Kwart van de webapps bevat minste 8 kwetsbaarheden uit OWASP Top 10

  1. 15 feb 2017
  2. 0 reacties

25% van alle webapplicaties is nog steeds kwetsbaar voor tenminste acht beveiligingsproblemen uit de OWASP (Open Web Application Security Project) Top 10. 80% van de applicaties bevat tenminste één beveiligingslek.

Dit blijkt uit onderzoek van Contrast Security. De OWASP Top 10 is bedoeld om veelvoorkomende beveiligingsproblemen in kaart te brengen, zodat ontwikkelaars deze gericht kunnen aanpakken. In de praktijk blijkt het echter dus nog vaak fout te gaan. De top 5 meest voorkomende kwetsbaarheden zijn volgens het beveiligingsbedrijf:

  • Gevoelige data is toegankelijk (69% van de applicaties)
  • Cross-site request forgery (55% van de applicaties)
  • Gebrekkige authentificatie en sessiebeheer (41% van de applicaties)
  • Verkeerd geconfigureerde beveiliging (37% van de applicaties)
  • Het ontbreken van toegangscontrole op basis van functie (33% van de applicaties)

Zorgwekkend

In een reactie noemt Jeff Williams, CTO en medeoprichter van Contrast Security, de bevindingen uit het onderzoek zorgwekkend. Williams wijst erop dat deze kwetsbaarheden allen al ruim een decennium zijn gedocumenteerd in de OWASP Top 10. Desondanks komen de kwetsbaarheden nog steeds voor in moderne applicaties.

Het bedrijf heeft daarnaast de aanwezigheid van de verschillende kwetsbaarheden in de populaire programmeertalen Java en .NET in kaart gebracht. Hieruit blijkt dat cross-site request forgery vaker voorkomt bij Java-applicaties (69%) dan .NET-applicaties (31%). Java-applicaties (14%) hebben echter fors minder vaak te maken met verkeerd geconfigureerde beveiligingsfeatures dan .NET (73%). Dit is volgens Contrast Security vooral te danken aan het feit dat .NET-applicaties veel meer vertrouwd op configuratie dan Java-applicaties.

Code-injectie

Ook blijken .NET-applicaties (17%) minder vaak kwetsbaar te zijn voor de injectie van code dan Java-applicaties (38%). Contrast Security waarschuwt dat dit risico’s met zich meebrengt, aangezien de code-injectie als springplank voor grootschaligere cyberaanvallen kan dienen.

Dossiers
Meer over
Lees ook
Aanvallers kunnen vingerafdrukken stelen van Samsung Galaxy S5-gebruikers

Aanvallers kunnen vingerafdrukken stelen van Samsung Galaxy S5-gebruikers

Gebruikers van de Samsung Galaxy S5 kunnen hun smartphone beveiligen met een vingerafdruk. Dit blijkt echter risico op te leveren. Hackers zijn er namelijk in geslaagd vingerafdrukken uit te lezen vanaf de vingerafdrukscanner en kunnen hierdoor vingerafdrukken in handen krijgen. Het probleem is vorige week op ontdekt door de beveiligingsonderzoeke1

Beheerder: ‘Tor-maildienst SIGAINT mogelijk doelwit van inlichtingendienst’

Beheerder: ‘Tor-maildienst SIGAINT mogelijk doelwit van inlichtingendienst’

SIGAINT, een op het Tor-netwerkgebaseerde beveiligde e-maildienst, waarschuwt mogelijk doelwit te zijn geworden van een cyberaanval door een inlichtingendienst. De aanvallen zouden echter zijn mislukt. De e-maildienst SIGAINT is bedoeld om onder andere journalisten en activisten te beschermen tegen meekijkende ogen over overheden en inlichtingendi1

Tor-router Anonabox bevat ernstige beveiligingsfouten

Tor-router Anonabox bevat ernstige beveiligingsfouten

De Anonabox is een router die het dataverkeer van gebruikers via het anonimiseringsnetwerk Tor stuurt. Het blijkt echter niet goed gesteld te zijn met de beveiliging van de router. Aangezien de problemen niet via een update kunnen worden opgelost stuurt Anonabox alle getroffen klanten een nieuwe router. De routers blijken echter een ernstige kwets1