Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > OWASP Top 10 2025: Supply Chain-aanvallen, cloud-misconfiguraties en de kwetsbaarhedenlijst die weigert te veranderen
OWASP Top 10 2025: Supply Chain-aanvallen, cloud-misconfiguraties en de kwetsbaarhedenlijst die weigert te veranderen

OWASP Top 10 2025: Supply Chain-aanvallen, cloud-misconfiguraties en de kwetsbaarhedenlijst die weigert te veranderen

by Patrick Spencer updated februari 25, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

De OWASP Top 10 is voor applicatiebeveiliging wat een medische check-up is voor je gezondheid. Elke drie tot vier jaar verzamelt het Open Worldwide Application Security Project praktijkgegevens over kwetsbaarheden van testorganisaties en beveiligingsleveranciers, combineert deze met een enquête onder professionals, en stelt een gerangschikte lijst samen van de meest kritieke beveiligingsrisico’s voor webapplicaties.

De editie van 2025 is er. Op basis van een analyse van meer dan 175.000 CVE-records over bijna 2,8 miljoen applicaties, plus een enquête onder 221 beveiligingsexperts, laat het een landschap zien dat op belangrijke punten is veranderd — en op andere nauwelijks is bewogen.

Falen in de software supply chain maakt zijn debuut op nummer drie. Verkeerde configuratie van beveiliging is gestegen van de vijfde naar de tweede plaats. Onjuiste afhandeling van uitzonderlijke situaties staat nu op nummer tien. Risico’s van AI-gegenereerde code krijgen een plek in een “volgende stappen”-sectie. En gebrekkige toegangscontrole staat op nummer één — voor het 22e jaar op rij.

Vijf Belangrijke Inzichten

  1. Gebrekkige Toegangscontrole Staat Sinds 2003 Bovenaan. Gebrekkige toegangscontrole staat al bovenaan de OWASP Top 10 sinds de eerste publicatie ruim twintig jaar geleden. Gemiddeld had 3,73% van de geteste applicaties één of meer van de 40 CWEs die aan deze categorie zijn gekoppeld. Organisaties blijven zelfgemaakte toegangscontrolemechanismen bouwen die foutgevoelig, inconsistent getest en vol met privilege-escalatiepaden zitten. Als de meest kritieke kwetsbaarheid in webapplicaties al 22 jaar aanhoudt, is er sprake van een structureel probleem — geen patchprobleem.
  2. Falen in de Software Supply Chain Debuteert op Nummer Drie. De grootste structurele verandering is de komst van Software Supply Chain Failures op nummer drie. Dit vervangt en breidt de oude categorie “Kwetsbare en Verouderde Componenten” uit om aanvallen op de hele software supply chain te omvatten: gecompromitteerde open-source bibliotheken, gehackte update-mechanismen van leveranciers, gemanipuleerde CI/CD-pijplijnen en directe aanvallen op ontwikkelwerkplekken. Zoals OWASP-hoofdauteur Tanya Janca het verwoordde: “Ontwikkelaars zijn nu een primair doelwit voor veel online aanvallen.”
  3. Verkeerde Configuratie van Beveiliging Stijgt van Vijf naar Twee. Cloudadoptie heeft verkeerde configuratie tot een wijdverbreide en catastrofale kwetsbaarheid gemaakt. Standaardwachtwoorden die niet zijn gewijzigd, publiek toegankelijke cloudopslag, en onnodige functies die aan blijven staan zijn schering en inslag. Elke geteste applicatie in de data vertoonde een vorm van verkeerde configuratie. Dit is geen niche-risico. Het is vrijwel universeel.
  4. Risico’s van AI-gegenereerde Code Op de Radar van OWASP. AI haalde de top tien niet, maar kreeg wel een vermelding in de sectie “volgende stappen”. Onder de titel “Onaanvaardbaar Vertrouwen in AI-gegenereerde Code”, ook wel het “vibe coding”-probleem genoemd, erkent deze categorie dat ontwikkelaars AI-code implementeren zonder deze volledig te beoordelen. De trend is duidelijk: risico’s van AI-gegenereerde code zijn op weg naar toekomstige opname.
  5. Twee Nieuwe Categorieën Laten Verschuiving naar Oorzaken Zien. De editie van 2025 introduceert Software Supply Chain Failures op nummer drie en Onjuiste Afhandeling van Uitzonderlijke Situaties op nummer tien. SSRF is opgenomen in Gebrekkige Toegangscontrole. Deze veranderingen tonen OWASP’s bewuste keuze om te focussen op oorzaken in plaats van symptomen — en te erkennen dat veilige software ook veilig moet kunnen falen.

