OWASP Top 10:2025 - Relevante Risico's voor Publieke API's¶
← Terug naar hoofddocument | Bijlage bij Deelvraag 1
Dit is een bijlage bij Deelvraag 1 - OWASP Top 10 Analyse
Inhoud: Literatuurstudie over relevante OWASP Top 10:2025 risico's voor publieke API's.
Overzicht¶
De OWASP Top 10:2025 identificeert de meest kritieke beveiligingsrisico's voor webapplicaties. Voor publieke API's zonder authenticatie zijn bepaalde risico's extra relevant omdat API's direct toegankelijk zijn voor externe clients.
OWASP Top 10:2025 - Relevante Risico's¶
A05:2025 - Injection¶
Relevantie: Zeer Hoog
Beschrijving: SQL, NoSQL of command injection via user input. API's verwerken input direct zonder UI validatie, waardoor injectie aanvallen mogelijk zijn.
Voorbeelden:
- SQL injection via query parameters
- NoSQL injection (MongoDB)
- Command injection via API parameters
Impact: Hoge impact - kan leiden tot data lekken, ongeautoriseerde acties
A02:2025 - Security Misconfiguration¶
Relevantie: Hoog
Beschrijving: Onveilige configuratie van CORS, security headers, of debug settings. Default configuraties zijn vaak onveilig en kunnen de hele API blootstellen.
Voorbeelden:
- Ontbrekende security headers (CSP, X-Frame-Options)
- CORS te permissief ingesteld (
Access-Control-Allow-Origin: *) - Debug mode aan in productie
Impact: Medium-Hoog - kan leiden tot verschillende aanvallen
A10:2025 - Mishandling of Exceptional Conditions¶
Relevantie: Hoog
Beschrijving: Error messages die te veel informatie lekken. Stack traces of gedetailleerde error messages kunnen gevoelige informatie blootstellen.
Voorbeelden:
- Stack traces in error responses (informatie disclosure)
- Errors onderscheiden tussen bestaande/onbestaande resources (user enumeration)
- Onvoldoende error handling leidt tot crashes
Impact: Medium-Hoog - informatie disclosure, DoS mogelijk
A01:2025 - Broken Access Control¶
Relevantie: Zeer Hoog
Beschrijving: Geen autorisatie checks - iedereen kan alle data zien en wijzigen. Zonder authenticatie is er geen access control mogelijk.
Voorbeelden:
- Gebruiker kan data van andere gebruikers opvragen via
/api/users/{id} - Ontbrekende role-based access control (RBAC)
- Insecure Direct Object References (IDOR)
Impact: Zeer hoog - kan leiden tot data lekken, ongeautoriseerde acties
A07:2025 - Authentication Failures¶
Relevantie: Zeer Hoog
Beschrijving: Geen of zwakke authenticatie. Zonder echte authenticatie is de API volledig toegankelijk voor iedereen.
Voorbeelden:
- Geen authenticatie geïmplementeerd
- Mock authenticatie via localStorage (onveilig)
- Onveilige token opslag/transmissie
Impact: Zeer hoog - volledige toegang tot API
Samenvatting: Meest Relevante Risico's voor Dit Project¶
| OWASP Risico | Relevantie | Status in Project |
|---|---|---|
| A05 - Injection | Zeer Hoog | Goed: Getest - Goed geïmplementeerd |
| A02 - Security Misconfiguration | Hoog | Probleem: Probleem gevonden - Moet aangepast worden |
| A10 - Exception Handling | Hoog | Goed: Getest - Goed geïmplementeerd |
| A01 - Broken Access Control | Zeer Hoog | Belangrijk: Buiten scope - Geen authenticatie |
| A07 - Authentication Failures | Zeer Hoog | Belangrijk: Buiten scope - Geen authenticatie |
Conclusie: A02 (Security Misconfiguration) is het belangrijkste aandachtspunt voor dit onderzoek. Voor productie zijn A01 en A07 echter essentieel.