Web bezbednost lako

OWASP Top 10

🎯 Šta je OWASP?

OWASP (Open Web Application Security Project) je globalna, neprofitna organizacija posvećena unapređenju bezbednosti veb aplikacija.
Njena misija je da znanje o bezbednosti bude besplatno, otvoreno i dostupno svima.

OWASP pruža:

  • smernice i standarde

  • edukativne materijale

  • alate za testiranje

  • realne primere ranjivosti i njihove prevencije

📊 Šta je OWASP Top 10?

OWASP Top 10 je lista deset najkritičnijih bezbednosnih rizika za veb aplikacije.
Ažurira se periodično (najčešće na 3–4 godine) i predstavlja konsenzus industrije, zasnovan na realnim incidentima i iskustvu stručnjaka širom sveta.

Ovo nije lista najčešćih bagova,
već lista najopasnijih rizika po bezbednost, podatke i biznis.

🔍 Zašto je OWASP Top 10 BITAN?

1. Industrijski standard

OWASP Top 10 je univerzalna referenca za bezbednost web aplikacija.

Koriste ga:

  • developeri

  • pentesteri

  • bezbednosni timovi

  • kompanije

  • certifikaciona i regulatorna tela

Ako znaš OWASP Top 10 — govoriš zajednički jezik bezbednosti.

2. Fokus na najveće pretnje

OWASP Top 10 pomaže timovima da se fokusiraju na ono što je zaista kritično.

Važi 80/20 pravilo:
rešavanjem ovih 10 kategorija pokriva se ogroman deo realnih bezbednosnih problema.

3. Edukativna vrednost

OWASP Top 10 pomaže:

  • developerima da razumeju gde najčešće greše

  • početnicima da shvate kako napadači razmišljaju

  • timovima da nauče kako se ranjivosti sprečavaju, a ne samo popravljaju

4. Poslovna zaštita

Bezbednost nije samo tehničko pitanje.

OWASP Top 10 pomaže u:

  • sprečavanju finansijskih gubitaka

  • očuvanju reputacije

  • ispunjavanju zakonskih i regulatornih zahteva
    (GDPR, PCI-DSS, ISO standardi i slično)

🧱 OWASP Top 10 (2025)

A01:2025 — Broken Access Control

Greške u kontroli pristupa koje omogućavaju korisnicima ili napadačima da pristupe resursima, podacima ili privilegijama koje im ne pripadaju.

A02:2025 — Security Misconfiguration

Loše, nepotpune ili podrazumevane konfiguracije servera, servisa i aplikacija koje otvaraju vrata napadima.

A03:2025 — Software Supply Chain Failures

Problemi u lancu nabavke softvera: ranjive ili kompromitovane biblioteke, pogrešne verzije paketa i nebezbedni deployment procesi.

A04:2025 — Cryptographic Failures

Nepravilna upotreba kriptografije: nešifrovan saobraćaj, zastareli algoritmi, slabi ključevi i loše upravljanje tajnama.

A05:2025 — Injection

Situacije u kojima se zlonamerni ulaz izvršava kao kod ili komanda
(SQL, NoSQL, XSS, command injection), omogućavajući napadaču kontrolu nad aplikacijom.

A06:2025 — Insecure Design

Problemi nastali još u fazi dizajna: nedostatak threat modelinga, pogrešne pretpostavke o bezbednosti i odsustvo sigurnosnih kontrola u arhitekturi.

A07:2025 — Authentication Failures

Slaba autentikacija i upravljanje sesijama: loše lozinke, nepostojanje MFA, curenje kredencijala i nebezbedno rukovanje identitetima.

A08:2025 — Software or Data Integrity Failures

Nedostatak kontrole integriteta softvera i podataka — neproverene nadogradnje, nevalidirane promene i nebezbedni CI/CD procesi.

A09:2025 — Logging & Alerting Failures

Nedovoljno logovanje i nadgledanje sistema, zbog čega napadi i incidenti ostaju neprimećeni ili se otkriju prekasno.

A10:2025 — Mishandling of Exceptional Conditions

Loše rukovanje greškama i izuzecima: fail-open stanja, curenje informacija kroz error poruke i nekontrolisani fallback mehanizmi.

🚀 Naredne lekcije

U narednim lekcijama prolazimo svaku od ovih ranjivosti u praksi:

  • kako izgleda u realnim aplikacijama

  • kako se zloupotrebljava u napadu

  • kako se pravilno mitigira i sprečava

Fokus će biti na razumevanju:

  • kako napadač razmišlja

  • kako greška nastaje u kodu

  • kako se ispravno otklanja u praksi

✔️ Završetak Lekcije

Ova lekcija nema proveru znanja. Kliknite na dugme ispod da je označite kao završenu.


📚 Sve Lekcije Sledeća Lekcija →