Gebrekkige Toegangscontrole: 22 Jaar op Nummer Eén

Gebrekkige toegangscontrole is de kwetsbaarheid die niet verdwijnt. Het is nu gekoppeld aan 40 CWEs — meer dan welke andere categorie ook — en omvat privilege-escalatie, onveilige directe objectreferenties, CORS-misconfiguraties en tokenmanipulatie. SSRF is hier ook ondergebracht, omdat veel SSRF-kwetsbaarheden in de kern toegangscontroleproblemen zijn.

Jeff Williams, bedenker van de originele OWASP Top 10, verklaarde de hardnekkigheid: “Iedereen probeert zijn eigen authenticatie- en toegangscontrolemechanismen te maken.” Een typische webapplicatie kan honderd endpoints hebben die toegankelijk zijn voor twintig verschillende rollen. “De meeste mensen scannen hun applicatie met één rol in gedachten,” aldus Williams. “Het is heel moeilijk om te verifiëren.”

De conclusie is ongemakkelijk: dit is geen probleem dat de sector oplost. Organisaties die vertrouwen op zelfgemaakte toegangscontrolemechanismen nemen een risico over dat al twee decennia bestaat, omdat ze het telkens opnieuw bouwen in plaats van geteste, doelgerichte frameworks zoals RBAC en ABAC te gebruiken.

Je Vertrouwt erop dat je Organisatie Veilig is. Maar Kun Je Het Verifiëren?

Lees Nu

Verkeerde Configuratie van Beveiliging Stijgt naar Nummer Twee

Verkeerde configuratie van beveiliging is gestegen van vijf naar twee omdat cloudadoptie systemen veel configureerbaarder heeft gemaakt — en meer mogelijkheden betekent meer kans om instellingen verkeerd te zetten.

De categorie omvat standaardwachtwoorden die nooit zijn gewijzigd, onnodige functies die aan blijven staan, uitgebreide foutmeldingen die systeemarchitectuur onthullen en cloudopslag die publiek toegankelijk is. Dit zijn geen complexe aanvalsvectoren. Het zijn configuratiefouten die aanvallers de sleutel geven.

Nu cloudomgevingen steeds complexer worden — verspreid over meerdere providers, regio’s en diensten — groeit het oppervlak voor verkeerde configuratie mee. Organisaties moeten configuratie zien als een beveiligingsdiscipline: beveiligde standaardinstellingen, geautomatiseerde validatie en verplichte wachtwoordwijzigingen moeten de norm zijn.

Falen in de Software Supply Chain Debuteert op Nummer Drie

Dit is de meest ingrijpende structurele verandering in de lijst van 2025. Software Supply Chain Failures vervangt de beperktere categorie “Kwetsbare en Verouderde Componenten” en breidt de scope uit naar de volledige build-, distributie- en updateketen.

Tanya Janca beschreef de verschuiving: “Het is niet langer alleen een probleem van het opnemen van een bibliotheek met een twijfelachtige afhankelijkheid.” Er zijn nu actieve aanvallen op de IDE, de CI/CD-pijplijn, plugins, repositories en ontwikkelwerkplekken. “De hele software supply chain is momenteel een doelwit voor aanvallers.”

Vijftig procent van de ondervraagde beveiligingsexperts rangschikte supply chain-risico’s als hun grootste zorg — de hoogste consensus van alle categorieën. Verdediging vereist software bill of materials, code signing, geharde buildomgevingen, kwetsbaarheidsscans van transitieve afhankelijkheden en veilige update-mechanismen met integriteitscontrole.

Wat Verder Verschoof — en Wat Nieuw Is

Cryptografische Fouten (Nummer Vier) zakte van de tweede plaats — niet omdat encryptieproblemen minder voorkomen, maar omdat andere risico’s sneller zijn gegroeid. Gevoelige data in platte tekst verzenden, zwakke algoritmes en gebrekkige certificaatvalidatie blijven wijdverbreid. FIPS-gevalideerde cryptografie en TLS 1.3 zijn de huidige standaard voor verdedigbare encryptiepraktijken.

