De OWASP top tien 2021

Wat is OWASP? OWASP (Open Web Application Security Project) is een non-profit organisatie die zich richt op het verbeteren van de beveiliging van websites. Ze bieden open-source softwareontwikkelingsprogramma’s, projecten, toolkits,

OWASP-top-10

Wat is OWASP?

OWASP (Open Web Application Security Project) is een non-profit organisatie die zich richt op het verbeteren van de beveiliging van websites. Ze bieden open-source softwareontwikkelingsprogramma’s, projecten, toolkits, lokale afdelingen, conferenties, artikelen, video’s, forums, methodologieën, documentatie en technologieën aan hun gemeenschap. Ze bieden al deze tools en kennis gratis en gemakkelijk toegankelijk voor iedereen die geïnteresseerd is in de beveiliging van websites. Een van hun belangrijkste projecten is de OWASP top tien. Voor OWASP waren er niet veel tools of kennis beschikbaar over cyberbeveiliging. Met OWASP begon de gemeenschap te leren hoe ze hun code konden beschermen tegen kwetsbaarheden, softwareversleuteling konden versterken en het aantal bugs in hun code konden verminderen.

webtoepassingen owasp

Wat is OWASP top tien?

De OWASP top tien is een document waarin de top tien van meest kritieke veiligheidslekken op websites wordt weergegeven. Het toont de risico’s, gevolgen en tegenmaatregelen. Deze lijst is opgesteld door websitebeveiligingsdeskundigen van over de hele wereld. De kwetsbaarheden worden gerangschikt op basis van de ernst van de kwetsbaarheden, de frequentie van de ontdekte beveiligingsrisico’s en de omvang van de potentiële impact. OWASP raadt alle bedrijven aan om de bevindingen van het rapport en de aanbevelingen van OWASP op te nemen in hun beveiligingsprocessen voor websites om de beveiligingsrisico’s te minimaliseren. De OWASP top tien wordt elke drie tot vier jaar bijgewerkt. De laatste OWASP top tien werd uitgebracht in 2017, ze hebben onlangs ook een concept van de OWASP top tien 2021 uitgebracht. Sinds de laatste OWASP top tien is er het een en ander veranderd. Er zijn drie nieuwe categorieën. Vier categorieën veranderden van naam of scoping en sommige zijn nu gecombineerd.De OWASP top tien 2021 kwetsbaarheden zijn:

  • Gebroken toegangscontrole
  • Cryptografische storingen (vroeger: blootstelling aan gevoelige gegevens)
  • Injectie
  • Onveilig ontwerp (Nieuw)
  • Verkeerde configuratie van beveiliging
  • Kwetsbare en verouderde componenten (was vroeger: componenten gebruiken met bekende kwetsbaarheden)
  • Fouten bij identificatie en authenticatie (was vroeger: Gebroken authenticatie)
  • Fouten in software en gegevensintegriteit (nieuw)
  • Beveiligingslogboek en bewakingsfouten (was vroeger: Onvoldoende logboekregistratie en bewaking)
  • Server-Side Request Forgery (SSRF) (Nieuw)

Elke kwetsbaarheid wordt uitgelegd met een voorbeeld en OWASP-aanbevelingen.

kwetsbaarheden in owasp

De top tien van OWASP-kwetsbaarheden voor 2021

Cryptografische fouten

Wat is het?

Cryptografische mislukkingen zijn gecompromitteerde gegevens die beschermd hadden moeten worden. Dit is vooral een probleem met gegevens die onder de privacywetgeving vallen.

Voorbeelden:

  • Wachtwoorden
  • Creditcardnummers
  • Medische informatie
  • Geloofsbrieven
  • Burgerservicenummers
  • Persoonlijk identificeerbare informatie
  • Andere persoonlijke informatie
  • Bedrijfsgeheimen

OWASP-aanbevelingen:

  • Classificeer gegevens die worden gebruikt door een applicatie en identificeer welke gegevens gevoelig zijn.
  • Sla gevoelige gegevens niet onnodig op.
  • Versleutel alle gevoelige gegevens in rust. Versleutel alle gegevens onderweg met veilige protocollen. Gebruik geverifieerde versleuteling.
  • Gebruik goed sleutelbeheer. Genereer cryptografisch willekeurige sleutels en sla ze op in het geheugen als byte-arrays.
  • Schakel caching uit voor reacties die gevoelige gegevens bevatten.
  • Vereiste beveiligingscontroles toepassen volgens gegevensclassificatie.
  • Gebruik geen oude protocollen zoals FTP en SMTP voor gevoelige gegevens.
  • Gebruik sterke adaptieve en salted hashingfuncties met een werkfactor om wachtwoorden op te slaan.
  • Kies initialisatievectoren voor de juiste werkingsmodus.
  • Gebruik waar nodig cryptografische willekeurigheid op een niet-voorspelbare manier met lage entropie.
  • Vermijd verouderde cryptografische functies en opvulschema’s.
  • Controleer onafhankelijk de effectiviteit van de configuratie en instellingen.
cryptografische fouten

Injectie

Wat is het?

