De OWASP Top 10: de belangrijkste beveiligingsrisico's voor webapplicaties
De OWASP Top 10 is een bekende standaard in de wereld van webapplicatiebeveiliging. Het document biedt ontwikkelaars en beveiligingsexperts inzicht in de meest kritieke risico’s voor webapplicaties. De 2021-editie brengt enkele belangrijke verschuivingen en nieuwe categorieën met zich mee.
Waarom OWASP inzetten?
Het leren kennen van de OWASP 10 is een makkelijke manier om bewust te worden van de 10 meest kritieke securityrisico's op het gebied van webapplicaties. Betekent dit dan wanneer je inspeelt op deze 10 punten dat je zonder risico bent? Dat niet, maar je hebt wel 10 zeer belangrijke punten meegenomen in de ontwikkeling van je applicaties. Elke developer zou dus bewust moeten zijn van de OWASP top 10 en deze wereldwijde consensus mee moeten nemen.
Welke 10 punten staan er in de OWASP?
Onderstaande tien punten staan vermeld in de OWASP top 10.
Deze link brengt je naar de OWASP website waar je nog meer informatie kunt vinden over OWASP.
De verwachting is dat er halverwege 2025 een nieuwe versie van OWASP wordt uitgebracht.
Hieronder staan de tien punten kort uitgewerkt. De punten zijn op volgorde geplaatst, waarbij de eerste als meest kritieke punt beschouwd wordt.
1. Broken Access Control
Deze categorie stijgt van plek vijf naar de eerste positie. Bij 94% van de geteste applicaties werd een vorm van gebroken toegangscontrole aangetroffen. Dit probleem, dat 34 verschillende soorten beveiligingszwakheden omvat, komt vaker voor dan enig andere categorie. Het benadrukt hoe cruciaal het is om toegangsrechten correct te beheren.
2. Cryptographic failures
Cryptografische fouten klimmen naar de tweede plaats. Voorheen bekend als ‘Sensitive Data Exposure’, richt deze categorie zich nu op de oorzaken, zoals onjuiste implementatie van cryptografie. Dergelijke fouten kunnen leiden tot datalekken of systeemcompromittering.
3. Injection
Injectieproblemen, zoals SQL-injectie en Cross-site Scripting (XSS), zakken naar de derde plaats. Ondanks deze daling blijft 94% van de applicaties gevoelig voor een vorm van injectie. Het combineren van XSS met andere injectieproblemen in deze categorie benadrukt het belang van beveiligde codering.
4. Insecure design
Nieuw in 2021 is de categorie ‘Onveilig Ontwerp’. Deze richt zich op risico’s die voortkomen uit ontwerpfouten. Door middel van dreigingsmodellering, veilige ontwerpprincipes en referentiearchitecturen kan de industrie veiliger applicaties bouwen.
5. Security misconfiguration
Deze categorie stijgt van de zesde naar de vijfde positie. Bij 90% van de applicaties worden misconfiguraties aangetroffen. De toenemende complexiteit van configureerbare software verklaart deze stijging. Risico’s zoals XML External Entities (XXE) vallen nu ook binnen deze categorie.
6. Vulnerable and outdated components
Voorheen bekend als ‘Gebruik van Componenten met Bekende Kwetsbaarheden’, stijgt deze categorie van de negende naar de zesde plaats. Dit probleem blijft lastig te testen en te beoordelen, wat benadrukt dat regelmatige updates en risicobeoordelingen essentieel zijn.
7. Identification and authentication failures
Deze categorie, voorheen ‘Broken Authentication’, daalt van de tweede naar de zevende plek. Het omvat nu ook fouten bij identificatie. Dankzij gestandaardiseerde frameworks worden sommige risico’s beter beheerst, maar het blijft een belangrijke uitdaging.
8. Software and data integrity failures
Een nieuwe categorie in 2021, gericht op het gebrek aan verificatie van software-updates, kritieke gegevens en CI/CD-pijplijnen. Deze fouten kunnen leiden tot ernstige beveiligingsincidenten. Onveilige deserialisatie, eerder een aparte categorie, valt nu hieronder.
9. Security logging and monitoring failures
Deze categorie, voorheen ‘Insufficient Logging & Monitoring’, stijgt van de tiende naar de negende plek. Het omvat nu meer soorten fouten. Hoewel moeilijk te testen, hebben deze problemen een grote impact op zichtbaarheid, incidentmeldingen en forensisch onderzoek.
10. Server-Side Request Forgery (SSRF)
Nieuwkomer op de lijst is Server-Side Request Forgery, toegevoegd op basis van de community-enquête. Hoewel de incidentie relatief laag is, heeft het een hoge impact. Dit benadrukt de waarschuwende rol van de beveiligingsgemeenschap, zelfs als de data nog geen volledig beeld geeft.
Wil je de OWASP Top 10 echt begrijpen?
OptiSec biedt een zeer inhoudelijke OWASP top 10 training aan. Deze training is een must-have voor elke security consultant en software developer!
In een klas van maximaal acht personen (of als incompanytraining) gaan we in op elk punt van de OWASP en creëren we ook nog een praktische setting, waarin we als red- en blue team naar beide perspectieven van security gaan kijken. Enorm leerzaam, leuk en nogmaals, een musthave voor elke security consultant en software developer!