Injectie (Nummer Vijf) daalt geleidelijk. Moderne frameworks met geparameteriseerde queries en output-encoding hebben het aantal gevallen verminderd, maar het risico is nog lang niet weg.

Onveilig Ontwerp (Nummer Zes) is iets gedaald, wat wijst op verbeteringen in threat modeling binnen de sector. De categorie blijft een herinnering dat beveiliging achteraf niet kan oplossen wat nooit veilig is ontworpen.

Authenticatieproblemen (Nummer Zeven) omvatten brute force, zwakke wachtwoorden, blootgestelde sessie-ID’s en het ontbreken van multi-factor authentication. In een tijd van AI-gedreven phishing is het ontbreken van multi-factor authentication voor gevoelige functies een steeds minder verdedigbare lacune.

Software- of Data-integriteitsproblemen (Nummer Acht) richt zich op vertrouwen zonder verificatie — niet-ondertekende updates, niet-gecontroleerde plugins en CI/CD-pijplijnen die artefacten accepteren zonder integriteitscontrole.

Beveiligingslogging en Waarschuwingsfouten (Nummer Negen) behoudt zijn positie met een belangrijke update: “waarschuwen” is expliciet toegevoegd aan de categorienaam. OWASP geeft hiermee aan dat logging zonder waarschuwingen nauwelijks waarde heeft. Organisaties hebben audit logs nodig in combinatie met real-time waarschuwingen en SIEM-integratie om dataverzameling om te zetten in bruikbare detectie.

Onjuiste Afhandeling van Uitzonderlijke Situaties (Nummer Tien) is volledig nieuw. Het omvat fouten in foutafhandeling en randgevallen die leiden tot informatielekken of het omzeilen van beveiliging. OWASP-projectleider Brian Glas merkte op dat deze categorie al jaren net buiten de top tien viel. “Als het puur datagedreven was,” zei hij, “zou de lijst niet accuraat zijn omdat die alleen naar het verleden kijkt.”

De “Vibe Coding”-Waarschuwing

AI haalde de top tien niet. Maar de speciale “volgende stappen”-vermelding van OWASP — “Onaanvaardbaar Vertrouwen in AI-gegenereerde Code” — is een signaal om serieus te nemen.

Tanya Janca was openhartig: “Hoewel we geen data hadden die aantoonde dat AI-gegenereerde code significant meer risico oplevert dan door mensen geschreven code, vonden we het dankzij feedback uit de community, professionele ervaring en voortdurende online kennisdeling verstandig om een sectie toe te voegen.”

Haar advies: lees en begrijp AI-gegenereerde code volledig voordat je deze implementeert. Als de adoptie van AI-codegeneratie blijft versnellen, zal deze categorie waarschijnlijk in een volgende editie in de top tien belanden. Organisaties die nu beoordelingspraktijken voor AI-gegenereerde code invoeren, lopen straks voorop.

Kiteworks: Doelgerichte Beveiliging voor Voortdurende Kwetsbaarheden

De OWASP Top 10 toont een hardnekkig patroon: de meeste webapplicaties worden gebouwd met functionaliteit op de eerste plaats en beveiliging op de tweede. Kiteworks pakt dit aan door beveiliging vanaf het ontwerp te integreren.

Voor gebrekkige toegangscontrole biedt Kiteworks zero-trust verificatie bij elk verzoek, rolgebaseerde en op attributen gebaseerde toegangscontrole, standaard toepassing van het minste privilege en volledige audit logs. In tegenstelling tot applicaties met zelfgebouwde toegangscontrole levert Kiteworks vooraf gebouwde, geteste controles voor gevoelige datacommunicatie — en elimineert zo de nummer één OWASP-kwetsbaarheid door architectuur.

Voor supply chain-falen werkt Kiteworks met een geharde SDLC, geïsoleerde CI/CD-pijplijnen, code signing, SBOM’s en continue kwetsbaarheidsscans — en beheert het uitwisseling van data met derden via tijdsgebonden, afgebakende rechten.

Voor verkeerde configuratie wordt het platform standaard veilig geleverd met geautomatiseerde validatie en verplichte wachtwoordwijzigingen. Voor cryptografische fouten biedt het FIPS 140-3 gevalideerde cryptografie en TLS 1.3. Voor authenticatie wordt MFA, een sterk wachtwoordbeleid en enterprise SSO afgedwongen. Voor logging levert het onvervalsbare audit logs met SIEM-integratie, real-time waarschuwingen en vooraf gebouwde compliance-rapportages voor GDPR, HIPAA, CMMC en andere kaders.

