25% van de webapps bevat tenminste 8 kwetsbaarheden uit OWASP Top 10

  1. 15 feb 2017
  2. 0 reacties

25% van alle webapplicaties is nog steeds kwetsbaar voor tenminste acht beveiligingsproblemen uit de OWASP (Open Web Application Security Project) Top 10. 80% van de applicaties bevat tenminste één beveiligingslek.

Dit blijkt uit onderzoek van Contrast Security. De OWASP Top 10 is bedoeld om veelvoorkomende beveiligingsproblemen in kaart te brengen, zodat ontwikkelaars deze gericht kunnen aanpakken. In de praktijk blijkt het echter dus nog vaak fout te gaan. De top 5 meest voorkomende kwetsbaarheden zijn volgens het beveiligingsbedrijf:

  • Gevoelige data is toegankelijk (69% van de applicaties)
  • Cross-site request forgery (55% van de applicaties)
  • Gebrekkige authentificatie en sessiebeheer (41% van de applicaties)
  • Verkeerd geconfigureerde beveiliging (37% van de applicaties)
  • Het ontbreken van toegangscontrole op basis van functie (33% van de applicaties)

Zorgwekkend

In een reactie noemt Jeff Williams, CTO en medeoprichter van Contrast Security, de bevindingen uit het onderzoek zorgwekkend. Williams wijst erop dat deze kwetsbaarheden allen al ruim een decennium zijn gedocumenteerd in de OWASP Top 10. Desondanks komen de kwetsbaarheden nog steeds voor in moderne applicaties.

Het bedrijf heeft daarnaast de aanwezigheid van de verschillende kwetsbaarheden in de populaire programmeertalen Java en .NET in kaart gebracht. Hieruit blijkt dat cross-site request forgery vaker voorkomt bij Java-applicaties (69%) dan .NET-applicaties (31%). Java-applicaties (14%) hebben echter fors minder vaak te maken met verkeerd geconfigureerde beveiligingsfeatures dan .NET (73%). Dit is volgens Contrast Security vooral te danken aan het feit dat .NET-applicaties veel meer vertrouwd op configuratie dan Java-applicaties.

Code-injectie

Ook blijken .NET-applicaties (17%) minder vaak kwetsbaar te zijn voor de injectie van code dan Java-applicaties (38%). Contrast Security waarschuwt dat dit risico’s met zich meebrengt, aangezien de code-injectie als springplank voor grootschaligere cyberaanvallen kan dienen.

Meer over
Lees ook
Edwin Prinsen benoemd tot Managing Director van security-leverancier Cisco

Edwin Prinsen benoemd tot Managing Director van security-leverancier Cisco

Cisco maakt bekend dat Edwin Prinsen is benoemd tot Managing Director van Cisco Nederland. Prinsen volgt per 15 maart 2014 Coks Stoffer op, die het bedrijf in 2013 verliet. Prinsen is sinds oktober 2009 Managing Director van Imtech ICT Nederland, een van de grootste Europese technische dienstverleners op het gebied van ICT, elektrotechniek en wer1

'NSA kan offline systemen op kilometers afstand afluisteren'

'NSA kan offline systemen op kilometers afstand afluisteren'

De Amerikaanse inlichtingendienst NSA gebruikt radiogolven om systemen die niet met internet zijn verbonden te kunnen hacken. De onthulling bewijst opnieuw dat het offline houden van systemen geen garantie is voor een veilig systeem. The New York Times meldt op basis van NSA-documenten dat het programma voor het afluisteren van offline systemen d1

Van phishing verdachte student blijft voorlopig op vrije voeten

Van phishing verdachte student blijft voorlopig op vrije voeten

Een 24-jarige student van de Saxion Hogeschool in Deventer die door de Verenigde Staten (VS) wordt verdacht van deelname aan een phishingaanval blijft voorlopig op vrije voeten. Dit heeft het gerechtshof in Leeuwarden bepaald. De VS hebben om uitlevering van de 24-jarige Vietnamees die in Deventer studeert gevraagd. Het gerechtshof in Leeuwarden1