OWASP top 10
NovuDialog en belangrijke security risico's
De OWASP top 10 - 2021 is een internationaal erkende lijst, die de grootste bedreigingen en risico's binnen webapplicatie security bevat. Tijdens de configuratie van de NovuDialog applicatie en infrastructuur houden we rekening met de OWASP top 10 - 2021:
- Broken Access Control: Het risico dat een gebruiker bij data kan die eigenlijk buiten bereik zou moeten zijn, is zeer klein in NovuDialog platform. Standaard wordt gebruikersdata niet opgeslagen in de NovuDialog applicatie.
Door middel van code reviews, unit testen, pentesten en het gebruik van standaard componenten doen we er alles aan om broken access control te voorkomen. - Cryptographic Failures: In de NovuDialog applicatie wordt data transportversleuteling afgedwongen, door middel van HTTPS. Als de wens er is om data op te slaan dan gebruiken we Azure SQL Database encryption en Azure Storage service encryption. Dit alles om ervoor te zorgen dat vertrouwelijke data beschermd blijft. In NovuDialog kan er ook voor worden gekozen om gebruikersdata altijd op de server, in een versleuteld model, te bewaren en nooit zichtbaar te maken op de client.
- Injection: Injection is een kwetsbaarheid waarbij invoer niet goed wordt verwerkt waardoor kwaadwillenden informatie kunnen invoeren om, zonder dat zij daar de juiste rechten toe hebben, toegang te krijgen tot informatie of systemen. In NovuDialog voorkomen wij dit door bepaalde karakters niet toe te staan, velden te valideren en tekst altijd letterlijk te verwerken zodat deze nooit misbruikt kunnen worden.
- Insecure Design: Ontwikkeling staat nooit stil en dat geldt ook voor nieuwe kwetsbaarheden die zich voordoen, daarom blijven wij bij Novusoft up-to-date met de laatste ontwikkelingen om zo ons framework veilig te houden.
- Security Misconfiguration: Slechte beveiliging komt vaak voor doordat standaard beveiligingsconfiguraties niet goed zijn ingesteld of niet de meest veilige zijn.
In de NovuDialog applicatie worden daarom de meest veilige instellingen als de standaard instellingen genomen. Voor een optimale beveiliging voeren we ook regelmatig pentesten uit, doen we automatische deployments en volgen we actief security aanbevelingen vanuit Azure op. Alle communicatie voor interne en externe koppelingen wordt streng gevalideerd en gecontroleerd voordat hier op word gehandeld. - Vulnerable and Outdated Components: Ieder component in het NovuDialog platform wordt vóór gebruik geëvalueerd op mogelijke beveiligingsrisico’s. Met elke nieuwe release van de NovuDialog applicatie worden de componenten bijgewerkt naar de laatste versie.
- Identification and Authentication Failures: Als functies betreffende authenticatie en sessie management verkeerd zijn geïmplementeerd in een applicatie, bestaat er een risico dat vijandige gebruikers kunnen inloggen met de identiteit van andere gebruikers.
Door middel van code reviews, unit testen en het gebruik van standaard componenten (bijvoorbeeld IdentityServer) doen we er alles aan om broken authentication te voorkomen. - Software and Data Integrity Failures: NovuDialog maakt gebruik van een aantal libraries zoals JQuery en Bootstrap. Ook deze libraries kunnen kwetsbaarheden bevatten, daarom wordt ervoor gezorgd dat deze libraries altijd up-to-date zijn in de NovuDialog applicatie.
- Security Logging and Monitoring Failures: De NovuDialog applicatie gebruikt Application Insights monitoring om afwijkingen te detecteren. Bij elke afwijking worden waarschuwingen geactiveerd, die Novusoft in realtime op de hoogte brengen.
- Server-Side Request Forgery (SSRF): SSRF is een kwetsbaarheid waarbij kwaadwillenden misbruik maken van velden door malafide informatie in te voeren, zo kunnen zij toegang verkrijgen tot interne systemen of informatie doorsturen naar een verkeerd punt. De NovuDialog applicatie zorgt ervoor dat de input in velden altijd worden getoetst voordat het wordt verwerkt.