← Terug naar Blog
Onderzoek 25 min leestijd

OWASP Top 10 2025: De complete gids voor beveiligingsrisico's van webapplicaties

De OWASP Top 10 is de meest erkende standaard voor beveiligingsrisico's van webapplicaties. Of u nu ontwikkelaar, beveiligingsengineer of bedrijfsleider bent — deze gids legt elke categorie uit met praktijkvoorbeelden, detectietechnieken en herstelstrategieën.

ℹ️ Wat is de OWASP Top 10?

Een periodiek bijgewerkt bewustwordingsdocument dat de meest kritieke beveiligingsrisico's voor webapplicaties rangschikt. Gebaseerd op data-analyse van honderden organisaties, community-enquêtes en gegevens van echte inbreuken. Wordt gerefereerd door PCI DSS, DORA, NIS2 en veel industriestandaarden.


A01 Gebroken toegangscontrole

#1 meest voorkomende kwetsbaarheid — gevonden in 94% van geteste applicaties.

⚠️ Praktijkvoorbeelden

  • IDOR: Het wijzigen van /api/users/123/profile naar /api/users/124/profile
  • Privilege-escalatie: Gewone gebruiker die /admin/dashboard opent
  • Ontbrekende functieniveau-toegangscontrole: API controleert authenticatie maar niet autorisatie
  • CORS-misconfiguratie: Kwaadaardige sites toestaan om geauthenticeerde verzoeken te doen

✅ Herstel

  • Implementeer toegangscontrole aan de serverzijde — vertrouw nooit op de clientzijde
  • Standaard weigeren — vereist expliciete toewijzingen
  • Implementeer goed RBAC of ABAC
  • Log en waarschuw bij mislukte toegangscontroles
  • Beperk API-toegang met rate limiting

A02 Cryptografische fouten

Voorheen "Blootstelling van gevoelige gegevens" — hernoemd om de focus op de oorzaak te leggen.

⚠️ Veelgemaakte fouten

  • Inlogpagina's die inloggegevens via onversleuteld HTTP verzenden
  • Ondersteuning van TLS 1.0/1.1 of zwakke cipher suites
  • Wachtwoorden opgeslagen met MD5 of SHA-1 in plaats van bcrypt/Argon2
  • Hardcoded versleutelingssleutels in broncode
  • Databaseback-ups zonder versleuteling

✅ Herstel

Verplicht overal HTTPS met HSTS. Gebruik AES-256, bcrypt/Argon2, SHA-256+. Hardcode nooit geheimen — gebruik Vault of AWS Secrets Manager. Versleutel gegevens in rust. Schakel TLS 1.0/1.1 uit.

A03 Injectie

De klassieke webkwetsbaarheid — na twee decennia nog steeds in de top 3.

Soorten injectie

  • SQL-injectie: ' OR 1=1 -- en veel geavanceerdere aanvallen
  • NoSQL-injectie: JSON-manipulatie van MongoDB/CouchDB
  • Commando-injectie: OS-commando's via applicatie-invoer
  • XSS: JavaScript injecteren — reflected, stored, DOM-gebaseerd
  • Template-injectie (SSTI): Code in server-side template-engines
  • Header-injectie: Manipulatie van HTTP-headers

✅ Preventie

Geparametriseerde queries voor alle database-interacties. Invoervalidatie met allowlists. Uitvoercodering per context. Content Security Policy-headers. Database-accounts met minimale rechten. Consistent gebruik van ORM's.

A04 Onveilig ontwerp

Nieuwe categorie — ontwerpfouten, geen implementatiebugs.

⚠️ Voorbeelden

  • Wachtwoord-resetflow die onbeperkte pogingen toestaat (geen rate limiting)
  • Clientzijde-handhaving van bedrijfsregels (prijsvalidatie in JS)
  • Enkele API-sleutel die zowel lees- als schrijftoegang geeft tot alle bronnen

Oplossing: Integreer dreigingsmodellering (STRIDE, PASTA) in de ontwerpfase. Gebruik veilige ontwerppatronen. Schrijf misbruikscenario's naast gebruiksscenario's.

