Meer informatie Ja, ik geef toestemming
Door Peter Paul Keulers Leestijd 8 min.

Wat is de OWASP Top 10?

Het goed beveiligen van applicaties en data is een thema dat continu aandacht behoeft. Maar wat zijn nu de grootste bedreigingen van die veiligheid? De OWASP Top 10 is een lijst met de, volgens beveiligingsexperts, meest kritische kwetsbaarheden.

De belangrijkste security issues voor applicaties

Het Open Web Application Security Project is een open-source project waar continu aan wordt gewerkt. De Top 10 wordt dan ook van tijd tot tijd geactualiseerd, de laatste versie is van 2017. De lijst is uiteraard niet volledig (het is een top 10 tenslotte) maar is wel een belangrijk hulpmiddel voor softwareontwikkelaars om mogelijke problemen op te sporen en te voorkomen.

Wat staat er in de top 10 van veiligheidsrisico’s?

#1 Injectie

Bij injectie verzendt een hacker commando’s ‘verhuld’ als gewone gebruikersinvoer om daarmee ongeautoriseerde toegang te krijgen tot data of de applicatie opdrachten te geven.

#2 Authenticatie fouten

Om te voorkomen dat hackers de identiteit van iemand anders aannemen, is het belangrijk om te testen of het  authenticatiemechanisme en sessiebeheer goed functioneren.

#3 Kwetsbaarheid van gevoelige data

Delen van een applicatie die publiekelijk benaderbaar zijn, kunnen gebruikt worden om af te leiden hoe je bij gevoelige gegevens komt. Zijn data zoals persoonsgegevens, autorisatiegegevens en documenten wel extra goed beschermd of afgeschermd?

#4 Externe xml-entiteiten

Aanvallers kunnen toegang krijgen tot bestanden en programma’s wanneer de xml-verwerker gedateerd of slecht geconfigureerd is en externe entiteiten niet signaleert. Hackers krijgen toegang tot lokale bestanden en kunnen commando’s geven of aanvallen uitvoeren via zulke koppelingen om data op te halen of te verzenden.

#5 Falende controle op rollen en rechten

Een belangrijk veiligheidsrisico ontstaat wanneer een applicatie niet goed controleert welke data en welke handelingen toegestaan of juist afgeschermd moeten zijn voor een gebruiker.

#6 Configuratiefouten

Zorg voor een correcte configuratie van applicaties, servers, platforms en API’s en verzeker je ervan dat de configuratie niet publiekelijk in te zien is. Standaardinstellingen zijn vaak makkelijk maar niet altijd veilig. En zorg voor updates van alle software.

Way2Web demo

Elkaar continu updaten over security is ongelofelijk belangrijk

#7  Cross-site scripting (XSS)

Wanneer er onvoldoende validatie plaatsvindt bij het invoeren van gegevens in een applicatie, krijgen aanvallers de kans om allerlei scripts uit te voeren of de site te beschadigen. Op deze manier kunnen bijvoorbeeld ook gevoelige gegevens van gebruikers verzameld worden.

#8 Onveilige serialisatie

Bij serialisatie worden objecten door een applicatie geconverteerd in tekst opgeslagen. Wanneer het ‘terugvertalen’ zonder controle plaatsvindt kunnen operating system commando’s worden ingevoerd.

#9 Software met (bekende) kwetsbaarheden

Softwaremodules als libraries en frameworks draaien vaak met volledige autorisatie. Als deze ondanks (ook bij hackers) bekende kwetsbaarheden toch gebruikt worden sta je open voor allerlei aanvallen. Continu updaten dus om deze kwetsbaarheden te patchen. En zorg altijd voor beperkte rechten van een gebruikersaccount.

#10 Onvoldoende logging en monitoring

Wist je dat een fout of misbruik gemiddeld pas na meer dan 200 dagen wordt gedetecteerd? Om problemen te voorkomen of schade te beperken is continu loggen en monitoren dan ook cruciaal. Dit is, als de applicatie live staat, de enige manier om problemen snel te ontdekken en op te lossen.

Hoe gaat Way2Web met deze kwetsbaarheden om?

Voordat een applicatie live gaat voeren we een pen- of penetratietest uit waarbij we ‘misbruik’ proberen te maken van deze kwetsbaarheden. Niet alleen de top 10 van 2017 wordt nagelopen, ook die van 2013.

De conclusie is onverbiddelijk: als de pentest niet in orde is gaan we niet live met de applicatie. Voor bepaalde klanten is die pentest zelfs een vereiste die ze moeten voorleggen aan bijvoorbeeld IT-afdelingen in de Verenigde Staten.

En zelfs daar blijft het niet bij. We voeren letterlijk duizenden (!) extra tests uit. De uitkomst van het Common Vulnerability Scoring System bepaalt uiteindelijk of een applicatie daadwerkelijk live kan gaan.

Vanuit onze dienst Applicatiemanagement nemen we deze CVS-score mee in de jaarlijkse beoordeling van een project zodat we structureel en over meerdere jaren greep houden op de beheersbaarheid.

Bent u klaar voor the next level?

De digitale transformatie biedt fantastische nieuwe mogelijkheden en kansen. Ook voor uw onderneming, dat weet ik zeker. Als IT-specialist én ondernemer praat ik daar graag eens met u over verder. Geheel vrijblijvend natuurlijk. Zullen we een afspraak maken?