New Era: OWASP TOP 10 WEB APPLICATION
By Doldanai Jaipeng,
Penetration Tester Team, Datafarm Company Limited
สวัสดีครับ ช่วงนี้โลกของเทคโนโลยีเปลี่ยนไวมากจริง ๆ เรียกว่าแค่เผลอหลับตาไม่กี่เดือน อะไรใหม่ ๆ ก็ผุดขึ้นมาเต็มไปหมด โดยเฉพาะเรื่องความปลอดภัยสารสนเทศที่ต้องอัปเดตตามภัยคุกคามใหม่ ๆ กันเรื่อย ๆ
หนึ่งในมาตรฐานสำคัญที่หลายคนในสายเว็บและความปลอดภัยรู้จักกันดีก็คือ OWASP Top 10 ซึ่งเป็นเหมือน “ลิสต์ช่องโหว่ยอดฮิต” ของเว็บแอปพลิเคชัน ที่ OWASP รวบรวมจากข้อมูลจริงทั่วโลก แล้วจัดอันดับว่าช่องโหว่ไหนพบเยอะ ช่องโหว่ไหนอันตราย ช่องโหว่ไหนส่งผลแรง เพื่อให้องค์กรและผู้พัฒนารู้ว่าควรโฟกัสตรงไหนก่อน
โดยปกติ OWASP จะมีการอัปเดตรายการ Top 10 ประมาณ ทุก 4–5 ปี ซึ่งก็สอดคล้องกับสภาพโลกที่ภัยไซเบอร์เปลี่ยนเร็วขึ้นเรื่อย ๆ รอบนี้ถึงคิวของเว็บแอปพลิเคชันเวอร์ชัน 2025 แล้วครับ
OWASP Top 10–2025 (Release Candidate) ที่ปล่อยเมื่อวันที่ 6 พฤศจิกายน 2025
หมายความว่า ยังไม่ใช่เวอร์ชัน Final นะครับ อาจจะมีการปรับแก้เล็กน้อยก่อนเปิดตัวจริง ซึ่งก็น่าจะไปลงที่ปลายปี 2025 หรืออาจกระเด็นไปปี 2026 เลยก็เป็นได้
แล้วเวอร์ชัน 2025 ต่างจากเวอร์ชัน 2021 ยังไง?
ผมจะเล่าให้ฟังแบบอ่านสบาย ๆ ก่อนจะไล่แต่ละหมวดให้ดูนะครับ
- อันดับ 1 ยังเป็น Broken Access Control เหมือนเดิม แต่ครั้งนี้เอา SSRF ที่เคยอยู่ A10 ของปี 2021 มารวมเข้าด้วย เพราะมองว่าแก่นของ SSRF จริง ๆ คือ “ส่งรีเควสไปยังที่ที่ผู้ใช้ไม่ควรเข้าถึง” ซึ่งก็เข้ากับแนวคิดเรื่อง Access Control นั่นแหละ
- อันดับ 2 Security Misconfiguration กระโดดขึ้นมาสูงกว่าเดิมมาก สะท้อนว่าโครงสร้างระบบสมัยใหม่มีการตั้งค่าหลากหลายขึ้น และพลาดกันบ่อยขึ้นด้วย
- มี หัวข้อใหม่เพิ่มเข้ามา 2 หมวด ซึ่งสอดคล้องกับโลกสมัยนี้ โดยเฉพาะเรื่องห่วงโซ่ซอฟต์แวร์ที่เริ่มโจมตีได้ยากขึ้นเรื่อย ๆ
- ช่องโหว่คลาสสิกอย่าง Injection และ Cryptographic Failures ไม่ได้หายไปไหน แต่มีอันดับตกลง แปลว่าการป้องกันของอุตสาหกรรมพัฒนาไปมากในช่วง 4–5 ปีที่ผ่านมา
- หลายหมวดมีการ “เปลี่ยนชื่อใหม่” ให้ชัดขึ้น เช่น การเน้นว่า Logging ต้องมาคู่กับ Alerting ไม่ใช่แค่เก็บ log ทิ้งไว้เฉย ๆ
โดยรวมถือว่าเป็น “การอัปเดตครั้งใหญ่” ที่ไม่ได้แค่สลับตำแหน่ง แต่สะท้อนโลกจริงว่าช่องโหว่เปลี่ยนตามสถานการณ์หรือสภาพความเป็นจริง — ยิ่งระบบซับซ้อนมากเท่าไหร่ ช่องโหว่ก็อาจโผล่มาจากจุดที่เราคิดไม่ถึงมากขึ้นเท่านั้น
A01: Broken Access Control (รวม SSRF เข้ามาแล้ว)
ยังคงครองอันดับหนึ่งเหมือนเดิม เพราะการควบคุมสิทธิ์ยังเป็นจุดที่พลาดกันมากที่สุด ปีนี้ SSRF ถูกผนวกเข้าด้วย เพราะมีแกนร่วมคือ “ผู้ใช้เข้าถึงปลายทางที่ไม่ควรเข้าถึง”
A02: Security Misconfiguration (ขยับจากอันดับ 5 ขึ้นมาเป็นอันดับ 2)
เป็นหมวดที่พบเพิ่มขึ้นอย่างมีนัยสำคัญ ทั้งการตั้งค่าที่ปล่อยไว้โดยไม่ปิด debug, default config ที่ลืมแก้
A03: Software Supply Chain Failures (หมวดใหม่)
