  • फ़ंक्शन-स्तरीय एक्सेस कंट्रोल गायब: API प्रमाणीकरण की जांच करता है लेकिन प्राधिकरण की नहीं
  • CORS मिसकॉन्फ़िगरेशन: दुर्भावनापूर्ण साइटों को प्रमाणित अनुरोध करने की अनुमति देना

✅ रेमेडिएशन

  • सर्वर-साइड पर एक्सेस कंट्रोल लागू करें — कभी क्लाइंट-साइड पर भरोसा न करें
  • डिफ़ॉल्ट रूप से अस्वीकार करें — स्पष्ट अनुदान की आवश्यकता है
  • उचित RBAC या ABAC लागू करें
  • एक्सेस कंट्रोल विफलताओं पर लॉग और अलर्ट करें
  • API एक्सेस को रेट-लिमिट करें

A02 क्रिप्टोग्राफ़िक विफलताएं

पहले "संवेदनशील डेटा एक्सपोज़र" — मूल कारण पर ध्यान केंद्रित करने के लिए नाम बदला गया।

⚠️ सामान्य गलतियाँ

  • लॉगिन पेज सादे HTTP पर क्रेडेंशियल ट्रांसमिट कर रहे हैं
  • TLS 1.0/1.1 या कमज़ोर साइफर सुइट्स का समर्थन करना
  • bcrypt/Argon2 के बजाय MD5 या SHA-1 के साथ संग्रहीत पासवर्ड
  • स्रोत कोड में हार्डकोडेड एन्क्रिप्शन कुंजियाँ
  • एन्क्रिप्शन के बिना डेटाबेस बैकअप

✅ रेमेडिएशन

HSTS के साथ हर जगह HTTPS लागू करें। AES-256, bcrypt/Argon2, SHA-256+ का उपयोग करें। कभी भी सीक्रेट हार्डकोड न करें — Vault या AWS Secrets Manager का उपयोग करें। आराम से डेटा एन्क्रिप्ट करें। TLS 1.0/1.1 को अक्षम करें।

A03 इंजेक्शन

क्लासिक वेब वल्नरेबिलिटी — दो दशकों के बाद भी शीर्ष 3 में।

इंजेक्शन के प्रकार

  • SQL इंजेक्शन: ' OR 1=1 -- और बहुत अधिक परिष्कृत हमले
  • NoSQL इंजेक्शन: MongoDB/CouchDB का JSON मैनिपुलेशन
  • कमांड इंजेक्शन: एप्लिकेशन इनपुट के माध्यम से OS कमांड
  • XSS: JavaScript इंजेक्ट करना — रिफ्लेक्टेड, स्टोर्ड, DOM-आधारित
  • टेम्प्लेट इंजेक्शन (SSTI): सर्वर-साइड टेम्प्लेट इंजन में कोड
  • हेडर इंजेक्शन: HTTP हेडर में हेरफेर

✅ रोकथाम

सभी DB इंटरैक्शन के लिए पैरामीटराइज़्ड क्वेरीज़। allowlists के साथ इनपुट वेलिडेशन। संदर्भ के लिए आउटपुट एन्कोडिंग। Content Security Policy हेडर। कम से कम विशेषाधिकार DB खाते। ORMs का लगातार उपयोग करें।

A04 असुरक्षित डिज़ाइन

नई श्रेणी — डिज़ाइन-स्तरीय खामियां, कार्यान्वयन बग नहीं।

⚠️ उदाहरण

  • पासवर्ड रीसेट फ्लो असीमित प्रयासों की अनुमति देता है (कोई रेट लिमिटिंग नहीं)
  • व्यावसायिक नियमों का क्लाइंट-साइड प्रवर्तन (JS में मूल्य सत्यापन)
  • सिंगल API कुंजी सभी संसाधनों के लिए पढ़ने और लिखने दोनों की पहुंच प्रदान करती है

फिक्स: डिज़ाइन फेज में थ्रेट मॉडलिंग (STRIDE, PASTA) को एकीकृत करें। सुरक्षित डिज़ाइन पैटर्न का उपयोग करें। उपयोग के मामलों के साथ दुरुपयोग के मामले लिखें।

A05 सुरक्षा मिसकॉन्फ़िगरेशन

परीक्षित एप्लिकेशन के 90% में पाया गया।

⚠️ सामान्य मिसकॉन्फ़िगरेशन

  • डेटाबेस और एडमिन पैनल पर डिफ़ॉल्ट एडमिन पासवर्ड
  • डायरेक्टरी लिस्टिंग, डीबग एंडपॉइंट, वर्बोज़ एरर मैसेज सक्षम
  • सुरक्षा हेडर गायब (CSP, X-Frame-Options, X-Content-Type-Options)
  • सार्वजनिक रूप से पहुंच योग्य S3 बकेट या Azure blobs
  • अनावश्यक HTTP विधियाँ (PUT, DELETE, TRACE) सक्षम

