OWASP Top 10 2025 Training Cursus

A01:2025 - Gebroken Toegangscontrole
A02:2025 - Beveiligingsmisconfiguratie
A03:2025 - Software Supply Chain Falen
A04:2025 - Cryptografische Falen
A05:2025 - Injectie
A06:2025 - Onveilige Ontwerp
A07:2025 - Authenticatiefalen
A08:2025 - Software- of Dataintegriteitsfalen
A09:2025 - Beveiligingslogboek- en -waarschuwingsfalen
A10:2025 - Misbehandeling van uitzonderlijke situaties

A01:2025 Gebroken Toegangscontrole - Toegangscontrole handhaaft beleid zodanig dat gebruikers niet buiten hun bedoelde machtigingen kunnen handelen. Mislukkingen leiden meestal tot ongeautoriseerde informatie-ontdisclosuur, wijziging of vernietiging van alle gegevens, of het uitvoeren van een zakelijke functie buiten de grenzen van de gebruiker.

A02:2025 Beveiligingsmisconfiguratie - Een beveiligingsmisconfiguratie is wanneer een systeem, toepassing of cloudservice incorrect is ingesteld vanuit het perspectief van de beveiliging, waardoor kwetsbaarheden ontstaan.

A03:2025 Software Supply Chain Falen - Software supply chain falen zijn storingen of andere compromissen in het proces van het bouwen, distribueren of updaten van software. Ze worden vaak veroorzaakt door kwetsbaarheden of malafide wijzigingen in derden code, tools of andere afhankelijkheden waarop het systeem leunt.

A04:2025 Cryptografische Falen - Over het algemeen moet alle gegevens in transit op transportlaag (OSI laag 4) worden versleuteld. Vorige hindernissen zoals CPU-prestaties en management van privé sleutels/certificaten worden nu aangepakt door CPUs met instructies die bedoeld zijn om versleuteling te versnellen (bijv. AES-ondersteuning) en het beheer van privé sleutels en certificaten wordt vereenvoudigd door services zoals LetsEncrypt.org, met grote cloudleveranciers die zelfs nog nauwkeuriger geïntegreerde certificaatbeheerservices bieden voor hun specifieke platforms. Naast het beveiligen van de transportlaag is het belangrijk te bepalen welke gegevens versleuteld moeten worden in rust, evenals welke gegevens extra versleuteling in transit (op applicatielaag, OSI laag 7) nodig hebben. Bijvoorbeeld, wachtwoorden, creditcardnummers, medische dossiers, persoonlijke informatie en zakelijke geheimen vereisen extra bescherming, vooral als die gegevens onder privacywetten vallen, zoals de Algemene Verordening Gegevensbescherming (AVG) van de EU of regelgevingen zoals het PCI Data Security Standard (PCI DSS).

A05:2025 Injectie - Een injectievulnerabiliteit is een systeemzwakte waardoor een aanvaller kwaadaardige code of opdrachten (zoals SQL- of shellcode) in de invoervelden van een programma kan invoeren, waarbij het systeem de code of opdrachten uitvoert alsof ze onderdeel zijn van het systeem. Dit kan rampzalige gevolgen hebben.

A06:2025 Onveilige Ontwerp - Onveilig ontwerp is een brede categorie die verschillende zwaktes vertegenwoordigt, uitgedrukt als “ontbrekend of oneffectief controleontwerp.” Onveilig ontwerp is niet de bron van alle andere Top Tien risicocategorieën. Noteer dat er een verschil bestaat tussen onveilig ontwerp en onveilige implementatie. We maken een onderscheid tussen ontwerpfouten en implementatiefouten omdat ze verschillende worteloorzaken hebben, op verschillende momenten in het ontwikkelingsproces plaatsvinden en verschillende herstelmethoden vereisen. Een veilig ontwerp kan nog steeds implementatiefouten hebben die leiden tot kwetsbaarheden die mogelijk kunnen worden uitgebuit. Een onveilig ontwerp kan niet worden opgelost door een perfecte implementatie, omdat de nodige beveiligingscontroles nooit zijn gecreëerd om specifieke aanvallen af te weren. Eén van de factoren die bijdraagt aan onveilig ontwerp is het gebrek aan zakelijke risicoprofilering inherent in de software of systeem dat wordt ontwikkeld, en daardoor het falen om te bepalen welk niveau van veiligheidsontwerp vereist is.

