De OWASP Top 10 is de meest erkende standaard voor beveiligingsrisico's van webapplicaties. Of u nu ontwikkelaar, beveiligingsengineer of bedrijfsleider bent — deze gids legt elke categorie uit met praktijkvoorbeelden, detectietechnieken en herstelstrategieën.
Een periodiek bijgewerkt bewustwordingsdocument dat de meest kritieke beveiligingsrisico's voor webapplicaties rangschikt. Gebaseerd op data-analyse van honderden organisaties, community-enquêtes en gegevens van echte inbreuken. Wordt gerefereerd door PCI DSS, DORA, NIS2 en veel industriestandaarden.
#1 meest voorkomende kwetsbaarheid — gevonden in 94% van geteste applicaties.
/api/users/123/profile naar /api/users/124/profile/admin/dashboard opentVoorheen "Blootstelling van gevoelige gegevens" — hernoemd om de focus op de oorzaak te leggen.
Verplicht overal HTTPS met HSTS. Gebruik AES-256, bcrypt/Argon2, SHA-256+. Hardcode nooit geheimen — gebruik Vault of AWS Secrets Manager. Versleutel gegevens in rust. Schakel TLS 1.0/1.1 uit.
De klassieke webkwetsbaarheid — na twee decennia nog steeds in de top 3.
' OR 1=1 -- en veel geavanceerdere aanvallenGeparametriseerde queries voor alle database-interacties. Invoervalidatie met allowlists. Uitvoercodering per context. Content Security Policy-headers. Database-accounts met minimale rechten. Consistent gebruik van ORM's.
Nieuwe categorie — ontwerpfouten, geen implementatiebugs.
Oplossing: Integreer dreigingsmodellering (STRIDE, PASTA) in de ontwerpfase. Gebruik veilige ontwerppatronen. Schrijf misbruikscenario's naast gebruiksscenario's.
Gevonden in 90% van geteste applicaties.
Herhaalbaar verhardingsproces. Verwijder alle overbodige functionaliteit. Implementeer alle beveiligingsheaders. Automatiseer configuratiebeheer met IaC. Regelmatige configuratieaudits. Gebruik CSPM voor de cloud.
Oplossing: Onderhoud een componentinventaris (SBOM). Monitor continu CVE-databases. Verwijder ongebruikte afhankelijkheden. Automatiseer updates met Dependabot/Renovate.
Implementeer MFA. Verplicht sterke wachtwoorden met controle tegen lekdatabases. Rate limiting op authenticatie-eindpunten. Veilig sessiebeheer (willekeurige ID's, HTTPOnly/Secure-vlaggen). Ongeldigverklaring van sessies bij uitloggen/wachtwoordwijziging.
Oplossing: Digitale handtekeningen op alle software/gegevens. Subresource Integrity (SRI) voor externe bronnen. Beveilig CI/CD met toegangscontroles en ondertekening. Vermijd onveilige deserialisatie — gebruik JSON.
Gemiddelde tijd om een inbreuk te identificeren: 204 dagen (IBM 2024). Zonder adequate logging kunnen aanvallers persistentie vestigen, gegevens exfiltreren en hun positie uitbreiden — allemaal zonder alarm te slaan.
Oplossing: Log alle authenticatiegebeurtenissen, mislukte toegangscontroles en invoervalidatiefouten. Voeg context toe (tijdstempel, gebruiker, IP, actie). Centraliseer logs in een manipulatiebestendig SIEM. Implementeer geautomatiseerde waarschuwingen. Test detectiecapaciteiten regelmatig.
Nieuwe categorie — toegevoegd vanwege toenemende prevalentie in cloud-native architecturen.
http://169.254.169.254/ voor IAM-inloggegevensValideer alle door gebruikers aangeleverde URL's aan de serverzijde. Gebruik allowlists voor toegestane domeinen. Blokkeer privé-IP-bereiken (10.x, 172.16.x, 169.254.x, 127.x). Schakel onnodige URL-schema's uit (file://, gopher://). Gebruik IMDSv2 op AWS. Segmenteer URL-ophaalservices.
| OWASP-categorie | KENSAI-dekking |
|---|---|
| A01 Gebroken toegangscontrole | IDOR-testen, autorisatiebypass, CORS-controles |
| A02 Cryptografische fouten | TLS-analyse, headercontroles, versleutelingsverificatie |
| A03 Injectie | SQL, XSS, commando-injectie, SSTI, header-injectie |
| A04 Onveilig ontwerp | Rate limiting, voorspelbare bronnen, logicatesten |
| A05 Beveiligingsmisconfiguratie | Headers, standaardwaarden, informatielekken, HTTP-methoden |
| A06 Kwetsbare componenten | Technologiefingerprinting, 332K+ CVE-database |
| A07 Authenticatiefouten | Standaardinloggegevens, sessietesten, cookie-analyse |
| A08 Integriteitsfouten | SRI-controles, deserialisatietesten |
| A09 Loggingfouten | Beveiligingsheaderanalyse, foutafhandelingsreview |
| A10 SSRF | Intern eindpuntinjectie, cloud-metadatatesten |
Gratis scan — geen verplichting, geen creditcard vereist. AI-gestuurde DAST met compliance-klare rapportage.
Start gratis scan →Gebroken toegangscontrole (A01) — gevonden in 94% van geteste applicaties. Het steeg van positie 5 naar positie 1, wat wijst op wijdverbreid falen in het handhaven van autorisatie, met name in API's en SPA's.
De OWASP Top 10 zelf is vrijwillig. Het wordt echter gerefereerd door PCI DSS (vereist het aanpakken van de OWASP Top 10), NIS2 (verwacht systematisch kwetsbaarheidsbeheer), DORA (verwijst naar industriestandaard-testen) en veel leveranciersbeoordelingen. In de praktijk is het effectief verplicht.
Geautomatiseerde DAST-tools detecteren de meeste categorieën effectief — vooral injectie (A03), cryptografische fouten (A02), misconfiguratie (A05) en kwetsbare componenten (A06). Sommige categorieën zoals onveilig ontwerp (A04) en loggingfouten (A09) vereisen vaak handmatige beoordeling. Gebruik geautomatiseerde scanning voor breedte + handmatige testen voor diepte.
Elke 3–4 jaar. Belangrijke releases: 2013, 2017, 2021. Elke update weerspiegelt verschuivingen in het dreigingslandschap — de update van 2021 introduceerde onveilig ontwerp (A04) en SSRF (A10) terwijl andere categorieën werden herschikt.
Beveiliging is niet optioneel.
🗡️ Het KENSAI Team
Get a free security scan of your website in 60 seconds
Free Security Scan →