De Open Web Application Security Project, of OWASP, heeft na 4 jaar een nieuwe editie van haar top 10 uitgegeven. Deze lijst omvat de grootste bedreigingen en kwetsbaarheden binnen de online security, en wordt samengesteld door een internationaal team van security experts, en informatie die wordt opgedaan door discussies binnen de online security community. Hoewel de lijst geen officiële industriestandaard is, wordt hij door de manier waarop hij wordt samengesteld wel als dusdanig erkend door de community.

De nieuwe Top 10 wordt nog steeds aangevoerd door Injection, die al sinds de editie van 2010 op 1 staat. Verder zijn twee punten uit de lijst van 2013 samengevoegd tot 1 punt, Broken Access Control, en bevat de lijst 3 nieuwkomers: XML External Entities (XEE), Insecure Deserialisation, en Insufficient Logging & Monitoring.

Hieronder staat een overzicht van de complete Top 10, gevolgd door een korte uitleg van elk punt.

  1. Injection: code injecties, zoals SQL, NotSQL, OS, en LDAP injecties, staan al jaren met stip op de eerste plaats. Een code injectie vindt plaats wanneer een invoerveld onvoldoende is afgeschermd, en een aanvaller stukjes code kan laten uitvoeren via dat veld.
  2. Broken Authentication: Foutieve inlog- of authenticatiefunctionaliteit kan er voor zorgen dat aanvallers inloggegevens, wachtwoorden, tokens, of keys kunnen afvangen.
  3. Sensitive Data Exposure: Gevoelige gegevens zoals persoonsgegevens, medische informatie of financiële informatie worden niet veilig, of veilig genoeg, afgeschermd en opgeslagen.
  4. XML External Entities: XEE is een nieuwkomer in de lijst, en houdt in dat verouderde of slecht geconfigureerde XML processors referenties naar externe gegevens niet goed afhandelen en daardoor het uitlezen van gegevens of het uitvoeren van externe processen mogelijk maken.
  5. Broken Access Control: Dit punt is een samenvoeging van twee punten uit de OWASP Top 10 van 2013, Insecure Direct Object References en Missing Function Level Access Control. Broken Access Control houdt in dat er onvoldoende controle wordt uitgevoerd op de rechten van een gebruiker, waardoor een gebruiker bij data kan die buiten bereik zou moeten zijn. Dit kan inhouden dat de gegevens van andere gebruikers uit te lezen of zelfs te wijzigen zijn, maar ook dat een gebruiker data kan uitlezen of processen kan laten uitvoeren waar hij of zij geen toegang tot zou moeten hebben.
  6. Security Misconfiguration: Slechte beveiliging komt nog steeds het vaakst voor wanneer de configuraties niet goed zijn ingesteld, of simpele beveiliging zoals HTTPS niet goed is ingesteld. Ook het niet, of niet tijdig, updaten van software valt onder dit punt.
  7. Cross-Site Scripting: Een cross-site scripting kwetsbaarheid houdt in dat een webapplicatie een externe webpagina aanroept, zonder hier voldoende, of zelfs enige vorm van, bescherming en validatie op af te dwingen.
  8. Insecure Deserialisation: De tweede nieuwkomer in de lijst. Wanneer deserialisatie plaatsvindt zonder beveiliging, kan dit misbruikt worden voor remote code executions, injecties, of andere aanvallen.
  9. Using Components With Known Vulnerabilities: Wanneer er externe onderdelen gebruikt worden voor een applicatie, zoals libraries of frameworks, loopt de applicatie gevaar wanneer het externe onderdeel kwetsbaar blijkt te zijn, zelfs als de beveiliging van de applicatie zelf helemaal in orde is.
  10. Insufficient Logging and Monitoring: De laatste nieuwkomer in de lijst. Doordat beheerders van een applicatie onvoldoende controle uitoefenen op de bewegingen binnen hun systeem, kan een aanvaller soms wekenlang ongemoeid zijn gang gaan. Het inzetten van logging- en monitoring software kan hierbij helpen.

Lees relevante artikelen

Categorie  Bedrijfsnieuws SSL & Security | Tags  OWASP top 10 Security