Bild einer Wespe

Die neuen OWASP Top 10 - 2021

Erstmals seit 2017 wurde die Liste der OWASP Top 10 der h├Ąu­figs­ten Sicher­heits­risiken f├╝r Weban­wendun­gen aktualisiert. Auf unserem Blog wurde bereits ├╝ber die deutsche Version der OWASP Top 10 - 2017 berichtet.

Das Online Web Application Security Project (kurz OWASP) ver├Âffentlichte am 24. September die neuen Top 10 der h├Ąu­figs­ten Sicher­heits­risiken f├╝r Weban­wendun­gen. Zum ersten Mal seit 2010 stellen nicht mehr Injections, sondern ungen├╝gende Zugangs­be­schr├Ąnkungen die gr├Â├čte Gefahr f├╝r Web­an­wen­dung­en dar. Seit der letzten Aus­ga­be der OWASP Top 10 aus dem Jahr 2017 wurden drei neue Kategorien ein­ge­f├╝hrt und vier Kategorien ge├Ąndert.

Die ├änderungen im ├ťberblick

Injections wurden auf den dritten Platz herabgestuft und enthalten jetzt auch Cross-Site-Scripting (XSS). Diese ├änderung erscheint logisch, da XSS schluss­en­dlich auch nur das Ein­f├╝­gen von nicht ver­trau­ens­w├╝r­digem Code in einen neuen Kontext ist. Mit unseren Ans├Ątzen rund um den Secure Soft­ware De­ve­lop­ment Life­cycle (SSDL) und Threat Modeling f├╝hlen wir uns bei aramido mit dem auf der vier­ten Po­si­tion neu hinzu­ge­kom­menen Risiko Unsicheres Design be­st├Ątigt. Unsere Pe­ne­tra­tions­tes­ter entdecken immer wieder Schwach­stel­len, die bereits im Pla­nungs­pro­zess h├Ątten ber├╝ck­sichtigt werden m├╝ssen. Ein weiterer Neu­an­k├Âm­mling in der Top-10-Liste ist auf dem achten Platz die Fehlerhafte Integrit├Ątspr├╝fung von Software und Daten. Dieser etwas sperrige Punkt be­in­hal­tet unter anderem die in der 2017er-Liste separat ge­f├╝hr­te un­sichere De­ser­ia­li­sier­ung, will aber auch die Kategorie der Supply-Chain-Angriffe abdecken, welche sp├Ątestens durch die SolarWinds-Angriffe bekannt ge­worden ist. An zehnter Stelle ist schlie├člich noch mit Server Side Request Forgery (SSRF) eine sehr konkrete Schwach­stel­le aufgenommen worden.

Die Grenzen der OWASP Top Ten

Die ├ťbersicht der ├änderungen an der Top-10-Liste zeigt recht gut die Probleme, die eine solche Auf­stel­lung mit sich bringt. W├Ąhrend einige Schwach­stel­len zu breiteren Ka­te­go­rien zu­sam­men­ge­fasst wurden, gibt es andere, enger definierte Schwach­stel­len­arten, die nicht einmal mit den anderen Ka­te­go­rien ├╝ber­schnei­dungs­frei sind. Dieses Identit├Ąts­pro­blem, was die OWASP-Top-10-Liste eigentlich sein will, wird auch von anderen diskutiert. Dass eine Top-10-Liste nur eine Aus­wahl aller m├Âglichen Schwach­stel­len und nicht das gesamte Risiko­po­ten­tial von Web­an­wen­dun­gen und deren Wahrscheinlichkeiten ausreichend abbildet, liegt in der Natur einer Top-Liste. Die OWASP Top Ten sind also kein Standard, gegen den man Web­an­wen­dungen verifizieren und f├╝r sicher befinden k├Ânnte (OWASP bietet f├╝r diesen Zweck den Application Security Verification Standard (ASVS)). Wie die Autoren der Liste selbst schreiben, sind die Top Ten ein Sensibilisierungs­dokument. Daf├╝r hat die Liste in der Vergangenheit sehr gute Dienste geleistet und wird das auch in Zukunft tun. Zum Beispiel orientieren wir uns bei aramido bei Sen­sibili­sierungs­ver­an­stal­tungen f├╝r Entwickler an den Top 10, um f├╝r m├Âgliche Schwach­stel­len zu sensibilisieren und eine Diskussion zu Gegen­ma├č­nahmen einzuleiten.

Die Liste der kritischsten Sicherheitsl├╝cken von Webanwendungen

Die OWASP Top 10 - 2021 beschreiben die zehn kritischsten Sicherheits­risiken f├╝r Weban­wendungen, zeigen Angriffsvektoren auf und empfehlen Schutzma├č­nahmen, wie man sich vor den Angriffen sch├╝tzen kann. Sie basieren auf einer umfangreichen Daten­er­hebung der Autoren mit Hilfe der Security Community.

A01:2021 - Broken Access Control

Fehler im Zugriffsmanagement r├╝ckt von der f├╝nften Position (2017) auf den ersten Platz (2021). Wird die Autorisierung in einer Webanwendung nicht stringent umgesetzt, k├Ânnen Benutzer auf Daten zugreifen, die nicht f├╝r sie freigegeben sind. Beim Design einer Anwendung (A04:2021) muss deshalb zwingend und klar definiert werden, wie Benutzer sich gegen├╝ber einer Anwendung authentifizieren und im Folgeschritt, wenn die Identit├Ąt festgestellt wurde, wozu der Benutzer berechtigt ist.

A02:2021 - Cryptographic Failures

Zuvor wurde diese Kategorie als ÔÇ×Ver├Âffentlichung sensitiver InformationenÔÇť bezeichnet. Die neue Bezeichnung konzentriert sich auf Fehler im Zusammenhang mit der Kryptographie, wie es zuvor implizit der Fall war. Die Schwachstellen f├╝hren h├Ąufig zur Offenlegung sensibler Daten wie Passw├Ârter oder privater Schl├╝ssel.

A03:2021 - Injection

Injections r├╝cken vom ersten auf den dritten Rang. Sie entstehen durch die Verarbeitung von nicht vertrauens­w├╝rdigen Daten durch eine Anwendung. Diese Daten wurden hierbei nicht oder nur unzureichend validiert und behandelt. In der Vergangen­heit wurden h├Ąufig SQL-Injections ausgenutzt; dennoch m├╝ssen ebenso andere Injections wie gegen LDAP-Verzeichnisse oder das Betriebs­system ber├╝cksichtigt werden. Teil dieser Kategorie ist jetzt auch Cross-Site-Scripting (XSS), was in den vorangegangenen Versionen separat aufgef├╝hrt wurde.

A04:2021 - Insecure Design

Die neue Kategorie konzentriert sich auf Risiken im Zusammenhang mit Designfehlern. Bedrohungsmodelle und sichere Architekturen in der Entwicklung von Webanwendungen werden immer wichtiger, um Angriffe abzuwehren. Unsichere Architekturen k├Ânnen nicht allein durch die Implementierung behoben werden, wenn beispielsweise erforderliche Sicherheitskontrollen nicht fr├╝hzeitig im Entwicklungsprozess ber├╝cksichtigt wurden.

A05:2021 - Security Misconfiguration

Werden Fehler in der Konfiguration von Systemen wie Firewalls, Webservern oder Weban­wendungen gemacht, kann dies weitreichende Folgen haben. Denkbar sind von der Ver├Âffentlichung sensitiver Informationen ├╝ber unautorisierten System­zugriff bis hin zu Dienst­versagen viele F├Ąlle. Angesichts der zunehmenden Umstellung auf hochkonfigurierbare Software ist es nicht ├╝berraschend, dass diese Kategorie im Vergleich zu den Top 10 - 2017 aufgestiegen ist. Die fr├╝here Kategorie f├╝r XML External Entities (XXE) ist nun Teil dieser Risikokategorie. Der XML-Standard sieht es vor externe Daten in ein XML-Dokument nachzuladen. Wer das bei der Verarbeitung dieser Dokumente nicht ber├╝cksichtigt, riskiert eine unberechtigte Befehlsaus┬şf├╝hrung, den Abfluss interner Informa┬ştionen oder Dienstversagen.

A06:2021 - Vulnerable and Outdated Components

Wie auch schon 2017 findet sich in dieser Kategorie die Verwendung von unsicheren Komponenten mit bekannten Schwachstellen wieder. In der heutigen Welt von Frameworks und Software┬şbibliotheken verwenden Entwickler sehr h├Ąufig fremden Code. Was Effizienz- und Sicherheits┬şvorteile bietet, kann gleichfalls zum Einfallstor f├╝r Hacker werden. Nachdem Sicherheitsl├╝cken von Software┬şkomponenten bekannt werden, muss unverz├╝glich f├╝r ein Update gesorgt werden.

A07:2021 - Identification and Authentication Failures

Die Kategorie Identifizierungs- und Authentifizierungsfehler, die zuvor "Fehler im Authenti┬şfizierungs┬şmanagement" hie├č, rutscht vom zweiten Platz ab und umfasst nun insbesondere Fehler in der Nutzeridentifikation. Diese Kategorie ist immer noch ein fester Bestandteil der Top 10, wird aber durch die zunehmende Verf├╝gbarkeit von standardisierten Entwicklungs-Frameworks seltener.

A08:2021 - Software and Data Integrity Failures

Die neue Kategorie f├╝r 2021 konzentriert sich auf Sicherheitsl├╝cken in Bezug auf Software-Updates, kritische Daten und CI/CD-Pipelines ohne Integrit├Ąts├╝berpr├╝fung. Die 2017 als ÔÇ×Unsichere Deseriali┬şsierungÔÇť bezeichnete Kategorie wird nun dieser Kategorie zugeordnet. Bei einer Serialisierung werden komplexe Datenstrukturen in eine sequentielle Zeichenkette umgewandelt. Der umgekehrte Prozess ÔÇô die Deserialisierung ÔÇô kann ausgenutzt werden, um fremde Befehle auszuf├╝hren.

A09:2021 - Security Logging and Monitoring Failures

Diese Kategorie war 2017 auf Platz Zehn und wurde dieses Jahr erweitert, um mehr Arten von Sicherheitsl├╝cken zu umfassen. Logging und die Analyse von Daten stellen den wichtigsten Weg dar einen Angriff auf die eigenen Systeme zu erkennen. Ebenso m├╝ssen Fehler der Anwendung im laufenden Betrieb protokolliert und an die verantwortlichen Stellen kommuniziert werden. Fehlendes und falsches Logging k├Ânnen sich direkt auf die Sichtbarkeit, die Alarmierung bei Vorf├Ąllen und die Forensik auswirken.

A10:2021 - Server-Side Request Forgery (SSRF)

Bei der ebenfalls neuen Kategorie handelt es sich um SSRF-Schwachstellen, die immer dann auftreten, wenn eine Webanwendung eine Remote-Ressource abruft, ohne die vom Benutzer angegebene URL zu validieren. Dadurch kann ein Angreifer die Anwendung dazu zwingen, manipulierte Anfragen vom Server zu senden, selbst wenn sie durch eine Firewall, ein VPN oder eine andere Art von Access Control List (ACL) gesch├╝tzt ist. OWASP weist darauf hin, dass der Schweregrad von SSRF aufgrund von Cloud-Diensten und komplexen Architekturen immer gr├Â├čer wird.

Erhebung der Daten

Die neue Ausgabe der OWASP Top Ten beruht auf statistischen Daten zu h├Ąufigen Sicherheitsl├╝cken, die in der Vergangenheit ├╝ber betreffende Branchenkan├Ąle gemeldet wurden. Zudem wurden regelm├Ą├čig Umfragen von Branchenexperten durchgef├╝hrt, um die vorhandenen Daten mit den aktuellsten Erkenntnissen der Fachleute im Bereich Anwendungssicherheit und Entwicklung abzugleichen.

Mit Information & Sicherheit auf dem Laufenden bleiben.
Mit Anmeldung willigen Sie ein, dass Ihnen aramido regelm├Ą├čig E-Mails zu aktuellen Informationssicherheitsthemen zusenden darf. Die Einwilligung kann jederzeit widerrufen werden. N├Ąheres zur Datenverarbeitung in unserer Datenschutzerkl├Ąrung