Wat is OWASP top 10?
Jeroen
Laatste update 3 jaar geleden
De OWASP top 10 is een korte lijst met belangrijkste aandachtspunten voor het veilig houden van je website. Deze lijst gebruiken wij ook als uitgangspunten zodra wij uitgebreide beveiliging moeten toepassen op een website. De huidige top 10 heeft de volgende onderdelen:
1 Injection flaws
We controleren op injectie kwetsbaarheden zoals sql injectie. Niet-geverifieerde data kan door een hacker worden verzonden. Deze data kan onbedoelde commando’s uitvoeren of ongeautoriseerde toegang tot gegevens verschaffen.
2 Broken Authentication
Authenticatie Controle- en sessiebeheer mechanismen kunnen vaak beter geïmplementeerd worden waardoor aanvallers de identiteit van andere gebruikers niet kunnen overnemen.
3 Sensitive Data Exposure
Veel standaard plug-ins en applicaties beschermen gevoelige gegevens onvoldoende. Gevoelige persoonsgegevens moeten extra worden beschermd door middel van versleuteling of andere speciale voorzorgsmaatregelen.
4 XML External Entities (XXE)
Verouderde of slecht geconfigureerde xml-verwerkers staan soms het laden van externe entiteiten toe. Aanvallers kunnen dit misbruiken om bijvoorbeeld toegang tot lokale bestanden te krijgen of DoS-situaties te creëren om het systeem (tijdelijk) onbruikbaar te maken.
5 Broken Access Control
Beperkingen wat een gebruiker wel of niet mag uitvoeren binnen een applicatie worden in veel gevallen niet correct afgedwongen. Aanvallers kunnen deze fouten misbruiken om toegang te krijgen tot functionaliteit en/of informatie zonder dat ze hiertoe geautoriseerd zijn.
6 Security Misconfiguration
Goede beveiliging vereist een correcte configuratie die wordt afgestemd op de applicatie, frameworks, applicatieserver, webserver, database server en platform. Beveiligingsinstellingen moeten worden gedefinieerd, geïmplementeerd en onderhouden omdat deze standaards vaak onveilig zijn. Daarnaast moet alle software zoals WordPress en gebruikte plug-ins up-to-date zijn.
7 Cross-Site Scripting XSS
We spreken van xss-injectie als een applicatie gegevens zonder filtering en/of encodering naar een web browser zendt. xss-injectie stelt aanvallers in staat om scripts uit te voeren, gebruikerssessies te kapen, websites te beschadigen of de gebruiker naar andere sites te leiden.
8 Insecure Deserialization
Applicaties converteren objecten alvorens deze worden opgeslagen. Het terug converteren van deze objecten gebeurt vaak onveilig en kan worden misbruikt om os commando’s uit te voeren.
9 Using Components with Known Vulnerabilities
Componenten zoals libraries, frameworks en andere software-modules draaien vaak met volledige autorisatie. Componenten met reeds bekende kwetsbaarheden ondermijnen de beveiliging van de applicatie en faciliteren een scala aan mogelijke aanvallen. Denk hierbij aan verouderde plug-ins en javascript
10 Insufficient Logging & Monitoring
Een tekort aan logging en monitoring kan aanvallers de tijd geven zich dieper in een systeem te nestelen en proberen zich permanent toegang te verschaffen. Gemiddeld wordt een lek pas na 200+ dagen gedetecteerd.