OWASP heeft haar Top10 aangepast. Op deze link vindt u de aangepaste Top 10. Het meest opvallend is dat er nieuwe nummer 1 is, en dat er drie nieuwkomers op de lijst zijn. Deze drie nieuwkomers worden hieronder toegelicht.
A04:2021: Insecure Design
Deze nieuwkomer richt zich op de risico’s die gerelateerd zijn aan ontwerpfouten. Daarom is het belangrijk om in ontwerptrajecten meer aandacht te besteden aan threat modelling, veilige ontwerppatronen, en referentie architecturen.
A08:2021-Software and Data Integrity Failures
Deze nieuwkomer geeft aan dat het belangrijk is om goed te kijken naar de manier waarop software beschikbaar wordt gesteld. Bijvoorbeeld of: -een aanvaller de structuur van de software kan herkennen en daardoor aanpassen. -er gebruik wordt gemaakt van plugins, libraries of modules van niet betrouwbare bronnen, repositories, en content delivery networks. -Er gebruik wordt gemaakt van een onbeveiligde CI/CD pipeline. -Er gebruik wordt gemaakt van het automatisch downloaden en updaten van functionaliteit zonder voldoende verificatie van de integriteit. Aanvallers kunnen zo potentieel hun eigen updates uploaden en distribueren.
A10:2021-Server-Side Request Forgery (SSRF)
SSRF-fouten treden op wanneer een webtoepassing een externe bron ophaalt zonder de door de gebruiker opgegeven URL te valideren. Hiermee kan een aanvaller de toepassing dwingen om een vervaardigde aanvraag naar een onverwachte bestemming te verzenden, zelfs als deze wordt beschermd door een firewall, VPN of een ander type netwerk-ACL. Aangezien moderne webtoepassingen eindgebruikers handige functies bieden, wordt het ophalen van een URL een veelvoorkomend scenario. Als gevolg hiervan neemt de incidentie van SSRF toe. Ook wordt de ernst van SSRF steeds hoger als gevolg van cloudservices en de complexiteit van architecturen.