Bild einer Wespe

Was sind die OWASP Top 10 - 2017?

Das Online Web Application Security Project (kurz OWASP) hat die neuen Top 10 der hĂ€u­figs­ten Sicher­heits­risiken fĂŒr Weban­wendun­gen veröffent­licht. Die OWASP Top 10 - 2017 sollen Entwickler, Anforderungs­ingenieure und das Management fĂŒr Risiken der Weban­wendungs­sicherheit sensibili­sieren, und sie sind durch die große Bekanntheit auch zu einer impliziten Sicherheits­richtlinie in der Web-Industrie geworden.

Die OWASP Top 10 - 2017 beschreiben die zehn hĂ€ufigsten Sicherheits­risiken fĂŒr Weban­wendungen, zeigen Angriffsvektoren auf und empfehlen Schutzmaß­nahmen, wie man sich vor den Angriffen schĂŒtzen kann.

A1:2017 - Injection

Injections entstehen durch die Verarbeitung von nicht vertrauens­wĂŒrdigen Daten durch eine Anwendung. Diese Daten wurden hierbei nicht oder nur unzureichend validiert und behandelt. In der Vergangen­heit wurden hĂ€ufig SQL-Injections ausgenutzt; dennoch mĂŒssen ebenso andere Injections wie gegen LDAP-Verzeichnisse oder das Betriebs­system berĂŒcksichtigt werden.

A2:2017 - Fehler im Authenti­fizierungs­management

Die Authentifi­zierung stellt den Vorgang dar, in dem ein Benutzer seine IdentitĂ€t gegenĂŒber einer Anwendung nachweist. Fehler hierbei können dazu fĂŒhren, dass Angreifer IdentitĂ€ten missbrauchen und sich als einen anderer Benutzer ausgeben können.

A3:2017 - Veröffentlichung sensitiver Informationen

Durch unzureichenden Schutz sensitiver Daten sind in der Vergangenheit schwerwiegende VorfĂ€lle entstanden. In 2016 musste Yahoo einrĂ€umen 3,5 Milliarden Nutzerdaten verloren zu haben, wobei in den Daten auch schwach gehashte (MD5) Passwörter enthalten waren. Durch den unzureichenden Schutz sind Milliarden von Passwort­kombina­tionen und anderen sensitiven Informationen wie Bank- und Kredit­karten­daten bekannt geworden.

A4:2017 - XML External Entities (XXE)

Der XML-Standard sieht es vor externe Daten in ein XML-Dokument nachzuladen. Wer das bei der Verarbeitung dieser Dokumente nicht berĂŒcksichtigt, riskiert eine unberechtigte Befehlsaus­fĂŒhrung, den Abfluss interner Informa­tionen oder Dienstversagen.

A5:2017 - Fehler im Zugriffs­management

Wird das Zugriffsmanagement nicht stringent umgesetzt, können Benutzer auf Daten zugreifen, die nicht fĂŒr sie freigegeben sind. Beim Design einer Anwendung muss deshalb zwingend und klar definiert werden, wie Benutzer sich gegenĂŒber einer Anwendung authentifizieren (A2:2017) und im Folgeschritt, wenn die IdentitĂ€t festgestellt wurde, wozu der Benutzer berechtigt ist.

A6:2017 - Sicherheits­rele­vante Fehl­kon­figuration

Werden Fehler in der Konfiguration von Systemen wie Firewalls, Webservern oder Weban­wendungen gemacht, kann dies weitreichende Folgen haben. Denkbar sind von der Veröffentlichung sensitiver Informationen ĂŒber unautorisierten System­zugriff bis hin zu Dienst­versagen viele FĂ€lle.

A7:2017 - Cross-Site Scripting (XSS)

Bestimmte Zeichen mĂŒssen dem Browser als Sonderzeichen ĂŒbergeben werden, da andernfalls der Browser diese als Befehle interpretiert. Wer das sogenannte Output Escaping nicht beherrscht, riskiert Cross-Site Scripting, wodurch Angreifer möglicher­weise Cookie-Informationen abgreifen oder Seiten verunstalten können.

A8:2017 - Unsichere Deseriali­sierung

Bei einer Serialisierung werden komplexe Datenstrukturen in eine sequentielle Zeichenkette umgewandelt. Der umgekehrte Prozess – die Deserialisierung – kann ausgenutzt werden, um fremde Befehle auszufĂŒhren.

A9:2017 - Verwendung unsicherer Kompo­nenten

In der heutigen Welt von Frameworks und Software­bibliotheken verwenden Entwickler sehr hĂ€ufig fremden Code. Was Effizienz- und Sicherheits­vorteile bietet, kann gleichfalls zum Einfallstor fĂŒr Hacker werden. Nachdem SicherheitslĂŒcken von Software­komponenten bekannt werden, muss unverzĂŒglich fĂŒr ein Update gesorgt werden. Das Bewusstsein und die Verwendung sicherer Komponenten stellt eine große Herausforderung dar.

A10:2017 - Unzureichen­der Einsatz von Logging und Überwachung

Logging und die Analyse dieser Daten stellt den wichtigsten Weg dar einen Angriff auf die eigenen Systeme zu erkennen. Ebenso mĂŒssen Fehler der Anwendung im laufenden Betrieb protokolliert und an die verantwortlichen Stellen kommuniziert werden.

Online Webapplication Security Project

Die OWASP Top 10 sind eines von vielen Projekten der weltweit agierenden Vereinigung OWASP. Mit anderen Projekten wie dem Zed Attack Proxy (ZAP) oder dem Juice Shop wird dazu beigetragen Webanwen­dungen sicher entwickeln zu können.

Wer an dem Projekt teilnehmen möchte, kann bei einem regionalen Treffen vorbeikommen. Das OWASP Chapter Karlsruhe trifft sich an jedem ersten Montag im Monat und begrĂŒĂŸt jeden Interessierten.

FĂŒgen Sie den ersten Kommentar hinzu