Beheer

Security
lek

Eindelijk weer update voor OWASP Top 10

Meer aandacht voor API's belangrijkste aanvulling

10 mei 2017

Meer aandacht voor API's belangrijkste aanvulling

OWASP heeft na vier jaar een update uitgebracht van zijn fameuze top 10 van de grootste beveiligingsrisico's voor webapplicatiebeveiliging. Een belangrijke wijziging is de toevoeging van API’s. Maar verder is er weinig veranderd.

OWASP (Open Web Application Security Project) is een online community die methodes, documentatie, tools en technologieën publiceert ter verbetering van webapplicatiebeveiliging. OWASP is in 2001 opgericht en heeft inmiddels in 200 landen afdelingen. Ruim 42.000 vrijwilligers helpen hierbij mee.  

Een belangrijke publicatie is de OWASP Top 10, die ooit is opgezet als hulp voor ontwikkelaars zodat zij veel gemaakte programmeerfouten kunnen vermijden. De eerste versie werd in 2003 gepubliceerd. De publicatie van deze update heeft langer geduurd dan gemiddeld. De update die nu is uitgebracht is een eerste versie, waar critici zich nog enkele maanden over kunnen buigen. Pijnlijk is echter wel dat het gros van de punten uit de Top 10 nog altijd geldt. De top 3 bestaat al jaren uit code injectie, broken authentication and session management en cross-site scripting.

Niet echt weg

Drie punten zijn van de lijst verdwenen, maar twee daarvan zijn opgenomen in twee nieuwe toevoegingen aan de lijst. Daarbij gaat het om Insecure Direct Object References, dat nu is ondergebracht bij Insufficient Attack Protection. En Missing Function Level Access Control valt nu onder Broken Access Control.

Het enige echt nieuwe punt is dus nummer 10: Underprotected API’s. OWASP stelt dat het gebruik van API’s in moderne software explosief is toegenomen. “API’s werken met een grote variëteit aan protocollen en data formats terwijl ze zelf vaak niet beschermd zijn en veel lekken bevatten. Traditionele beveiligingstools en penetratietesten die met de hand worden gedaan hebben er vaak moeite mee om API’s te analyseren omdat de protocollen en frameworks zo complex zijn. Daardoor wordt de beveiliging van API’s verwaarloosd.”

De nieuwe versie van de lijst kan hier gedownload worden. OWASP wil in juli of augustus van dit jaar de definitieve versie publiceren. Wie 'constructief commentaar' heeft op de huidige versie, kan dit kwijt op de OWASP Top 10 Project Email-lijst.

 

OWASP Top 10

'Het werkt'

OWASP wil met de lijst vooral de bewustwording van beveiligingsrisico's rondom webapplicaties vergroten. De organisatie laat weten dat dit lijkt te werken. "In de update van 2013 was de belangrijkste wijziging de toevoeging van 2013-A9 Use of Known Vulnerable Components. Wij zijn blij dat sinds die release een groot econosysteem van zowel gratis als commerciële tools is ontstaan om dit probleem op te lossen. Want het gebruik van open-sourcecomponenten is heel snel toegenomen in bijna alle programmeertalen. De data suggereren dat het gebruik van kwetsbare componenten nog doorgaat, maar dat het wel afneemt." En dat is voor een belangrijk deel te danken aan de toevoeging van dit risico aan de OWASP Top 10 in 2013, meent de organisatie. 

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen