De OWASP Top 10 is een lijst van de tien meest kritieke beveiligingsrisico’s voor webapplicaties, gepubliceerd en bijgewerkt door de Open Web Application Security Project, een gerespecteerde non-profit gemeenschap. Het is geen wet en geen certificaat. Het is een gedeelde checklist die ontwikkelaars gebruiken om zeker te weten dat ze de meest voorkomende deuren niet hebben opengelaten.

Zie het als het beveiligingsequivalent van een checklist voor vertrek. Een piloot verzint niet voor elke vlucht nieuwe controles; hij loopt een beproefde lijst af van de dingen die het vaakst misgaan. De Top 10 speelt dezelfde rol voor webapps en dekt categorieën als kapotte toegangscontrole, injectie-fouten en cross-site scripting. Bij elk punt staat uitleg over wat het risico is en hoe je het dichtzet.

De lijst verschuift in de loop van de tijd naarmate aanvalspatronen veranderen, en dat is een deel van de waarde. De editie van 2021 zette bijvoorbeeld kapotte toegangscontrole op plek één, omdat het zo vaak in echte datalekken opduikt. Hij weerspiegelt wat er echt wordt misbruikt in de praktijk, niet de theorie. Eén kanttekening om in gedachten te houden: de punten zijn brede categorieën, geen stap-voor-stap-recept, dus twee teams kunnen allebei zeggen dat ze “injectie afdekken” en toch heel andere gaten laten.

De lijst afdekken is een stevige ondergrens, maar werkt het best in combinatie met praktische penetratietesten die zoeken naar problemen die geen enkele checklist voorziet, plus geautomatiseerde kwetsbaarheidsscans die ook na de lancering blijven meekijken. Naast de hoofdlijst geeft OWASP ook losse cheatsheets per onderwerp, met concrete codevoorbeelden, zodat een team niet alleen weet wélk risico telt maar ook hoe je het in de praktijk dichtzet.

Bij TopDevs toetsen we elke build aan de OWASP Top 10 voordat hij live gaat, zodat de meest voorkomende en schadelijkste fouten allang gevonden zijn voordat een aanvaller ze vindt.