← Toate articolele Standards · OWASP

OWASP Top 10 2026:
ce s-a schimbat

Trei ani de la versiunea 2021, OWASP Foundation a publicat Top 10 2026 cu trei modificări semnificative: SSRF urcă la #1, apar două categorii noi pentru AI-specific risks și supply-chain integrity, iar A05:2021 (Security Misconfiguration) coboară la #4.

Ce s-a schimbat

A01:2026 — SSRF (Server-Side Request Forgery)

SSRF a urcat de pe poziția 10 în 2021 direct la #1 în 2026. Motivul: explozia infrastructurii cloud (AWS metadata IMDSv1, Azure IMDS) a făcut ca SSRF să fie vectorul principal de privilege escalation cloud.

Cazuri concrete documentate în 2025:

• Capital One (revisited 2025) — SSRF prin WAF → IMDS → IAM credentials → 100M PII expuse
• Microsoft Storm-0558 — SSRF în Exchange Online → token signing key → access OS365 token-uri
• GitLab Runner CVE-2024-21484 — SSRF chain → cluster takeover

A02:2026 — Broken Access Control (păstrează poziția)

BOLA (Broken Object Level Authorization) și BFLA (Broken Function Level Authorization) rămân categorii dominante. Statistic: 78% din API-urile testate au cel puțin o vulnerabilitate BOLA.

A03:2026 — Software Supply Chain Integrity (NOU)

O categorie nouă inspirată direct de incidentele SolarWinds 2020, Log4Shell 2021, xz-utils CVE-2024-3094. Acoperă:

• Dependency confusion attacks
• Compromised maintainers (jiaT75 case)
• CI/CD pipeline injection
• Container base image poisoning
• Lipsă SBOM (Software Bill of Materials)

A04:2026 — Insecure Design (păstrează)

Threat modeling rămâne ignorat sistematic. Studiu OWASP arată: doar 12% din echipele de dev fac threat modeling formal înainte de release.

A05:2026 — Security Misconfiguration

Coboară de pe #5 (2021) — pentru că vendor-ii au îmbunătățit default-urile. AWS S3 default: privat. Postgres default: localhost-only.

A09:2026 — AI/LLM-Specific Risks (NOU)

Categorie nouă pentru riscurile specifice aplicațiilor cu LLM:

• Prompt injection — direct + indirect (supply chain de prompt-uri)
• Training data poisoning
• Sensitive data leakage prin RAG / embedding store
• Model theft via API extraction
• Excessive agency — agent AI cu permisiuni prea largi

"AI security e infosec hard mode" — Kelly Shortridge, OWASP Summit Vienna 2026

Cum le acoperă ARTEMIS

În Web App Audit (20 credite), ARTEMIS rulează template-urile actualizate Nuclei + custom plus AI classifier care detectează patternuri OWASP 2026.

Coverage actual ARTEMIS pe Top 10 2026:

A01 SSRF              → ✅ Nuclei templates + AI payload generator
A02 Access Control    → ✅ BOLA + BFLA + IDOR detection (custom)
A03 Supply Chain      → ✅ trivy + grype + SBOM diff
A04 Insecure Design   → ⚠️  AI review (manual triage)
A05 Misconfig         → ✅ Nuclei + OpenVAS
A06 Vulnerable Comp   → ✅ trivy CVE database
A07 Auth Failures     → ✅ Custom + JWT/OAuth checks
A08 Software/Data Int → ✅ Subresource Integrity + signature
A09 AI/LLM            → 🟡 În pregătire (PromptLab integration)
A10 SSRF (legacy)     → ✅ Folded into A01

Ce trebuie să faci

1. Upgrade scope-ul de testing — adaugă SSRF la perimetrul tău cloud
2. Adoptă SBOM — CycloneDX sau SPDX, generat în CI/CD
3. Threat model AI features — dacă ai LLM în prod
4. Rulează un Full Audit — ARTEMIS combină recon + cele 5 audituri într-un raport unic (40€)