Consumentenplatforms voor bestandsoverdracht bieden gedeelde links die toegangscontrole omzeilen en slechts beperkte audit logs. E-mailplatforms blijven kwetsbaar voor doorsturen dat governance omzeilt en AI-gedreven phishing. Legacy MFT-oplossingen hebben complexe configuraties die het risico op verkeerde configuratie vergroten. Kiteworks biedt de security-by-design architectuur waar de OWASP Top 10 de sector al 22 jaar op wijst.

Wil je weten hoe Kiteworks kan helpen? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

De OWASP Top 10 2025 benoemt gebrekkige toegangscontrole als de meest kritieke kwetsbaarheid voor webapplicaties — een positie die het sinds 2003 inneemt. Verkeerde configuratie van beveiliging staat op twee, en falen in de software supply chain debuteert op drie. Samen zijn deze drie categorieën verantwoordelijk voor het merendeel van de datalekken in de praktijk. Organisaties die geen doelgerichte toegangscontrole en standaard veilige configuraties implementeren, blijven blootgesteld aan dezelfde risico’s die de lijst al twintig jaar domineren.

Aanvallen op de software supply chain compromitteren het build-, distributie- of updateproces in plaats van direct applicaties te targeten. Aanvallers injecteren kwaadaardige code in open-source bibliotheken, manipuleren CI/CD-pijplijnen of breken in op ontwikkelwerkplekken. Vijftig procent van de beveiligingsexperts ziet supply chain-risico’s nu als hun grootste zorg. Verdediging vereist software bill of materials, code signing, geharde buildomgevingen en grondig risicobeheer van derden voor elke afhankelijkheid — niet alleen directe.

Verkeerde configuratie van beveiliging komt voor in vrijwel elke geteste applicatie omdat cloudadoptie systemen veel configureerbaarder heeft gemaakt — en dus meer kansen geeft om dingen verkeerd in te stellen. Standaardwachtwoorden die niet zijn gewijzigd, publiek toegankelijke opslag en uitgebreide foutmeldingen die systeemarchitectuur onthullen zijn veelvoorkomende boosdoeners. Het probleem wordt groter naarmate organisaties meerdere cloudproviders en infrastructure-as-code-omgevingen gebruiken. Standaard veilige platforminstellingen en geautomatiseerde validatie van configuraties zijn de enige schaalbare verdediging bij deze complexiteit.

De “volgende stappen”-sectie van OWASP 2025 wijst “Onaanvaardbaar Vertrouwen in AI-gegenereerde Code” — ook wel het “vibe coding”-probleem — aan als een opkomend risico dat op weg is naar de top tien. Ontwikkelaars implementeren AI-gegenereerde code zonder deze volledig te beoordelen, waardoor kwetsbaarheden ontstaan die geen enkele automatische scanner detecteert omdat een mens de logica nooit heeft begrepen. De oplossing is eenvoudig: behandel AI-gegenereerde code als elke niet-vertrouwde input. Lees het, begrijp het en test het voordat het live gaat. Audit logs die de herkomst van code vastleggen worden steeds belangrijker naarmate dit risico groeit.

Het koppelen van beveiligingsmaatregelen aan de OWASP Top 10 begint bij de top drie: handhaaf least-privilege toegangscontrole met geteste frameworks in plaats van maatwerk, valideer configuraties tegen standaard veilige baselines en inventariseer elke derde partij-afhankelijkheid in je buildproces. Los cryptografische fouten op door te standaardiseren op FIPS-gevalideerde cryptografie en TLS 1.3. Dwing MFA af in alle authenticatiestromen. En sluit het logging-gat door audit logs te combineren met real-time waarschuwingen en SIEM-integratie — logging zonder waarschuwingen is geen detectiemiddel.

Aanvullende Bronnen

  • Blog Post Zero Trust Architectuur: Nooit Vertrouwen, Altijd Verifiëren
  • Video Microsoft GCC High: Nadelen die Defensie-aannemers richting Slimmere Voordelen Drijven
  • Blog Post Hoe Je Geclassificeerde Data Beveiligt Zodra DSPM Het Signaleert
  • Blog Post Vertrouwen Bouwen in Generatieve AI met een Zero Trust Benadering
  • Video De Definitieve Gids voor Veilige Opslag van Gevoelige Data voor IT-leiders

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks