De 'Open Web Application Security Project', beter bekend als OWASP, is een non-profitorganisatie die zich inzet voor het verbeteren van software veiligheid. Dit doen ze door, samen met hun honderden afdelingen verspreid over de hele wereld, na te denken over hoe de IT-industrie de veiligheid van hun software kan waarborgen. Hiervoor brengen ze tools uit, geven ze conferenties en stellen ze controlelijsten op die ontwikkelaars kunnen raadplegen tijdens hun dagelijkse werkzaamheden. De OWASP Top 10 is een van de controlelijsten die ook door de security-specialisten van Computest wordt gebruikt.
In de OWASP Top 10 heeft het OWASP team gekeken naar de tien meest impactvolle categorieën beveiligingsrisico's die een applicatie kan bevatten. Zelf noemen ze het een 'awareness document' die bedrijven moeten integreren in hun werkzaamheden om zo waakzaam te blijven voor deze kwetsbaarheden en ze waar mogelijk meteen te mitigeren.
Waarvoor gebruik je de OWASP Top 10?
De OWASP Top 10 is geen officiële standaard, het is een 'awareness document' dat regelmatig wordt gebruikt door organisaties en cybersecurity-experts om de beveiligingsrisico's te classificeren. Het biedt inzicht in de tien meest kritieke categorieën kwetsbaarheden, waar per categorie beknopt wordt uitgelegd wat de kwetsbaarheid inhoud, hoe een mogelijk aanvalsscenario eruit zou kunnen zien en hoe je de risico’s kunt voorkomen. Het document is echter niet heel specifiek als het gaat om hoe een technisch persoon dit op applicatieniveau moet aanpakken, maar biedt wel een aantal 'best practices'.
Biedt de OWASP Top 10 voldoende inzicht?
De OWASP Top 10 dekt niet alle bestaande beveiligingsrisico's, maar vertegenwoordigt de meest relevante categorieën kwetsbaarheden op het moment van de publicatie van de rating. Bij Computest maken de security-specialisten uiteraard gebruik van de OWASP Top 10 controlelijst, maar testen zij applicaties nooit enkel op deze tien bekende categorieën kwetsbaarheden. Onze security-specialisten werken tijdens het uitvoeren van een pentest ook met de checklists van Certified Secure om een meer uitputtend onderzoek te kunnen doen en een completer beeld van de beveiligingsrisico's te kunnen geven. In onze rapportages voorzien we alle kwetsbaarheden van een Common Vulnerability Scoring System (CVSS) score voor transparantie en snel inzicht.
Zijn er ook alternatieven voor de OWASP Top 10?
Naast de OWASP Top 10 zijn er ook nog andere alternatieven, die allemaal hetzelfde doel hebben; inzicht bieden in de meest voorkomende kwetsbaarheden. Een voorbeeld hiervan is de SANS institute Top 25 Software Errors (SANS CWE 25), die op basis van actuele data uit de U.S. National Vulnerability Database een lijst opstelt van de vijfentwintig meest voorkomende kwetsbaarheden. Het verschil tussen deze lijst en de OWASP Top 10 is dat er in de SANS CWE 25 wordt gekeken naar technisch inhoudelijke kwetsbaarheden en de OWASP Top 10 kijkt naar algemene categorieën waar soortgelijke inhoudelijke kwetsbaarheden onder zouden vallen.
Is de OWASP Top 10 nog relevant?
Ook in deze tijd is de OWASP Top 10 zeker nog relevant. Hoewel de software development-wereld geen dag stil staat, blijven de securityrisico's vrijwel gelijk. Daarom is het belangrijk om binnen iedere software development organisatie een lijst als OWASP Top 10 te gebruiken als leidraad voor de dagelijkse ontwikkelwerkzaamheden.
Wanneer er binnen een organisatie behoefte is aan meer zekerheid wat betreft de software die wordt opgeleverd, kan er naast de OWASP Top 10 ook gebruik gemaakt worden van de OWASP Application Security Verification Standard (ASVS). Dit document biedt een controlelijst waarin stap-voor-stap de beveiligingsvereisten voor applicaties en de tests worden doorlopen die gebruikt kunnen worden door software architecten, ontwikkelaars, testers en beveiligingsprofessionals om te definiëren in welke mate beveiliging van toepassing is binnen een applicatie.
Kritische geluiden over de OWASP Top 10
De OWASP Top 10 is sinds de veranderingen in 2017 onderhevig aan kritiek van de cybersecurity gemeenschap. Een van de claims gaat bijvoorbeeld over item 10 'Insufficient Logging and Monitoring'. Dit item is geen webapplicatie kwetsbaarheid, maar een controle op het niet naleven van een best practise en valt daarmee buiten de andere items van de OWASP Top 10. Bovendien is dit item lastig te testen middels een pentest; hoe kan er gecontroleerd worden tijdens een pentest of de organisatie die de test laat uitvoeren ook monitort en logt wat er gedaan wordt?
Critici claimen dat dit item (en andere items) op de lijst zijn gezet door invloed van commerciële bedrijven, waaronder bedrijven die OWASP sponsoren. Dit zou ten koste gaan van andere veelvoorkomende problemen, zoals Cross-site Request Forgery (CSRF), een probleem dat van de controlelijst is afgehaald.