OWASP Top 10

De OWASP top 10 is een lijst met de meest voorkomende kwetsbaarheden in web applicaties. De lijst wordt periodiek geüpdate aan de hand van de ontwikkelingen van het afgelopen jaar. We gaan uit van de 2021 editie, welke het meest recent is.

Wat is OWASP?

OWASP is een organisatie die zich inzet voor een veiligere wereld. OWASP staat voor Open Web Application Security Project.

Wat zijn de 10 meest voorkomende kwetsbaarheden?

De meest voorkomende kwetsbaarheden volgens OWASP zijn:

  1. Broken Access Control – De applicatie beschermt gevoelige onderdelen niet, zoals een niet-ingelogde gebruiker die gevoelige informatie kan bekijken of een gebruiker de de gegevens van een ander kan wijzigen
  2. Cryptographic Failures – Het niet of niet goed versleutelen van vertrouwelijke informatie. Met de AVG is het verplicht om gevoelige data te beschermen, tijdens het versturen en soms bij het opslaan (zoals medische gegevens of creditcard gegevens)
  3. Injection – aanvallers kunnen kwaadaardige code injecteren. Hieronder vallen bijvoorbeeld XSSSQL injections en path traversal
  4. Insecure Design – De systeemarchitectuur is niet ontworpen om veilig te zijn
  5. Security Misconfiguration – Het systeem is onveilig geconfigureerd
  6. Vulnerable and Outdated Components – Het systeem maakt gebruik van standaard componenten die bekende kwetsbaarheden bevatten. Dit zorgt ervoor dat de standaard bekende kwetsbaarheden ook te vinden zijn in maatwerkapplicaties
  7. Identification and Authentication Failures – Kwetsbaarheden bij het inloggen zorgen ervoor dat aanvallers toegang kunnen krijgen tot accounts, waaronder het niet hebben van bescherming tegen brute-force aanvallen en het toestaan van wachtwoorden als “admin/admin”
  8. Software and data integrity failures – Het system neemt aan dat ontvangen data te vertrouwen is, bijvoorbeeld een updatebestand, zonder te controleren of deze niet is aangepast
  9. Security Logging and Monitoring Failures – Aanvallers kunnen ongestoord hun gang gaan zonder dat iemand het opmerkt
  10. Server Side Request Forgery (SSRF) – De applicatie doet een request die het niet zou moeten doen.

Wat is er nieuw in de OWASP top 10 2021 update?

De OWASP top 10 is recent vernieuwd. De volgorde is veranderd en een aantal categorieën zijn samengevoegd, waardoor er ruimte is gekomen voor nieuwe kwetsbaarheden. De grote nieuwkomer (weliswaar op plaats 10) is Server-Side Request Forgery (SSRF).

Ben ik veilig als ik geen kwetsbaarheden heb uit de OWASP top 10?

Niet per sé. De top tien zijn de meest voorkomende kwetsbaarheden voor webapplicaties. Dat betekent dus dat de kwetsbaarheden voor andere assets zoals domain controllers, printers of werkplekken heel anders kunnen zijn. Daarnaast zijn het de 10 meest voorkomende, niet de enige 10.

Wordt er met de pentest en de Website Security Check getest op de OWASP top 10?

Ja, CyberAnt test bij de pentest en de Website Security Check op de OWASP top 10. Daarnaast controleren we op kwetsbaarheden die niet in de lijst staan en gaan we op zoek naar kwetsbaarheden die door niemand nog gevonden zijn, de zogenaamde zero days.

De Vattenfall case – Responsible DisclosureCyberAnt.compentestCyberAnt.comWat is het verschil tussen een pentest en vulnerability management?