De #1 kwetsbaarheid blijft ‘misconfiguratie’ (38%), zoals onjuiste machtigingen voor clouddiensten, standaardaccounts en actieve standaardwachtwoorden. Ondanks de toename van het belang ervan voor cyberveerkracht, wordt een goede basis van cyberhygiëne nog steeds niet toegepast. De cyberarmoedegrens wordt niet gehaald. ‘Inputvalidatie’ steeg van de derde naar de tweede plaats, gevolgd door problemen met ‘registratie en authenticatie’.
In vergelijking met het rapport van vorig jaar zien we een dalende trend bij ‘hoge’ en ‘kritieke’ kwetsbaarheden. Alle inspanningen om deze problemen aan te pakken hebben dus duidelijk een positief effect. Anderzijds is helaas nog altijd 25% van alle kwetsbaarheden kritiek of hoog.
Na het hertesten steeg het aantal onopgeloste met bijna 20%. Deze stijging kan worden toegeschreven aan de uitdagingen waarmee de respondenten worden geconfronteerd:
– Gebrek aan vaardigheiden om deze problemen op te lossen.
– Het probleem is inherent aan de toepassing/het systeem.
– De focus van ontwikkelaars ligt op het oplossen van kritieke en hoge kwetsbaarheden in plaats van middelmatige of lage.
Business logic flaws, meestal gevonden in web- en mobiele toepassingen, zijn kritieke en moeilijke te detecteren kwetsbaarheden. Ze maken misbruik van de beoogde bedrijfslogica om hun kwaadaardige doelen te bereiken. Veel voorkomende aanvalsvectoren die gericht zijn op bedrijfslogica zijn:
– Misbruik van authenticatielogica
– Misbruik van autorisatielogica
– Manipuleren van gebruikersinvoer
– Onverwachte gebruikersinvoer gebruiken
– Dwalen in de workflow
– Doorbreken van de bedoelde logica
U kunt zich tegen deze gebreken beschermen door actief (penetratie)tests te laten uitvoeren door ervaren deskundigen, bij de ontwikkeling van toepassingen rekening te houden met deze gebreken en gebruik te maken van application threat modelling.