OWASP Top 10 krijgt eerste update in vier jaar tijd

De OWASP Top 10 werd ooit opgezet als hulp voor ontwikkelaars, zodat zij veel gemaakte programmeerfouten kunnen vermijden. De laatste update aan de lijst was in 2017, en in die tijd blijkt er veel te zijn veranderd in het securitylandschap. Zo staat Broken Access Control nu bovenaan de lijst, terwijl deze kwetsbaarheid in 2017 nog op de vijfde plek werd gezet. Met toegangscontrole wordt gezorgd dat gebruikers geen dingen kunnen doen waar ze geen toestemming voor hebben. Maar het komt regelmatig voor dat dit fout gaat. Sterker nog: volgens OWASP is 94% van alle apps getest op een vorm van kapotte toegangscontrole.

Op de tweede plaats staan nu cryptografische fouten, die in de vorige lijst nog onder de noemer 'Sensitive Data Exposure' op plaats drie stonden. De reden dat de naam veranderd is, is omdat het lekken van gevoelige data meer een symptoom is dat een oorzaak, aldus OWASP. De nieuwe focus ligt nu op fouten die gerelateerd zijn aan cryptografie, die er vaak toe leiden dat gevoelige data lekt of een systeem gecompromitteerd wordt. 

Injectie - waar cross-site scripting nu ook onderdeel van is geworden - staat op de derde plek. De top vijf wordt verder afgemaakt door de nieuwe categorie onveilig ontwerp en de categorie verkeerde beveiligingsconfiguraties, die een plek gestegen is sinds 2017. 

Kwetsbare componenten en verkeerde logging

Ook in de tweede helft van de top tien zitten significante verschillen ten opzichte van 2017. Op de zesde plaats staat nu bijvoorbeeld de categorie 'kwetsbare en verouderde componenten', die eerder op de negende plek stond onder de noemer 'het gebruik van componenten met bekende kwetsbaarheden'. 

Maar de grootste aandachtstrekker in dit deel van de top tien, is de categorie 'identificatie- en authenticatiefouten'. Deze categorie stond in 2017 nog op de tweede plaats in de lijst, maar komt nu uit op nummer zeven. OWASP geeft als verklaring dat er meer gestandaardiseerde frameworks beschikbaar zijn geworden, waardoor de problemen minder voor lijken te komen. 

Verder staat de nieuwe categorie 'software- en data-integriteitsfouten' op de achtste plek, gevolgd door fouten in security logging en monitoring, en Server-Side Request Forgery.