OWASP top 10

De OWASP top 10 is een lijst met de meest voorkomende kwetsbaarheden in web applicaties. De lijst wordt periodiek geüpdate aan de hand van de ontwikkelingen van het afgelopen jaar.

Wat is OWASP?

OWASP is een organisatie die zich inzet voor een veiligere wereld. OWASP staat voor Open Web Application Security Project.

Waaruit bestaat de OWASP top 10?

De meest voorkomende kwetsbaarheden volgens OWASP zijn:

  1. Broken Access Control – De applicatie beschermt gevoelige onderdelen niet, zoals een niet-ingelogde gebruiker die gevoelige informatie kan bekijken of een gebruiker de de gegevens van een ander kan wijzigen
  2. Cryptographic Failures – Het niet of niet goed versleutelen van vertrouwelijke informatie. Met de AVG is het verplicht om gevoelige data te beschermen, tijdens het versturen en soms bij het opslaan (zoals medische gegevens of creditcard gegevens)
  3. Injection – aanvallers kunnen kwaadaardige code injecteren. Hieronder vallen onder ander XSS en SQL injections
  4. Insecure Design – De systeemarchitectuur is niet ontworpen om veilig te zijn
  5. Security Misconfiguration – Het systeem is onveilig geconfigureerd
  6. Vulnerable and Outdated Components – Het systeem maakt gebruik van standaard componenten die bekende kwetsbaarheden bevatten. Dit zorgt ervoor dat de standaard bekende kwetsbaarheden ook te vinden zijn in maatwerkapplicaties
  7. Identification and Authentication Failures – Kwetsbaarheden bij het inloggen zorgen ervoor dat aanvallers toegang kunnen krijgen tot accounts, waaronder het niet hebben van bescherming tegen brute-force aanvallen en het toestaan van wachtwoorden als “admin/admin”
  8. Software and data integrity failures – Het system neemt aan dat ontvangen data te vertrouwen is, bijvoorbeeld een updatebestand, zonder te controleren of deze niet is aangepast
  9. Security Logging and Monitoring Failures – Aanvallers kunnen ongestoord hun gang gaan zonder dat iemand het opmerkt
  10. Server Side Request Forgery (SSRF) – De applicatie doet een request die het niet zou moeten doen

Wat is er nieuw in de OWASP top 10 2021 update?

De OWASP top 10 is recent vernieuwd. De volgorde is veranderd en een aantal categorieën zijn samengevoegd, waardoor er ruimte is gekomen voor nieuwe kwetsbaarheden. De grote nieuwkomer (weliswaar op plaats 10) is Server-Side Request Forgery (SSRF). Benieuwd wat SSRF inhoudt? In ons kennisbankartikel leggen we het uit.

Ben ik veilig als ik geen kwetsbaarheden heb uit de OWASP top 10?

Niet per sé. De top tien zijn de meest voorkomende kwetsbaarheden voor webapplicaties. Dat betekent dus dat de kwetsbaarheden voor andere assets zoals domain controllers, printers of werkplekken heel anders kunnen zijn. Daarnaast zijn het de 10 meest voorkomende, niet de enige 10.

Wordt er met de Website Security Check getest op de OWASP top 10?

Ja, alle producten van CyberAnt testen op de OWASP top 10. Daarnaast wordt er bij de Website security check ook gecontroleerd op kwetsbaarheden die niet in de OWASP top 10 staan.

Wordt er met een Pentest gecontroleerd op de OWASP top 10?

Ja, tijdens de pentest wordt er gecontroleerd op de OWASP top 10, maar ook op andere bekende kwetsbaarheden. Daarnaast gaan we op zoek naar kwetsbaarheden die door niemand nog gevonden zijn, de zogenaamde zero days.

Meer informatie over onze diensten

Wilt u er zeker van zijn dat uw websites, apps of systemen vrij zijn van lekken of kwetsbaarheden? Onze experts gaan graag voor u aan de slag. Voor meer informatie over onze pentests of andere diensten kunt u vrijblijvend contact opnemen via onderstaand contactformulier. We vertellen u graag wat we voor u kunnen betekenen.

    Contact

    Randstad 22 147
    1316 BM Almere

    info@cyberant.com
    +31 (0)85 047 1590