A05 Beveiligingsmisconfiguratie

Gevonden in 90% van geteste applicaties.

⚠️ Veelvoorkomende misconfiguraties

  • Standaard beheerderswachtwoorden op databases en beheerpanelen
  • Directory listing, debug-eindpunten, uitgebreide foutmeldingen ingeschakeld
  • Ontbrekende beveiligingsheaders (CSP, X-Frame-Options, X-Content-Type-Options)
  • Publiek toegankelijke S3-buckets of Azure blobs
  • Overbodige HTTP-methoden (PUT, DELETE, TRACE) ingeschakeld

✅ Preventie

Herhaalbaar verhardingsproces. Verwijder alle overbodige functionaliteit. Implementeer alle beveiligingsheaders. Automatiseer configuratiebeheer met IaC. Regelmatige configuratieaudits. Gebruik CSPM voor de cloud.

A06 Kwetsbare en verouderde componenten

528
Gem. componenten/app
84%
Codebases met bekende kwetsbaarheden
48%
Hoog-risico kwetsbaarheden
252d
Gem. hersteltijd

⚠️ Bekende voorbeelden

  • Log4Shell (CVE-2021-44228): Kritieke RCE die miljoenen Java-apps trof
  • Spring4Shell (CVE-2022-22965): RCE in Spring Framework
  • jQuery XSS: Veel apps gebruiken nog steeds kwetsbare jQuery-versies

Oplossing: Onderhoud een componentinventaris (SBOM). Monitor continu CVE-databases. Verwijder ongebruikte afhankelijkheden. Automatiseer updates met Dependabot/Renovate.

A07 Identificatie- en authenticatiefouten

⚠️ Veelvoorkomende fouten

  • Credential stuffing: Geautomatiseerde aanvallen met gestolen wachtwoorden
  • Zwak wachtwoordbeleid (waardoor "password123" wordt toegestaan)
  • Sessiefixatie en ontbrekende sessieongeldigverklaring
  • Sessietokens zichtbaar in URL's
  • Ontbrekende MFA voor kritieke functies

✅ Preventie

Implementeer MFA. Verplicht sterke wachtwoorden met controle tegen lekdatabases. Rate limiting op authenticatie-eindpunten. Veilig sessiebeheer (willekeurige ID's, HTTPOnly/Secure-vlaggen). Ongeldigverklaring van sessies bij uitloggen/wachtwoordwijziging.

A08 Software- en gegevensintegriteitsfouten

⚠️ Praktijkaanvallen

  • SolarWinds (2020): Kwaadaardige code in een legitieme software-update — 18.000 organisaties getroffen
  • Onveilige deserialisatie: Willekeurige code-uitvoering via onvertrouwde gegevens
  • CI/CD-pipelinecompromittering: Codecov, ua-parser-js incidenten
  • Ontbrekende SRI: JS laden van CDN's zonder integriteitshashes

Oplossing: Digitale handtekeningen op alle software/gegevens. Subresource Integrity (SRI) voor externe bronnen. Beveilig CI/CD met toegangscontroles en ondertekening. Vermijd onveilige deserialisatie — gebruik JSON.

A09 Beveiligingslogging- en monitoringfouten

ℹ️ De kosten van blindheid

Gemiddelde tijd om een inbreuk te identificeren: 204 dagen (IBM 2024). Zonder adequate logging kunnen aanvallers persistentie vestigen, gegevens exfiltreren en hun positie uitbreiden — allemaal zonder alarm te slaan.

Oplossing: Log alle authenticatiegebeurtenissen, mislukte toegangscontroles en invoervalidatiefouten. Voeg context toe (tijdstempel, gebruiker, IP, actie). Centraliseer logs in een manipulatiebestendig SIEM. Implementeer geautomatiseerde waarschuwingen. Test detectiecapaciteiten regelmatig.