เป็นการขยายจากหมวด “Vulnerable and Outdated Components” เดิม ให้ครอบคลุมปัญหาห่วงโซ่ซอฟต์แวร์ทั้งหมด ตั้งแต่ไลบรารี, pipeline และอื่นๆ
A04: Cryptographic Failures (ตกจากอันดับ 2 มาเป็นอันดับ 4)
หมวดนี้เกี่ยวกับข้อมูลสำคัญที่ถูกเปิดเผยเพราะการเข้ารหัสไม่ปลอดภัย เช่น ใช้โปรโตคอลเก่า ไม่เปิด HTTPS หรือเก็บข้อมูลละเอียดอ่อนแบบ Plaintext
A05: Injection (ตกจากอันดับ 3 มาเป็นอันดับ 5)
ยังเป็นประเด็นสำคัญ แต่พบว่าการป้องกันดีขึ้นกว่าเดิม หมวดนี้ครอบคลุมตั้งแต่ XSS ไปจนถึง SQLi รวมไปถึงการใส่ Input ต่างๆที่ก่อให้เกิดความเสียหายต่อระบบ ซึ่งมีความเสี่ยงสูงแม้จะเกิดไม่บ่อย
A06: Insecure Design (ตกจากอันดับ 4 ลงมาเป็นอันดับ 6)
หมวดนี้ว่าด้วย “การออกแบบที่ไม่ปลอดภัยตั้งแต่แรก” เช่น ออกแบบ Flow ซึ่งทำให้เลี่ยง Validation ได้ เช่น การข้ามบางขั้นตอนเป็นต้น
A07: Authentication Failures
ชื่อหมวดปรับเล็กน้อย (เดิมคือ Identification & Authentication Failures) ยังอยู่อันดับเดิม สะท้อนว่าปัญหานี้ยังเกิด แต่เฟรมเวิร์กมาตรฐานช่วยลดความเสี่ยงลงได้พอสมควร
A08: Software or Data Integrity Failures
มุ่งเน้นเรื่องความถูกต้องของซอฟต์แวร์/ข้อมูล เช่น ไม่มีการตรวจสอบไฟล์ก่อนโหลดใช้ หรือโหลดสคริปต์จากแหล่งที่ไม่เชื่อถือยังอยู่ในอันดับที่ 8 เช่นเดิม
A09: Logging & Alerting Failures
หมวดนี้ถูกเปลี่ยนชื่อให้เน้นว่า “Logging อย่างเดียวไม่พอ ต้อง Alert ด้วย” ยังคงอยู่อันดับ 9 การเก็บ log ดีแต่ไม่มีระบบแจ้งเตือน ถือว่าแทบไม่มีประโยชน์เวลาเกิดเหตุ
A10: Mishandling of Exceptional Conditions (หมวดใหม่)
เกี่ยวกับการจัดการสถานการณ์ผิดปกติ เช่น error, exception, เงื่อนไขที่ระบบไม่เคยคาดการณ์ หากจัดการไม่ดีอาจเปิดช่องให้ข้อมูลรั่ว หรือข้อมูลถูกเปิดเผยได้
ถึงแม้ตอนนี้ยังเป็นตัว Release Candidate แต่การเปลี่ยนแปลงที่ประกาศออกมา “มีแนวโน้มว่าจะไม่พลิกโผมากนัก” เพราะฉะนั้น ควรเริ่มอัปเดตมาตรฐานการทดสอบกันได้เลย ไม่จำเป็นต้องรอเวอร์ชัน Final
บทส่งท้ายจากผู้เขียน
การอัปเดตครั้งนี้ของ OWASP Top 10 ทำให้เราเห็นได้ชัดว่าความปลอดภัยในยุคปัจจุบันไม่ได้มีแค่เรื่อง “บัคต่างๆในโค้ด” อีกต่อไป แต่ยังรวมถึง “การออกแบบ”, “ซอฟต์แวร์ที่นำมาใช้งาน”, “การตั้งค่าระบบ”, และ “การรับมือเหตุการณ์ผิดปกติ” ซึ่งล้วนแล้วเป็นจุดที่เป็นช่องโหว่ด้านความปลอดถัยได้ทั้งนั้น
ดังนั้นไม่ว่าทุกท่านจะเป็น Dev, Sec, Infra, Tester หรือแม้แต่ PM — มาตรฐานนี้ควรเป็นสิ่งที่ทุกคนเห็นตรงกันว่า “ต้องใส่ใจ” เพราะสุดท้ายแล้ว ความปลอดภัยมันไม่ใช่ตัวเลือกเสริมหรือทางเลือก แต่มันคือส่วนหนึ่งของการสร้างระบบให้คนใช้อย่างมั่นใจตั้งแต่ต้นจนจบครับ ทั้งนี้บทความนี้ผิดพลาดตรงส่วนใด ก็ขออภัยมา ณ ที่แห่งนี้ด้วยครับ
แหล่งอ้างอิง
https://owasp.org/Top10/2025/0x00_2025-Introduction/
https://www.securityweek.com/two-new-web-application-risk-categories-added-to-owasp-top-10/
