Wie zich verdiept in het verbeteren van de beveiliging van webapplicaties is als het goed is de OWASP Top 10 tegengekomen. Het is niet voor niets dat de OWASP Top 10 een veelgebruikte kapstok is voor het uitvoeren van webapplicatie pentests. Wat de OWASP Top 10 precies inhoudt? We vertellen het in dit artikel.
Wat is OWASP?
OWASP staat voor “Open Web Application Security Project.” Het doel van deze non-profitorganisatie? Het verbeteren van de beveiliging van (web)applicaties. OWASP biedt zoveel mogelijk gratis resources, tools en richtlijnen om organisaties hierbij te helpen.
OWASP is niet uit de lucht komen vallen. De oprichters van OWASP zagen dat veel organisaties worstelden met onderling vergelijkbare beveiligingsproblemen in hun webapplicaties. Dat was voldoende aanleiding om een gemeenschappelijk platform te creëren waar beveiligingsprofessionals, ontwikkelaars en experts kunnen samenwerkenom beveiligingsrisico’s in webapplicaties beter te begrijpen en aan te pakken.
De OWASP Top 10
OWASP is vooral bekend van de OWASP Top 10, een lijst met de meest kritieke beveiligingsrisico’s voor webapplicaties. OWASP houdt deze lijst up-to-date voor ontwikkelaars en beveiligingsprofessionals die zich bezighouden met webapplicaties.
Het doel van de OWASP Top 10 is om bewustzijn te creëren over de beveiligingsrisico’s en best practices te bevorderen. Alles om applicaties beter te beschermen tegen cyberaanvallen. De OWASP Top 10 is een prettig gestandaardiseerd kader om de beveiligingsstatus van webapplicaties te beoordelen en te verbeteren.
Buiten de OWASP Top 10 organiseert OWASP conferenties en trainingen om professionals webapplicatie beveiliging skills aan te leren.
Wat heeft de OWASP Top 10 met pentesten te maken?
Tijdens een pentest voeren ethisch hackers aanvalssimulaties uit om kwetsbaarheden in digitale systemen of netwerken praktijkgericht bovenwater te halen. Zo is er ook een webapplicatie pentest. Deze richt zich op – u raadt het al – de veiligheid van webapplicaties.
Bij deze pentest halen pentesters de OWASP Top 10 erbij om te beoordelen of webapplicaties en systemen kwetsbaarheden bevatten die verband houden met de meest kritieke beveiligingsrisico’s. Een goede pentest test dus altijd (minimaal) op de kwetsbaarheden in de OWASP Top 10.
De OWASP Top 10
De OWASP Top 10 is natuurlijk een vrij technisch verhaal, maar we hebben uiteraard ons best gedaan het in heldere taal op te sommen:
1. Broken Access Control
Toegangscontroles bepalen wie tot welke informatie en functies toegang krijgen. Een admin mag meer dan een gewone gebruiker. Maar als die toegangscontrole niet goed werkt, is dat voor aanvallers een kans om misbruik te maken. Dan is er de kans dat ze volledige rechten hebben over de webapplicatie en alles kunnen doen wat ze willen.
2. Cryptographic Failures
Een ander risico dat op de loer ligt bij webapplicaties is dat gevoelige gegevens onvoldoende beschermd zijn. Onversleutelde communicatie of op een andere manier inadequaat opgeslagen persoonlijke informatie zijn voorbeelden van Cryptographic Failures.
3. Injection
Dit is een aanval waarbij er (bijna) letterlijk een injectie plaatsvindt. Geen injectie met een injectiespuit, maar een injectie van ongewenste code in een invoerveld. Kwetsbare websites staan het invoeren van codes namelijk gewoon toe. Dat terwijl een invulformulier bijna altijd bedoeld is voor geschreven tekst.
Bij Cross-Site Scripting (XSS) voegen aanvallers bijvoorbeeld kwaadaardige scripts in in webpagina’s. Als die vervolgens worden bekeken door andere gebruikers, krijgt de aanvaller toegang tot diens gevoelige informatie of sessiegegevens.
4. Insecure Design
“Insecure Design” wijst op fundamentele ontwerpfouten die het gemakkelijk maken voor aanvallers om kwetsbaarheden in een applicatie te exploiteren. Het benadrukt hoe belangrijk security-minded zijn bij elke fase van de ontwikkeling van een applicatie wel niet is.
5. Security Misconfigurations
Er zijn een tal aan beveiligingsinstellingen mogelijk en nodig bij webapplicaties. Maar daar kan soms een foutje in sluipen. Een standaardwachtwoord dat bij livegang niet veranderd is bijvoorbeeld. Maar het kan ook verder gaan: bijvoorbeeld security instellingen die helemaal niet kloppen.
6. Vulnerable & Outdated Components
Een webapplicatie is op verschillende manieren op te bouwen. Bijvoorbeeld met Open Source onderdelen. Of eigen code. Bij deze kwetsbaarheid maakte de ontwikkelaar (per ongeluk) gebruik van verouderde of bekende kwetsbare componenten.
7. Identification & Authentication Failures
Onder deze noemer vallen alle kwetsbaarheden in de authenticatie en sessiebeheer. Denk aan zwakke wachtwoorden waardoor derden eenvoudig toegang krijgen, of slechte sessiebeheerimplementaties.
8. Software & Data Integrity Failures
Dit zijn fouten in de integriteit van de software en data. Kort door de bocht uitgelegd betekent dat, dat door de kwetsbaarheden aanvallers (in externe software modules van onbekende bronnen) in staat zijn wijzigingen aan te brengen in de applicatie.
9. Security Logging and Monitoring Failures
Nummer 10 bouwt voort op nummer 6. Binnen een goed beveiligingsbeleid valt namelijk het loggen en monitoren van gebeurtenissen binnen de webapplicatie. Die logs zijn namelijk een bron van informatie. Gaat er iets mis? Of dreigt er iets mis te gaan? Dan zijn de logs het geheugen: die kunnen vertellen wat er gebeurd is of gaande is. Als er dus geen sprake is van logging, of als de logs niet goed bewaard of gebruikt worden, is dat dus een kwetsbaarheid.
10. Server-Side Request Forgery (SSRF)
Aanvallers misleiden de server van een webapplicatie om verzoeken te sturen naar interne systemen of externe servers, vaak zonder medeweten van de gebruiker. Zo krijgen ze mogelijk toegang tot bronnen waar ze niet bij horen te komen, wat kan leiden tot datadiefstal, systeemcompromissen en andere beveiligingsproblemen.
Loop uw webapplicatie geregeld na
De OWASP Top 10 is er niet voor niets. Doordat webapplicaties continu in beweging zijn (aanpassingen in functionaliteiten, bugfixes en andere updates), sluipen kwetsbaarheden er continu in. Soms zelfs al in het ontwikkelproces!
Maak gebruik dus van deze kennis en loop uw webapplicatie geregeld na, of besteed het uit aan bijvoorbeeld een pentester.
IP4Sure biedt pentesten aan als dienst en heeft het CCV Keurmerk Pentesten.