✅ रोकथाम

पुनरावृत्त हार्डनिंग प्रक्रिया। सभी अनावश्यक फीचर्स हटाएं। सभी सुरक्षा हेडर लागू करें। IaC के साथ कॉन्फ़िग प्रबंधन को स्वचालित करें। नियमित कॉन्फ़िग ऑडिट। क्लाउड के लिए CSPM का उपयोग करें।

A06 वल्नरेबल और पुराने कंपोनेंट्स

528
औसत कंपोनेंट्स/ऐप
84%
ज्ञात Vulns के साथ कोडबेस
48%
उच्च-जोखिम Vulnerabilities
252d
औसत फिक्स समय

⚠️ उल्लेखनीय उदाहरण

  • Log4Shell (CVE-2021-44228): लाखों Java ऐप्स को प्रभावित करने वाली क्रिटिकल RCE
  • Spring4Shell (CVE-2022-22965): Spring Framework में RCE
  • jQuery XSS: कई ऐप्स अभी भी वल्नरेबल jQuery वर्ज़न का उपयोग करते हैं

फिक्स: कंपोनेंट इन्वेंटरी (SBOM) बनाए रखें। CVE डेटाबेस की लगातार निगरानी करें। अप्रयुक्त निर्भरताओं को हटाएं। Dependabot/Renovate के साथ अपडेट स्वचालित करें।

A07 पहचान और प्रमाणीकरण विफलताएं

⚠️ सामान्य विफलताएं

  • क्रेडेंशियल स्टफिंग: चोरी किए गए पासवर्ड का उपयोग करते हुए स्वचालित हमले
  • कमज़ोर पासवर्ड नीतियां ("password123" की अनुमति देना)
  • सेशन फिक्सेशन और गायब सेशन अमान्यीकरण
  • URL में सेशन टोकन एक्सपोज़
  • महत्वपूर्ण कार्यों के लिए MFA गायब

✅ रोकथाम

MFA लागू करें। ब्रीच डेटाबेस चेकिंग के साथ मज़बूत पासवर्ड लागू करें। auth एंडपॉइंट पर रेट लिमिटिंग। सुरक्षित सेशन प्रबंधन (रैंडम IDs, HTTPOnly/Secure फ्लैग)। लॉगआउट/पासवर्ड परिवर्तन पर सेशन को अमान्य करें।

A08 सॉफ़्टवेयर और डेटा अखंडता विफलताएं

⚠️ वास्तविक दुनिया के हमले

  • SolarWinds (2020): वैध सॉफ़्टवेयर अपडेट में दुर्भावनापूर्ण कोड — 18,000 orgs प्रभावित
  • असुरक्षित deserialization: अविश्वसनीय डेटा के माध्यम से मनमाना कोड निष्पादन
  • CI/CD पाइपलाइन समझौता: Codecov, ua-parser-js घटनाएं
  • SRI गायब: अखंडता हैश के बिना CDN से JS लोड करना

फिक्स: सभी सॉफ़्टवेयर/डेटा पर डिजिटल हस्ताक्षर। बाहरी संसाधनों के लिए Subresource Integrity (SRI)। एक्सेस कंट्रोल और साइनिंग के साथ सुरक्षित CI/CD। असुरक्षित deserialization से बचें — JSON का उपयोग करें।

A09 सुरक्षा लॉगिंग और मॉनिटरिंग विफलताएं

ℹ️ अंधेपन की लागत

ब्रीच की पहचान करने में औसत समय: 204 दिन (IBM 2024)। पर्याप्त लॉगिंग के बिना, हमलावर दृढ़ता स्थापित कर सकते हैं, डेटा निकाल सकते हैं, और अपने पैर की उंगलियों का विस्तार कर सकते हैं — सभी अलार्म ट्रिगर किए बिना।

फिक्स: सभी auth events, एक्सेस कंट्रोल विफलताओं, और इनपुट वेलिडेशन विफलताओं को लॉग करें। संदर्भ शामिल करें (टाइमस्टैम्प, उपयोगकर्ता, IP, कार्रवाई)। लॉग को tamper-resistant SIEM में केंद्रीकृत करें। स्वचालित अलर्टिंग लागू करें। नियमित रूप से डिटेक्शन क्षमताओं का परीक्षण करें।

A10 सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF)

नई श्रेणी — क्लाउड-नेटिव आर्किटेक्चर में बढ़ते प्रचलन के कारण जोड़ी गई।

⚠️ SSRF खतरनाक क्यों है

  • Capital One ब्रीच (2019): SSRF → AWS metadata → 100M+ ग्राहक रिकॉर्ड एक्सपोज़
  • क्लाउड मेटाडेटा चोरी: IAM क्रेडेंशियल के लिए http://169.254.169.254/ तक पहुंचना
  • आंतरिक सेवा पहुंच: फ़ायरवॉल के पीछे APIs, डेटाबेस, एडमिन पैनल तक पहुंचना

