Blog

Få en sikker Webapplikation med OWASP

21. november 2022 af Jeppe Basse

Der er mange organisationer som ikke har vedtaget en fast standard for deres websikkerhed. Det kan derfor være svært at vide hvor godt man er sikret. Det er ikke altid nok at spørge sin udvikler om ”Er det sikkert?”. Det bliver en personafhængig vurdering med risiko for at have overset kritiske mangler.

Sikkerhed bør baseres på en kendt standard for at sikre fælles forståelse i forhold til udvikling og efterfølgende sikkerhedstjek (QA). Ligeledes sikrer en standard at der ikke bliver implementeret ”Security by Obscurity” – altså hemmelige og personlige mønstre – i stedet for en åben standard.

Sådan har vi implementeret OWASP sikkerhedsstandarden

Open Web Application Security Project (owasp.org) er en nonprofit fond, der arbejder for at forbedre sikkerheden for Webapplikationer. De leverer både kurser og standarder – men vigtigst af alt har de velbeskrevne principper for hvordan sikkerhed skal implementeres i en webapplikation.

Med OWASP open source standarden følger man en af verdens mest udbredte standarder. Her har mange eksperter gennemtænkt og beskrevet sikre mønstre der gør det overskueligt at føre løbende kontrol af ens sikkerhed. Når man har velbeskrevne principper er det meget nemmere at oplære nye udviklere, sikre dokumentation og samtidig er sikkerhedsprocedurer vedligeholdt eksternt. Det gør at man har en fast og løbende opdateret ramme at dokumentere - og forstå sin sikkerhedsmodel efter.

Vi tager altid udgangspunkt i OWASP top 10 standard og denne formidles til alle udviklere. Når vi laver sikkerhedscheck, tester vores QA team også udfra samme standard og der laves injection test m.m. Med OWASP er det også nemt at formidle til vores kunder hvor høj deres baseline sikkerhedsniveau er – og de kan altid vælge at tilføje ekstra sikkerhed. Der er selvfølgelig altid forskel på om det er et standard offentligt website baseret på f.eks. Umbraco CMS eller det er et system der indeholder mere personfølsom data.

Uanset er OWASP top 10 altid vores udgangspunkt for sikkerhed – men mere kritiske systemer vil selvfølgelig have en udviddet sikkerhedsmodel med IP restiktion, fuld kryptering og f.eks. MitID. Men når man taler om sikkerhed er det altid det svageste led man skal tage fat i. Og her er OWASP top 10 et rigtig godt udgangspunkt.

Top 10 OWASP sikkerhedsregler

OWASP Top 10 er et sæt standard regler for udviklere om webapplikationssikkerhed. Det repræsenterer en bred konsensus om de mest kritiske sikkerhedsrisici for webapplikationer.

Nuværende OWASP Top 10 (siden 2021):

  1. Broken Access Control
  2. Cryptographic Failures
  3. Injection
  4. Insecure Design
  5. Security Misconfiguration
  6. Vulnerable and Outdated Components
  7. Identification and Authentication Failures
  8. Software and Data Integrity Failures
  9. Security Logging and Monitoring Failures
  10. Server-Side Request Forgery

Når de 10 principper er implementeret er grunddesignet for din webapplikation relativt sikkert. Og når der så tilkobles et faktisk løbende check af QA er man sikker på at principperne også er implementeret korrekt af udviklerne.

Sådan kommer du i gang

Det er faktisk releativt nemt at komme i gang. Da OWASP er open source er alt information frit tilgængeligt. Er du i tvivl om din sikkerhed overholder standarden - eller om du er i risiko for at blive hacket kan du også vælge at tage kontakt til os. Vi laver gerne en OWASP baseret sikkerhedsgennemgang af din applikation ud fra vores standard test. 

Donerer du 8.000 DKK direkte til Bevar Ukraine med teksten "Compent" så laver vi et fuldt eksternt sikkerhedscheck af din webapplikation udfra OWASP standarden. Når du støtter gennem organisationen Bevar Ukraine går støtten direkte til Ukraine. Du modtager herefter en fradragsrettiget kvittering fra Bevar Ukraine. Efter vi har aftalt hvad vi laver en ekstern test af, modtager du en sikkerhedstest rapport fra os som vores QA team har udført - samt anbefalinger til forbedringer af din webapplikations sikkerhed.

Udfyld formularen nedenfor og vi vender tilbage til dig.

Kontakt os

8.000 DKK i donation for et sikkerhedstjek

Lad os tage et kig på jeres websikkerhed. Skriv et par linier om jeres setup og lad os tale sammen om hvordan vi kommer i gang.

Jeppe Basse, CEO

2750 5656