OWASP Top 10 är en lista över de tio mest kritiska säkerhetsriskerna för webbapplikationer, framtagen av Open Web Application Security Project (OWASP), och har varit ett centralt referensverk inom applikationssäkerhet i över två decennier. Listan ger ett gemensamt riskspråk för utvecklare, säkerhetsproffs och tekniska ledare som bygger och skyddar mjukvara. Den uppdaterade versionen för 2025 är nu här och visar tydligt hur hotlandskapet har förändrats sedan 2021, då den tidigare versionen släpptes.
Kort om vad OWASP Top 10 är och vad som har förändrats
OWASP Top 10 2025 är nu här. Förändringarna är färre än många kanske väntat sig, men de är tydliga. Fokus har flyttats från enskilda kodningsmisstag till systematiska problem i hur applikationer byggs, konfigureras och drivs.
Det mest intressanta är att förändringarna inte handlar om nya attacktyper, utan om var felen faktiskt uppstår i moderna applikationer. Underlaget till 2025 års lista visar samma bild som många säkerhetsteam redan ser i praktiken. De allvarligaste bristerna kommer från åtkomstkontroll, felkonfigurationer och beroenden som inte är fullt under kontroll.
OWASP Top 10 uppdateras ungefär vart tredje till fjärde år, baserat på ett omfattande dataset av verkliga sårbarhetsfynd, bidrag från säkerhetscommunities och analys av verkliga attacker. Listan är därför mindre av ett teoretiskt ramverk och mer en destillering av det som faktiskt återkommer i moderna applikationer. Förändringarna mellan varje version är oftast inkrementella, men de ger en tydlig bild av hur riskområden och attackytor skiftar över tid.
OWASP Top 10 2025
Den slutliga listan över de tio mest kritiska säkerhetsriskerna i webbapplikationer ser ut så här:
- Bristande åtkomstkontroll
- Säkerhetskonfiguration
- Misslyckanden i mjukvarans leveranskedja
- Kryptografiska brister
- Injektionsattacker
- Osäker design
- Brister i autentisering
- Mjukvaru- eller dataintegritetsfel
- Bristande säkerhetsloggning och larm
- Felhantering av exceptionella tillstånd
Jämfört med 2021 är strukturen bekant, men flera kategorier har flyttats, slagits samman eller utökats. Förändringarna speglar hur verkliga attacker genomförs idag.
Referens: https://owasp.org/Top10/2025/0x00_2025-Introduction/
Misslyckanden i mjukvarans leveranskedja
Den största förändringen i 2025 års utgåva är införandet av Misslyckanden i mjukvarans leveranskedja som en egen kategori. Den ersätter i praktiken Sårbara och föråldrade komponenter från 2021 och utvidgar omfattningen betydligt.
Fokus ligger inte längre bara på sårbara bibliotek. Kategorin omfattar hela kedjan runt mjukvaran:
- Tredjepartsberoenden
- CI- och CD-pipelines
- Paket- och distributionshantering
- Tillit till externa leverantörer
Leveranskedjeattacker har visat sig vara både skalbara och effektiva. När kod komprometteras innan den når produktion går många traditionella säkerhetskontroller förlorade. Det här syns också tydligt i praktiken. Vid penetrationstester dyker denna typ av svaghet nästan alltid upp. Ofta inte som en isolerad brist, utan som en systematisk svaghet i hur miljön är uppsatt. Typiska exempel är okontrollerade beroenden, avsaknad av restriktioner i byggpipelines och implicit tillit till tredjepartskomponenter som ingen faktiskt har verifierat. Det är också ett område som många kunder och organisationer systematiskt underskattar. Fokus ligger ofta på den egna koden, medan allt runtomkring antas vara säkert så länge det fungerar. I praktiken är det just här attackytan har vuxit mest de senaste åren. Leveranskedjerisker är också ett område där NIS och NIS2 ställer krav enligt EU-lagstiftning.
Felhantering av exceptionella tillstånd
Felhantering av exceptionella tillstånd är en ny kategori 2025. Den tar upp fel som uppstår när applikationer hamnar i tillstånd de inte är designade för att hantera.
Detta inkluderar bland annat:
- Exponering av stacktraces och intern information
- Applikationer som misslyckas öppet istället för säkert (prioriterar tillgänglighet över säkerhet)
- Bristfällig hantering av timeouts, undantag och edge cases
I distribuerade system och API-baserade arkitekturer kan sådana fel få större konsekvenser än tidigare. Fel i en tjänst sprider sig snabbt till andra.
SSRF är inte längre en egen kategori
Server Side Request Forgery (SSRF) hade en egen plats i OWASP Top 10 2021. År 2025 har den tagits bort som separat kategori och slagits samman med Bristande åtkomstkontroll.
Det speglar hur SSRF typiskt uppstår i praktiken. Attacken lyckas för att applikationen inte begränsar vilka interna resurser den får komma åt. Det är ett åtkomstkontrollproblem och inte ett isolerat inputproblem.
Säkerhetskonfiguration har klättrat uppåt
Säkerhetskonfiguration har flyttats upp till andra plats 2025. Det stämmer väl med fynd från både tester och verkliga incidenter.
Felkonfigurationer sker i molnmiljöer, containrar, API-gateways och autentiseringslösningar. De orsakas ofta av standardinställningar, kopierade konfigurationer eller brist på insyn i vad som faktiskt exponeras.
Konfiguration hanteras fortfarande manuellt i många miljöer, även där resten av utvecklingscykeln är automatiserad.
Dessutom ser vi en oroande trend där projekt förlitar sig på molnlösningar för att de uppfattas som säkra. Det verkar som om många projektledare tror att ansvaret för säkerhetskonfiguration också är delegerat till molnleverantören, vilket sällan är fallet. Molnleverantören sätter upp en standardmiljö med vissa grundkontroller, men det är fortfarande kunden som måste justera konfigurationen för sin specifika applikation. Det blir mer krävande när man inte själv hostar infrastrukturen. Argument som "vi behöver ingen autentisering eftersom applikationen är dold bakom en slumpmässig IP-adress som bara vi och molnleverantören vet om" har faktiskt förekommit. Det öppnar systemet för alla som skannar IP-adresser på måfå, och det är ingen bra säkerhet.
Injektionsattacker och kryptografiska brister
Injektionsattacker och kryptografiska brister finns fortfarande med på OWASP-listan, men har fått mindre tyngd än tidigare. Det tyder på ökad mognad i användningen av ramverk och bibliotek. Klassiska misstag är svårare att göra, men de har inte försvunnit helt. När de uppstår idag är det ofta kopplat till äldre kod eller specialfall där standardmekanismer kringgås. För kryptografiska brister syns det särskilt kring TLS-konfiguration och nyckelhantering. Svaga eller föråldrade TLS-inställningar, felaktig certifikatvalidering och återanvändning av nycklar är återkommande fynd vid tester. Ofta är själva kryptografin korrekt, men används fel i sitt sammanhang. Till exempel när TLS avslutas på fel ställe, intern trafik antas vara betrodd eller egen implementation används där etablerade mekanismer redan finns.
Många tillåter fortfarande kommunikation över TLS version 1.2 eller lägre för att gamla system inte har uppgraderats. Det ger bakåtkompatibilitet, men idag är säkerhetskravet TLS version 1.2 eller högre. Det är bättre att kräva att äldre system uppgraderas till säker version än att sänka säkerheten i nya applikationer.
Vad listan säger om dagens applikationer
OWASP Top 10 2025 pekar tydligt på grundläggande kontrollbrister:
- Saknad eller felaktig åtkomstkontroll
- Otillräcklig kontroll över konfiguration
- Oklar tillit till kod och komponenter
Dessa problem löses inte med enkla patchar. De kräver tydliga strukturer, definierat ägarskap och kontinuerlig uppföljning genom hela applikationens livscykel. I praktiken betyder det att säkerhet måste förankras i etablerade ramverk och styrprinciper, inte lämnas till individer eller ad hoc-åtgärder. Det visar också att säkerhet måste in redan i designfasen och kan inte läggas till i slutet av ett projekt. Då blir kostnaden för omarbetning och byte av osäkra infrastrukturkomponenter ofta för hög för att systemet ska kunna tas i bruk. Koncepten Security by Design och Security by Default är viktiga att ta med sig när man startar utvecklingen av en ny lösning.
Gällande åtkomstkontroll ser vi att allt fler organisationer använder multifaktorautentisering på alla sina molnsystem. Det är i grunden positivt, men det suddar ut skillnaden mellan låg- och högrisksystem när det gäller åtkomst. God säkerhet kräver ytterligare lager av skydd mellan olika riskklasser. Man bör antingen kräva ett nytt auktoriseringssteg med olika MFA-faktorer för att nå högriskssystem eller använda en säker single sign-on-lösning för en viss klass som ett extra lager. Endast användare i en separat säkerhetsgrupp ska då ha åtkomst till högriskssystem.
För nordiska organisationer finns etablerade ramverk som ger en stabil utgångspunkt för detta arbete. I Norge används NSM:s grundprinciper för IT-säkerhet brett, och motsvarande principer finns hos Myndigheten för civilt försvar i Sverige. Gemensamt för dessa ramverk är fokus på styrning och kontroll, skydd av system och data samt förmågan att upptäcka och hantera incidenter. När sådana ramverk används aktivt i utveckling och drift skapar de struktur som stödjer många av de riskområden som OWASP Top 10 lyfter fram.
Detta inkluderar definierade säkerhetskrav i designfasen, tydligt ansvar för åtkomsthantering och konfiguration samt kontinuerlig verifiering genom testning och övervakning. Utan denna typ av struktur dyker samma brister upp gång på gång, oavsett hur många sårbarheter som patchas längs vägen.
OWASP Top 10 2025 pekar inte ut nya problem. Den dokumenterar att samma grundläggande svagheter fortfarande finns i moderna applikationer, även i miljöer som uppfattas som tekniskt mogna. Orsaken är sällan val av teknik, utan hur säkerhet faktiskt följs upp i praktiken över tid.
Organisationer som har struktur, ägarskap och kontinuerlig uppföljning minskar riskerna systematiskt. De som inte har det fortsätter att hitta samma brister år efter år, oavsett molnplattform, ramverk eller utvecklingsmetodik. OWASP Top 10 fungerar därför mindre som en varningslista och mer som en spegling av mognadsgrad.
Så vad bör prioriteras?
Utifrån 2025 års lista ger tre åtgärder störst effekt:
- Åtkomstkontroll måste designas, dokumenteras och testas explicit
- Konfiguration måste automatiseras och kontinuerligt verifieras
- Leveranskedjerisker måste hanteras som en naturlig del av utvecklingen
OWASP Top 10 2025 visar en välbekant bild och stämmer väl överens med vad som faktiskt upptäcks vid testning och incidenthantering. De största säkerhetsproblemen handlar fortfarande om grunderna.
