De 10 grootste gevaren in webapplicaties

Op Infosecurity.be gaf Sebastien Deleersnyder, beveiligingsdeskundige bij Zenitel en oprichter van de Benelux-tak van The Open Web Application Security Project, een update over de OWASP Top 10. De release candidate van de OWASP top 10 van 2010 werd in november 2009 voorgesteld op de OWASP AppSec DC Conference en bleef tot het einde van afgelopen jaar open voor commentaar. "We hebben daar heel wat feedback op gekregen, vooral bevestigend. De finale top 10 zal niet meer wijzigen, op enkele verschuivingen aan de onderkant na", aldus Deleersnyder. De publicatie van het finale document is gepland voor april.

Verschuiving

Deze OWASP top 10 is de vierde versie van het document, en in de loop der jaren heeft er volgens Deleersnyder een verschuiving plaatsgevonden in focus: "Terwijl de versies van 2004 en 2005 vooral op aanvallen gericht waren, bekeek de editie van 2007 de veiligheid van webapplicaties eerder vanuit het concept kwetsbaarheden, gaten in software die uitgebuit worden. In de huidige editie trekken we dit nog breder en bekijken we het totaalplaatje vanuit het standpunt van risico's." Om dit te benadrukken, is de naam van de OWASP top 10 voluit gewijzigd naar 'The Top 10 Most Critical Web Application Security Riks'.

'Injection' voert de lijst van beveiligingsrisico's aan. Bij een injectie brengt een aanvaller een applicatie ertoe om gebruikersinvoer als commando's uit te voeren. Zo is SQL-injectie nog altijd een veel voorkomend probleem. "Ik weet echt niet waarom", zegt Deleersnyder, "want deze fout is vrij eenvoudig te vermijden." De impact is gewoonlijk vrij ernstig: de aanvaller kan meestal de volledige database lezen of wijzigen, en heeft soms zelfs toegang tot het onderliggende besturingssysteem. Ook de klassieke cross-site scripting (XSS) aanval komt nog vrij vaak voor en heeft als typische impact het stelen van gebruikersgegevens of het forwarden van de gebruiker naar een louche website. Het levert een tweede plaats op in de OWASP top 10.