A10 Server-Side Request Forgery (SSRF)

Nieuwe categorie — toegevoegd vanwege toenemende prevalentie in cloud-native architecturen.

⚠️ Waarom SSRF gevaarlijk is

  • Capital One-inbreuk (2019): SSRF → AWS-metadata → 100M+ klantgegevens blootgesteld
  • Cloud-metadatadiefstal: Toegang tot http://169.254.169.254/ voor IAM-inloggegevens
  • Interne servicetoegang: API's, databases, beheerpanelen achter de firewall bereiken

✅ Preventie

Valideer alle door gebruikers aangeleverde URL's aan de serverzijde. Gebruik allowlists voor toegestane domeinen. Blokkeer privé-IP-bereiken (10.x, 172.16.x, 169.254.x, 127.x). Schakel onnodige URL-schema's uit (file://, gopher://). Gebruik IMDSv2 op AWS. Segmenteer URL-ophaalservices.


Hoe KENSAI scant op de OWASP Top 10

OWASP-categorieKENSAI-dekking
A01 Gebroken toegangscontroleIDOR-testen, autorisatiebypass, CORS-controles
A02 Cryptografische foutenTLS-analyse, headercontroles, versleutelingsverificatie
A03 InjectieSQL, XSS, commando-injectie, SSTI, header-injectie
A04 Onveilig ontwerpRate limiting, voorspelbare bronnen, logicatesten
A05 BeveiligingsmisconfiguratieHeaders, standaardwaarden, informatielekken, HTTP-methoden
A06 Kwetsbare componentenTechnologiefingerprinting, 332K+ CVE-database
A07 AuthenticatiefoutenStandaardinloggegevens, sessietesten, cookie-analyse
A08 IntegriteitsfoutenSRI-controles, deserialisatietesten
A09 LoggingfoutenBeveiligingsheaderanalyse, foutafhandelingsreview
A10 SSRFIntern eindpuntinjectie, cloud-metadatatesten
332K+
Gevolgde CVE's
10/10
OWASP-dekking
AI
Aangedreven nauwkeurigheid
€990
Startprijs/maand

Test uw app tegen de OWASP Top 10

Gratis scan — geen verplichting, geen creditcard vereist. AI-gestuurde DAST met compliance-klare rapportage.

Start gratis scan →

Veelgestelde vragen

Wat is de meest voorkomende OWASP-kwetsbaarheid?

Gebroken toegangscontrole (A01) — gevonden in 94% van geteste applicaties. Het steeg van positie 5 naar positie 1, wat wijst op wijdverbreid falen in het handhaven van autorisatie, met name in API's en SPA's.

Is OWASP Top 10-compliance verplicht?

De OWASP Top 10 zelf is vrijwillig. Het wordt echter gerefereerd door PCI DSS (vereist het aanpakken van de OWASP Top 10), NIS2 (verwacht systematisch kwetsbaarheidsbeheer), DORA (verwijst naar industriestandaard-testen) en veel leveranciersbeoordelingen. In de praktijk is het effectief verplicht.

Kunnen geautomatiseerde tools alle OWASP Top 10 detecteren?

Geautomatiseerde DAST-tools detecteren de meeste categorieën effectief — vooral injectie (A03), cryptografische fouten (A02), misconfiguratie (A05) en kwetsbare componenten (A06). Sommige categorieën zoals onveilig ontwerp (A04) en loggingfouten (A09) vereisen vaak handmatige beoordeling. Gebruik geautomatiseerde scanning voor breedte + handmatige testen voor diepte.

Hoe vaak wordt de OWASP Top 10 bijgewerkt?

Elke 3–4 jaar. Belangrijke releases: 2013, 2017, 2021. Elke update weerspiegelt verschuivingen in het dreigingslandschap — de update van 2021 introduceerde onveilig ontwerp (A04) en SSRF (A10) terwijl andere categorieën werden herschikt.

Beveiliging is niet optioneel.

🗡️ Het KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home