Veiligheid

OWASP 2021: de 10 grootste veiligheidsrisico’s

Leestijd 5 min

Door Peter Paul Keulers

Het goed beveiligen van applicaties en data is een thema dat continu aandacht behoeft. Maar wat zijn eigenlijk de grootste bedreigingen van die veiligheid? De OWASP Top 10 is een lijst met de, volgens beveiligingsexperts, meest kritische kwetsbaarheden.

OWASP top 10 2021
opleiding en technieken

OWASP top 10: De belangrijkste security issues voor applicaties

Het Open Web Application Security Project (OWASP) is een open-source project waar continu door meerdere beveiligingsexperts aan wordt gewerkt. De Top 10 wordt dan ook van tijd tot tijd geactualiseerd, de laatste versie is van 2017. De lijst is uiteraard niet volledig (het is een top 10 tenslotte) maar is wel een belangrijk hulpmiddel voor softwareontwikkelaars om mogelijke problemen op te sporen, te categoriseren en te voorkomen.

Wat staat er in de OWASP top 10 van veiligheidsrisico’s?

 

  • 1. Falende controle op rollen en rechten (was 5)

Een belangrijk veiligheidsrisico ontstaat wanneer een applicatie niet goed controleert welke data en welke handelingen toegestaan of juist afgeschermd moeten zijn voor een gebruiker met een bepaalde rol (beheerder, gebruiker, etc).

 

  • 2. Cryptografische fouten (was 3)

Wanneer gevoelige gegevens niet goed versleuteld worden, dan kunnen ze onderschept worden door derden waardoor identiteitsdiefstal of bijvoorbeeld creditcardfraude gepleegd kan worden. Data zoals persoonsgegevens, autorisatiegegevens en documenten moeten altijd goed versleuteld worden zodat ze beschermd zijn.

 

  • 3. Injectie (was 1)

Bij injectie verzendt een hacker commando’s ‘verhuld’ uitgevoerd om daarmee ongeautoriseerd toegang te krijgen tot data, de applicatie opdrachten te geven of data weg te sluizen. Ook cross-site scripting (XSS) valt hieronder.

 

  • 4. Onveilig design (nieuw)

Een nieuwe categorie dit jaar, gericht op risico’s als gevolg van designfouten. Om deze kwetsbaarheden aan te pakken is er meer aandacht nodig voor dreigingsmodellering, het toepassen van veilige designpatronen en referentiearchitecturen.

 

  • 5. Configuratiefouten (was 6)

Zorg voor een correcte configuratie van applicaties, servers, platforms en API’s en verzeker je ervan dat de configuratie niet publiekelijk in te zien is. Standaardinstellingen zijn vaak makkelijk maar niet altijd veilig. Zorg als laatste voor updates van alle software.

 

  • 6. Kwetsbare en verouderde software (was 9)

Softwaremodules als libraries en frameworks draaien vaak met volledige autorisatie. Als deze ondanks (ook bij hackers) bekende kwetsbaarheden toch gebruikt worden sta je open voor allerlei aanvallen. Continu updaten dus om deze kwetsbaarheden te patchen. En zorg altijd voor beperkte rechten voor gebruikersaccounts.

 

  • 7. Identificatie en authenticatie fouten (was 2)

Om te voorkomen dat hackers de identiteit van iemand anders aannemen, is het belangrijk om te testen of het authenticatiemechanisme en sessiebeheer goed functioneren. Gestandaardiseerde frameworks zorgen ervoor dat deze kwetsbaarheid minder voorkomt maar sluiten dit niet uit.

 

  • 8. Software- and data-integriteitsfouten (nieuw)

Deze fouten zijn het gevolg van het onvoldoende verifiëren van de integriteit van data of software. Bijvoorbeeld bij automatische updates uit onbetrouwbare bronnen of libraries. Hierbij hoort ook onveilige serialisatie waarbij objecten door een applicatie geconverteerd in tekst opgeslagen worden en het terugvertalen zonder controle plaatsvindt waardoor commando’s kunnen worden uitgevoerd.

 

  • 9. Onvoldoende logging en monitoring (10)

Wist je dat een fout of misbruik gemiddeld pas na meer dan 200 dagen wordt gedetecteerd? Om problemen te voorkomen of schade te beperken is continu loggen en monitoren dan ook cruciaal. Dit is, als de applicatie live staat, de enige manier om problemen snel te ontdekken en op te lossen.

 

  • 10. Server-Side Request Forgery (nieuw)

Van SSRF-aanvallen is sprake bij niet goed gevalideerde URL’s. Een aanvaller kan dan interne commando’s geven, firewalls uitzetten of een poortscan doen. Met de snelle toename van het aantal clouddiensten kan deze kwetsbaarheid nog wel eens stijgen in deze top 10.

 

PAQT Peter Paul Dagmar

Hoe gaat PAQT met deze kwetsbaarheden om?

Voordat een applicatie live gaat voeren we een pen- of penetratietest uit waarbij we ‘misbruik’ proberen te maken van deze kwetsbaarheden. Niet alleen de OWASP top 10 van 2021 wordt nagelopen, ook de vorige uit 2017.

De conclusie is onverbiddelijk: als de pentest niet in orde is gaan we niet live met de applicatie. Voor bepaalde opdrachtgevers is die pentest zelfs een vereiste die ze moeten voorleggen aan bijvoorbeeld IT-afdelingen.

En zelfs daar blijft het niet bij. We voeren letterlijk duizenden (!) extra tests uit. De uitkomst van het Common Vulnerability Scoring System (CVSS) bepaalt uiteindelijk of een applicatie daadwerkelijk live kan gaan.

De CVSS-score nemen we mee in de jaarlijkse beoordeling van een project zodat we structureel en over meerdere jaren greep houden op de beheersbaarheid.

Beschikbaarheid, goed functioneren en veiligheid krijgen bij PAQT dus permanent aandacht. Als het gaat om de continuïteit van een bedrijfskritische applicatie kun je de lat nu eenmaal niet hoog genoeg leggen.

Lees hier meer over de manier waarop PAQT je applicatie continu in de gaten houdt.

Lees meer over software security

Terug naar overzicht

Kies voor zekerheid

Verzeker je van kwaliteit en duurzaamheid. Wij maken het makkelijk voor je.

Start today

Neem contact op

Je bereikt me het snelst door te bellen naar 06 43 09 10 30

Vul je het formulier hiernaast in, dan reageer ik uiterlijk de eerstvolgende werkdag.
Een bericht via mail of LinkedIn kan natuurlijk ook.

Tot binnenkort!

Maurits Dijkgraaf