A07:2025 Authenticatiefalen - Wanneer een aanvaller in staat is een systeem ervan te overtuigen dat een ongeldig of incorrect gebruiker legitiem is, is deze kwetsbaarheid aanwezig.

A08:2025 Software- of Dataintegriteitsfalen - Software- en dataintegriteitsfalen hebben betrekking op code en infrastructuur die niet beschermt tegen ongeldig of onvertrouwd code of gegevens die als vertrouwd en geldig worden behandeld. Een voorbeeld hiervan is waar een toepassing vertrouwt op plugins, libraries of modules van onbetrouwbare bronnen, repositories en content delivery networks (CDNs). Een onveilige CI/CD-pijplijn zonder het consumeren en verstrekken van softwareintegriteitcontroles kan de mogelijkheid introduceren voor ongeautoriseerde toegang, onveilige of malafide code, of systeemcompromis. Een ander voorbeeld hiervan is een CI/CD die code of artefacten uit onbetrouwbare plaatsen haalt en/of ze niet verifieert voordat ze worden gebruikt (door het handtekening te controleren of een vergelijkbare mechanisme).

A09:2025 Beveiligingslogboek- en -waarschuwingsfalen - Zonder logboeken en bewaking kunnen aanvallen en inbreuken niet worden gedetecteerd, en zonder waarschuwingen is het zeer moeilijk om snel en effectief te reageren tijdens een beveiligingsincident. Onvolledig logboek, continue monitoring, detectie en waarschuwing om actieve responsen te initiëren vindt plaats elke keer.

A10:2025 Misbehandeling van uitzonderlijke situaties - Misbehandeling van uitzonderlijke situaties in software gebeurt wanneer programma's niet voorkomen, detecteren en reageren op ongebruikelijke en onvoorspelbare situaties, wat leidt tot crashes, onverwacht gedrag en soms kwetsbaarheden. Dit kan een of meer van de volgende tekortkomingen omvatten: de toepassing voorkomt niet dat een ongebruikelijke situatie plaatsvindt, identificeert de situatie niet terwijl deze zich voordoet, en/of reageert slecht of helemaal niet op de situatie erna.

We zullen praktische aspecten bespreken en presenteren van:

Gebroken Toegangscontrole
- Praktische voorbeelden van gebroken toegangscontroles
- Veilige toegangscontroles en best practices

Beveiligingsmisconfiguratie
- Echte voorbeelden van misconfiguraties
- Stappen om misconfiguraties te voorkomen, inclusief configuratiemanagement en automatiseringstools

Cryptografische Falen
- Gedetailleerde analyse van cryptografische falen zoals zwakke versleutelingsalgoritmen of onjuist sleutelbeheer
- Belangrijkheid van sterke cryptografische mechanismen, veilige protocollen (SSL/TLS), en voorbeelden van moderne cryptografie in webveiligheid

Injectieaanvallen
- Gedetailleerde breuk van SQL, NoSQL, OS, en LDAP-injectie
- Verlichtingstechnieken met behulp van voorbereide instructies, parameterized queries, en invoer ontsnappen

Onveilige Ontwerp
- We zullen ontwerpfouten bespreken die tot kwetsbaarheden kunnen leiden, zoals onjuiste invoervalidatie
- We zullen strategieën voor veilig architectuur en veilige ontwerpprincipes bestuderen

Authenticatiefalen
- Algemene authenticatieproblemen
- Veilige authenticatiestrategieën, zoals multi-factor authenticatie en correct sessiebeheer

Software- en Dataintegriteitsfalen
- Focus op problemen zoals onvertrouwbare software-updates en gegevensvervalsing
- Veilige update-mechanismen en dataintegriteitcontroles

Beveiligingslogboek- en monitoringfalen
- Belangrijkheid van het logboeken van veiligheidsrelevante informatie en bewaking voor verdachte activiteiten
- Tools en praktijken voor juist logboeken en real-time monitoring om inbraken vroeg te detecteren