OWASP Top 10 Sårbarheder
Open Web Application Security Project (OWASP) udgiver periodisk en liste over de 10 mest kritiske sikkerhedsrisici for webapplikationer. At kende disse og vide, hvordan man beskytter sin applikation, er det fundamentale udgangspunkt for AppSec (Application Security).
Nedenfor gennemgås den nyeste OWASP Top 10 2025 liste, der reflekterer de nyeste tendenser indenfor web- og applikationssikkerhed, herunder nye trusler rettet mod supply chains.
1. Broken Access Control (A01:2025)
Fejl, hvor brugere kan udføre handlinger uden for deres rettighedsområde. Bliver på førstepladsen fra 2021, og inkorporerer nu også Server-Side Request Forgery (SSRF).
- Eksempel: IDOR (Insecure Direct Object Reference) hvor ændring af en URL-parameter (
/user/id=5->id=6) giver fuld adgang til en anden brugers data. - Modtræk: Implementering af en striks adgangskontrol-politik, nægt adgang by-default (Zero Trust tilgang).
2. Security Misconfiguration (A02:2025)
Rykket helt op på 2. pladsen. Den mest almindelige sårbarhed opstår ved usikker standardopsætning, åbne cloud storage buckets, fejlkonfigurerede HTTP-headers, eller unødvendige services der tillades i baggrunden.
- Modtræk: “Hærdning” (Hardening) af servere, minimal konfiguration (Least Privilege) og automatiseret test af infrastruktur via Infrastructure as Code (IaC).
3. Software Supply Chain Failures (A03:2025)
En helt ny og yderst relevant kategori for 2025. Fokuserer på faren ved at bygge software baseret på kompromitterede dependencies, open-source biblioteker (NPM, PyPI), tredjeparts-tools eller AI-genereret kode ude af kontrol.
- Modtræk: Etabler en Software Bill of Materials (SBOM), brug signerede commits og overvåg automatisk sårbarheder i dependencies (f.eks. via Dependabot).
4. Cryptographic Failures (A04:2025)
Mangelfuld beskyttelse af sensitive data “in transit” og “at rest”, hvilket kan føre til store GDPR-brud (tidligere kendt som Sensitive Data Exposure).
- Modtræk: Aktivér TLS/SSL (HTTPS og HSTS). Undgå forældede algoritmer som MD5 til hashing af adgangskoder - brug sikre moderne alternativer som Argon2id eller bcrypt.
5. Injection (A05:2025)
Når en applikation modtager usikkert brugerinput og eksekverer det direkte som kode. Omfatter bl.a. SQL Injection (SQLi) og Cross-Site Scripting (XSS). Sårbarheden er faldet til en 5. plads grundet moderne frameworks, der auto-saniterer.
- Modtræk: Skil data fra kommandoer! Brug parameterized queries / Prepared Statements i databaser. Til XSS: Saniter alt output strengt og anvend Content Security Policy (CSP).
6. Insecure Design (A06:2025)
Dækker over systemer uden tilstrækkelig trusselsmodellering, hvor arkitekturen mangler indbyggede sikkerhedskontroller og forretningslogik. Her redder god kodning dig ikke, hvis selve designet er fejlbehæftet.
- Modtræk: “Security by Design”. Involver sikkerhed under arkitektur og kravspecifikations-fasen via Threat Modeling (f.eks. STRIDE).
7. Identification and Authentication Failures (A07:2025)
Når applikationens autentificering og sessions-håndtering forvaltes ukorrekt. Det tillader angribere at overtage andres identiteter gennem bl.a. “credential stuffing” eller brute-force angreb.
- Modtræk: Tving Multi-Factor Authentication (MFA) igennem overalt og implementer strenge password-kompleksitetskrav samt sikre session timeouts.
8. Software and Data Integrity Failures (A08:2025)
Sårbarheder relateret til CI/CD pipelines og data uden integritets-tjek. I et miljø hvor auto-updates er normen, skal applikationen garantere at eksekverbart kode ikke er pillet ved undervejs.
- Modtræk: Verificer software og opdateringer maskinelt via digitale signaturer (f.eks. ved brug af Hash-validering af downloads og commits).
9. Security Logging and Monitoring Failures (A09:2025)
Hvis du ikke ved, at du bliver hacket - hvordan stopper du det så? Manglende log-data over kritiske handlinger (logins, store transaktioner) gør at angreb og databrud opdages alt for sent.
- Modtræk: Implementer centraliseret logging (SIEM) der tillader sporing og auditable alerts når mønstre afviger fra normen.
10. Mishandling of Exceptional Conditions (A10:2025)
En ny kategori på 2025-listen. Dækker tekniske fejl i håndteringen af “exceptions” eller specielle afstikkende omstændigheder (f.eks. overfyldte buffere, memory leaks, eller utilsigtede error states der resulterer i denial-of-service eller uforudsete tilstande).
- Modtræk: Skriv robust kode (Fail-Safe Defaults), implementer limits for fil-uploads / memory-forbrug, og håndter errors gnidningsfrit uden at lække detailed stack-traces til brugeren.
Relaterede Artikler og Noter
- SQL Injection Guide – Se fordybelse af OWASP Kategori A03.
- Cross-Site Scripting (XSS) – Læs mere om mitigerelsen af Injections i praksis.
- Kryptografi: Hashing vs Kryptering – Styrk din forståelse for OWASP Kategori A02.
Kilder
- OWASP Top 10:2025 Official Project Page - Den primære kilde til de 10 mest kritiske sikkerhedsrisici for webapplikationer.
- NIST SP 800-218: Secure Software Development Framework (SSDF) - Rammeværk for sikker softwareudvikling, særligt relevant for supply chain sikkerhed (A03:2025).
- SAMSIK (Tidl. CFCS) - Trusselsvurderinger - Nationale retningslinjer og information om cybertrusler mod danske organisationer.
- OWASP Software Component Verification Standard (SCVS) - En standard til at verificere integriteten af software supply chains.
> Quiz: Test din viden
1. Hvad er nummer 1 på OWASP Top 10?
2. Hvilken angrebstype er nu inkluderet under Broken Access Control?
3. Hvad er den nye kategori på OWASP Top 10, der handler om afhængigheder og forsyningskæder?
4. Hvad er OWASP en forkortelse for?