Deze kwetsbaarheid treedt op wanneer een webapplicatie ongeldige gegevens ontvangt van een hacker om het iets te laten doen waarvoor het niet is geprogrammeerd.

Voorbeeld:

SQL-injectie is een van de meest voorkomende injectiefouten. SQL-injectie wordt veroorzaakt door het gebruik van niet-vertrouwde gegevens bij de constructie van een kwetsbare SQL-aanroep. Het gebrek aan validatie en opschoning van de gegevens die door webapplicaties worden gebruikt, maakt de gegevens niet-vertrouwd. Dit betekent ook dat de kwetsbaarheid voor code-injectie aanwezig kan zijn op bijna elk type technologie met betrekking tot websites.

OWASP-aanbevelingen:

  • Houd gegevens gescheiden van commando’s en query’s.
  • Het gebruik van een veilige API verdient de voorkeur.
  • Gebruik positieve of “whitelist” server-side invoervalidatie.
  • Escape speciale tekens met een specifieke escape syntaxis.
  • LIMIT en andere SQL-besturingselementen binnen query’s gebruiken.
code-injectie

Onveilig ontwerp (Nieuw)

Wat is het?

Een onveilig ontwerp betekent een controleontwerp dat ontbreekt of niet effectief is. Onveilig ontwerp en onveilige implementatie zijn niet hetzelfde. Ze hebben verschillende oorzaken en oplossingen.

Voorbeeld:

Het falen om te bepalen welk niveau van beveiligingsontwerp nodig is.

OWASP-aanbevelingen:

  • Vereisten- en middelenbeheer, veilig ontwerp en een veilige ontwikkelingslevenscyclus implementeren.
  • Een veilige ontwikkelingslevenscyclus implementeren om privacy- en beveiligingscontroles te helpen instellen.
  • Gebruik een bibliotheek met veilige ontwerppatronen of kant-en-klare componenten.
  • Gebruik bedreigingsmodellering voor kritieke authenticatie, bedrijfslogica, toegangscontrole en sleutelstromen.
  • Beveiligingstaal en -controles integreren in gebruikersverhalen.
  • Integreer plausibiliteitscontroles op elk niveau van je applicatie.
  • Schrijf unit- en integratietests om te valideren dat alle kritieke flows bestand zijn tegen het bedreigingsmodel. Maak use-cases en misuse-cases.
  • Segregeer lagen op de systeem- en netwerklaag. Segregeer huurders robuust door het ontwerp in alle lagen.
  • Verbruik van bronnen beperken per gebruiker of dienst.

Verkeerde configuratie van beveiliging

Wat is het?

De zwakke plek in de beveiligingsconfiguratie treedt op wanneer een applicatie geen gecoördineerd, herhaalbaar configuratieproces voor applicatiebeveiliging heeft. Het kan worden aangevallen door zoveel mogelijk combinaties te proberen.

Voorbeeld:

Een van de meest voorkomende fouten bij de beveiliging van websites is het aanhouden van de standaardconfiguraties van het CMS.

OWASP-aanbevelingen:

  • Implementeer veilige installatieprocessen:
  • Een verhardingsproces automatiseren.
  • Zet een andere omgeving in die goed vergrendeld is.
  • Verwijder ongebruikte frameworks en functies.
  • Controleer en werk de configuraties bij voor alle updates, beveiligingsmeldingen en patches.
  • Controleer de machtigingen voor cloudopslag.
  • Implementeer een gesegmenteerde applicatiearchitectuur, met containerisatie, segmentatie of cloudbeveiligingsgroepen.
  • Stuur beveiligingsrichtlijnen naar klanten.
  • Implementeer een geautomatiseerd proces om de effectiviteit van de instellingen en configuraties in alle omgevingen te controleren.
veiligheidsfoutconfiguratie

Kwetsbare en verouderde onderdelen

Wat is het?

Tegenwoordig hebben zelfs eenvoudige websites veel kwetsbaarheden. Als je niet elk stukje software van een website bijwerkt, introduceer je vroeg of laat beveiligingsrisico’s voor je website.

