OWASP Top 10 är den mest använda referenslistan för webbapplikationssäkerhet. Den publiceras av Open Web Application Security Project och uppdateras vart tredje år baserat på verkliga intrångsdata. 2021 års version är aktuell.
Skanna din webbapplikationVarje kategori representerar en klass av sårbarheter. Webbapplikationer bör testas mot samtliga.
Trasig åtkomstkontroll
Användare kan utföra åtgärder utanför sina rättigheter. Vanligaste sårbarheten 2021, uppflyttad från plats 5.
Kryptografiska fel
Svag eller felaktigt implementerad kryptering exponerar känslig data — lösenord, kreditkortsnummer, hälsodata.
Injektion (SQL, LDAP, OS)
Opålitlig data skickas till en tolk. SQL-injektion gör det möjligt att läsa, ändra eller radera databaser.
Osäker design
Designfel som inte kan åtgärdas med korrekt implementering — saknade hotmodeller och säkerhetsmönster.
Felaktig säkerhetskonfiguration
Standardlösenord, onödiga funktioner aktiverade, felkonfigurerade molntjänster, saknade säkerhetsheaders.
Föråldrade och sårbara komponenter
Användning av bibliotek, ramverk eller OS-komponenter med kända CVE-sårbarheter.
Identifierings- och autentiseringsfel
Tillåter brute force, svaga lösenord, saknad MFA eller osäker sessionshantering.
Fel i integritet för mjukvara och data
Kod och data utan integritetskontroll — osäkra CI/CD-pipelines, automatiska uppdateringar utan verifiering.
Otillräcklig loggning och övervakning
Utan loggning och larm kan intrång pågå i månader oupptäckt. Genomsnittstiden är 287 dagar.
Server-Side Request Forgery (SSRF)
Applikationen hämtar en fjärresurs utan att validera den URL som användaren anger — kan exponera interna system.
Automatisk sårbarhetsdetektering
AI-driven skanning av din webbapplikation mot OWASP Top 10. Identifierar injektionspunkter, felkonfigurationer och svag autentisering.
CVE-matchning i tech stack
Analyserar din tech stack mot kända CVE-sårbarheter i databaser, ramverk och bibliotek.
SSL/TLS och HTTP-headers
Granskar kryptokonfiguration, cipher suites och säkerhetsheaders (CSP, HSTS, X-Frame-Options m.fl.).
ROE-avtal för aktiv testning
Aktiv penetrationstestning kräver ett signerat Rules of Engagement-avtal. Allt dokumenteras och ingenting görs utanför scope.
ISO 27001
Kontroll A.8.25 (säker systemutveckling) och A.8.29 (säkerhetstestning) kräver att webbapplikationer testas mot kända sårbarheter.
NIS2 § 21
Punkt 6 (sårbarhethantering) och punkt 5 (säkerhet i förvärv och utveckling) kräver regelbunden sårbarhetsskanning.
GDPR Art. 32
Tekniska säkerhetsåtgärder ska skydda personuppgifter — OWASP-testning är ett centralt krav för applikationer som hanterar persondata.
Relaterade guider
AI-driven analys mot alla 10 kategorier — plus SSL, headers och CVE-matchning. 14 dagars provperiod, inget kreditkort krävs.
Starta gratis