✅ रोकथाम

सर्वर-साइड पर सभी उपयोगकर्ता-आपूर्ति URLs को वेलिडेट करें। अनुमत डोमेन के लिए allowlists का उपयोग करें। निजी IP रेंज को ब्लॉक करें (10.x, 172.16.x, 169.254.x, 127.x)। अनावश्यक URL स्कीम को अक्षम करें (file://, gopher://)। AWS पर IMDSv2 का उपयोग करें। URL-फ़ेचिंग सेवाओं को सेगमेंट करें।


KENSAI कैसे OWASP Top 10 के लिए स्कैन करता है

OWASP श्रेणीKENSAI कवरेज
A01 ब्रोकन एक्सेस कंट्रोलIDOR परीक्षण, प्राधिकरण बाईपास, CORS जांच
A02 क्रिप्टोग्राफ़िक विफलताएंTLS विश्लेषण, हेडर जांच, एन्क्रिप्शन सत्यापन
A03 इंजेक्शनSQL, XSS, कमांड इंजेक्शन, SSTI, हेडर इंजेक्शन
A04 असुरक्षित डिज़ाइनरेट लिमिटिंग, अनुमानित संसाधन, लॉजिक परीक्षण
A05 सुरक्षा मिसकॉन्फ़िगरेशनहेडर, डिफ़ॉल्ट, सूचना प्रकटीकरण, HTTP विधियाँ
A06 वल्नरेबल कंपोनेंट्सप्रौद्योगिकी फ़िंगरप्रिंटिंग, 332K+ CVE डेटाबेस
A07 प्रमाणीकरण विफलताएंडिफ़ॉल्ट क्रेडेंशियल, सेशन परीक्षण, कुकी विश्लेषण
A08 अखंडता विफलताएंSRI जांच, deserialization परीक्षण
A09 लॉगिंग विफलताएंसुरक्षा हेडर विश्लेषण, एरर हैंडलिंग समीक्षा
A10 SSRFआंतरिक एंडपॉइंट इंजेक्शन, क्लाउड मेटाडेटा परीक्षण
332K+
CVEs ट्रैक किए गए
10/10
OWASP कवरेज
AI
संचालित सटीकता
€990
प्रारंभिक मूल्य/माह

OWASP Top 10 के खिलाफ अपने ऐप का परीक्षण करें

मुफ्त स्कैन — कोई प्रतिबद्धता नहीं, कोई क्रेडिट कार्ड आवश्यक नहीं। अनुपालन-तैयार रिपोर्टिंग के साथ AI-संचालित DAST।

मुफ्त स्कैन शुरू करें →

FAQ

सबसे आम OWASP वल्नरेबिलिटी क्या है?

ब्रोकन एक्सेस कंट्रोल (A01) — परीक्षित एप्लिकेशन के 94% में पाई गई। यह स्थिति 5 से स्थिति 1 में चली गई, जो प्राधिकरण को लागू करने में व्यापक विफलता को दर्शाती है, विशेष रूप से APIs और SPAs में।

क्या OWASP Top 10 अनुपालन अनिवार्य है?

OWASP Top 10 स्वयं स्वैच्छिक है। हालांकि, इसे PCI DSS (OWASP Top 10 को संबोधित करने की आवश्यकता है), NIS2 (व्यवस्थित वल्नरेबिलिटी प्रबंधन की अपेक्षा करता है), DORA (उद्योग-मानक परीक्षण का संदर्भ देता है), और कई विक्रेता मूल्यांकन द्वारा संदर्भित किया जाता है। व्यावहारिक रूप से, यह प्रभावी रूप से अनिवार्य है।

क्या स्वचालित उपकरण सभी OWASP Top 10 का पता लगा सकते हैं?

स्वचालित DAST उपकरण अधिकांश श्रेणियों को प्रभावी ढंग से पहचानते हैं — विशेष रूप से इंजेक्शन (A03), क्रिप्टोग्राफ़िक विफलताएं (A02), मिसकॉन्फ़िगरेशन (A05), और वल्नरेबल कंपोनेंट्स (A06)। असुरक्षित डिज़ाइन (A04) और लॉगिंग विफलताएं (A09) जैसी कुछ श्रेणियों को अक्सर मैनुअल मूल्यांकन की आवश्यकता होती है। चौड़ाई के लिए स्वचालित स्कैनिंग का उपयोग करें + गहराई के लिए मैनुअल परीक्षण।

OWASP Top 10 कितनी बार अपडेट होता है?

हर 3–4 साल। प्रमुख रिलीज़: 2013, 2017, 2021। प्रत्येक अपडेट खतरे के परिदृश्य में बदलाव को दर्शाता है — 2021 के अपडेट ने असुरक्षित डिज़ाइन (A04) और SSRF (A10) पेश किया जबकि अन्य को पुनर्गठित किया।

सुरक्षा वैकल्पिक नहीं है।

🗡️ KENSAI टीम

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home