OWASP-aanbevelingen:

  • Implementeer een patchbeheerproces:
  • Verwijder ongebruikte afhankelijkheden.
  • Maak een inventarisatie van zowel server-side als client-side componenten en hun afhankelijkheden.
  • Controleer algemene bronnen over kwetsbaarheden.
  • Koop alleen onderdelen van officiële bronnen.
  • Controleer op componenten en bibliotheken die niet worden onderhouden of die geen beveiligingspatches maken voor oudere versies.
  • Zorg voor een doorlopend plan voor triaging, monitoring en het toepassen van configuratiewijzigingen of updates gedurende de levensduur van de applicatie.

Fouten bij identificatie en verificatie

Wat is het?

Een zwakke authenticatie kan worden aangevallen met automatische of handmatige methoden. Op deze manier kan een aanvaller de controle krijgen over elk account dat hij wil of zelfs over het hele systeem.

Voorbeelden:

  • Onjuiste validatie van certificaat met host mismatch
  • Onjuiste verificatie
  • Sessie fixatie

OWASP-aanbevelingen:

  • Implementeer waar mogelijk multi-factor authenticatie.
  • Implementeer of lever geen standaard referenties.
  • Stem het beleid voor de complexiteit en rotatie van wachtwoorden af op het op feiten gebaseerde wachtwoordbeleid.
  • Gebruik dezelfde berichten voor alle uitkomsten om er zeker van te zijn dat je registratie, credential recovery en API-trajecten zijn beveiligd tegen aanvallen op accounttelling.
identificatie- en verificatiestoringen

Fouten in software en gegevensintegriteit (nieuw)

Wat is het?

Fouten in de integriteit van software en gegevens zijn kwetsbaarheden die te maken hebben met code en infrastructuur die geen bescherming bieden tegen integriteitsschendingen.

Voorbeelden:

  • Wanneer plugins, bibliotheken, modules uit repositories, niet-vertrouwde bronnen of content delivery netwerken worden gebruikt in de applicatie.
  • Wanneer er een onveilige pijplijn is, kan dit leiden tot de mogelijkheid van kwaadaardige code, systeemcompromittering of ongeautoriseerde toegang.
  • Updates worden gedownload zonder voldoende integriteitsverificatie en worden toegepast op de eerder vertrouwde toepassing.

OWASP-aanbevelingen:

  • Gebruik digitale handtekeningen of vergelijkbare mechanismen.
  • Zorg ervoor dat afhankelijkheden en bibliotheken vertrouwde opslagplaatsen gebruiken.
  • Controleer of componenten geen bekende kwetsbaarheden bevatten door ervoor te zorgen dat een tool voor de beveiliging van de softwareketen wordt gebruikt.
  • Zorg voor een beoordelingsproces voor configuratie- en codewijzigingen om de kans op kwaadaardige code te minimaliseren.
  • Zorg ervoor dat de pijplijn de juiste configuratie, scheiding en toegangscontrole heeft om de integriteit van de code te waarborgen.
storingen in software en gegevensintegriteit

Beveiligingslogboek en falende bewaking

Wat is het?

Beveiligingslogging en -monitoring falen wanneer er onvoldoende logging, detectie en monitoring is. Zonder voldoende logging en monitoring kunnen inbreuken niet worden gedetecteerd.

Voorbeelden:

  • Gebeurtenissen die gecontroleerd kunnen worden, worden niet gelogd.
  • Waarschuwingen en fouten genereren onduidelijke of geen logberichten.
  • Logs van applicaties en API’s worden niet gecontroleerd.
  • Logs worden alleen lokaal opgeslagen.
  • Geen geschikte waarschuwingsdrempel en reactie-escalatieprocessen aanwezig
  • Penetratietests en scans door dynamische tools voor het testen van applicatiebeveiliging triggeren geen waarschuwingen.
  • De applicatie kan actieve aanvallen niet in real-time detecteren.

OWASP-aanbevelingen:

  • Zorg ervoor dat alle fouten bij toegangscontrole, aanmelden en invoervalidatie aan de serverkant kunnen worden gelogd met voldoende gebruikerscontext.
  • Zorg ervoor dat logs worden gegenereerd in een formaat dat oplossingen voor logboekbeheer gemakkelijk kunnen gebruiken.
  • Voorkom aanvallen op de logboek- of monitoringsystemen door de logboekgegevens correct te coderen.
  • Voorkom geknoei of verwijdering door ervoor te zorgen dat transacties van hoge waarde een controlespoor met integriteitscontroles hebben.
  • Zorg voor effectieve bewaking en waarschuwingen.
  • Stel een respons- en herstelplan op voor incidenten.
storingen in het loggen en bewaken van de beveiliging

Server-Side Request Forgery (SSRF) (Nieuw)

Wat is het?

Een aanvaller kan een aangepast verzoek met de applicatie meesturen wanneer een webapplicatie een bron op afstand ophaalt zonder de door de gebruiker opgegeven URL te valideren.

OWASP-aanbevelingen:

  • De impact van SSRF verminderen. Functionaliteit voor toegang tot externe bronnen segmenteren in afzonderlijke netwerken.
  • Dwing “standaard weigeren” firewallbeleid of regels voor netwerktoegangsbeheer af. Blokkeer alles behalve essentieel verkeer.
  • Saniteer en valideer alle door de klant geleverde invoergegevens. Gebruik een positieve toestemmingslijst om het URL-schema, de poort en de bestemming af te dwingen. Stuur geen onbewerkte antwoorden naar cliënten. Schakel HTTP-omleidingen uit. Wees bewust van de URL-consistentie.
  • Implementeer geen andere beveiligingsrelevante diensten op front-systemen.
  • Gebruik netwerkversleuteling op onafhankelijke systemen voor frontends met specifieke en beheerbare gebruikersgroepen.

Ontdek Jimber Web Application Isolation

De Jimber Web Application Isolation beschermt je bedrijfsapplicaties met behulp van een container. Je gegevens worden geïnterpreteerd in de container en alleen de grafische visualisatie van die gegevens bereikt de eindgebruiker. Aanvallers kunnen alleen communiceren met de Jimber-laag, maar niet meer rechtstreeks met de API’s van de applicatie. Onze Web Application Isolation voldoet aan de hoogste eisen en garandeert de veiligheid van websites. De Jimber Web Application Isolation vermindert veel van de OWASP top tien 2021 kwetsbaarheden, doordat de API’s niet direct worden blootgesteld. Houd er rekening mee dat Jimber Web Application Isolation bovenop je huidige beveiligingsmaatregelen komt. Het kan niet alle mogelijke kwetsbaarheden tegenhouden. Het zal echter wel bestaande beveiligingsmaatregelen versterken en een sterke laag extra bescherming bieden.

owasp website beveiliging

Gebroken toegangscontrole

Omdat applicatie-isolatie niet binnen de app zelf werkt, kunnen we verbroken toegangscontrole niet voorkomen. Schermopnames kunnen echter wel laten zien wie de toegangscontrole heeft gebruikt.

Cryptografische fouten

Onze applicatie-isolatie kan niet beschermen tegen het lekken van gevoelige gegevens. Schermopname maakt het echter mogelijk om een spoor te achterhalen van de gegevens die door de gebruiker zijn benaderd.

Injectie

Door te voorkomen dat de gebruiker direct toegang heeft tot API’s, zal onze web app isolatie de meeste injectiemogelijkheden voorkomen. Het zal ook buffer overflow aanvallen voorkomen. Frontend bescherming / invoercontrole is nu beveiliging. We kunnen XSS niet volledig voorkomen. We kunnen echter wel voorkomen dat XSS toegang krijgt tot externe bronnen, en zo het lekken van gegevens voorkomen. We kunnen ook afwijkingen in het gegevensverkeer detecteren. Verder scannen we URL’s op scripting.

Verkeerde configuratie van beveiliging

Door niet toe te staan dat XML rechtstreeks naar de backend service wordt gestuurd, is XXE vrijwel onmogelijk. Het oppervlak voor beveiligingsfouten wordt veel kleiner, omdat optische beveiliging beveiliging beveiliging is.

Kwetsbare en verouderde onderdelen

Veel kwetsbare en verouderde componenten worden misbruikt door API’s rechtstreeks te benaderen. Deze specifieke invalshoek om kwetsbare en verouderde componenten aan te vallen wordt onmogelijk met Jimber Web Application Isolation.

Fouten bij identificatie en verificatie

Door oAuth of publieke/private sleutelauthenticatie te implementeren op je SaaS-applicatie of intranet kunnen we authenticatie met de hoogst mogelijke beveiliging beschermen.

Beveiligingslogboek en falende bewaking

Bovenop alle logging en monitoring in je software of service, kunnen we video-opname, logging van toetsenbord- en muisacties en het detecteren van anomalieën hierin toevoegen.Bekijk de Jimber Web Application Isolation op https://jimber.io/web-application-security/Readmeer over de OWASP top 10 van 2021 op hun website: https://owasp.org/Top10/

Find out how we can protect your business

In our demo call we’ll show you how our technology works and how it can help you secure your data from cyber threats.

Cybersecurity
Are you an integrator or distributor?

Need an affordable cybersecurity solution for your customers?

We’d love to help you get your customers on board.

checkmark

White glove onboarding

checkmark

Team trainings

checkmark

Dedicated customer service rep

checkmark

Invoices for each client

checkmark

Security and Privacy guaranteed