Was sind die OWASP Top 10 - 2017?
Das Open Worldwide Application Security Project (kurz OWASP) hat die neuen Top 10 der häufigsten Sicherheitsrisiken für Webanwendungen veröffentlicht. Die OWASP Top 10 - 2017 sollen Entwickler, Anforderungsingenieure und das Management für Risiken der Webanwendungssicherheit sensibilisieren, und sie sind durch die große Bekanntheit auch zu einer impliziten Sicherheitsrichtlinie in der Web-Industrie geworden.
Die OWASP Top 10 - 2017 beschreiben die zehn häufigsten Sicherheitsrisiken für Webanwendungen, zeigen Angriffsvektoren auf und empfehlen Schutzmaßnahmen, wie man sich vor den Angriffen schützen kann.
A1:2017 - Injection
Injections entstehen durch die Verarbeitung von nicht vertrauenswürdigen Daten durch eine Anwendung. Diese Daten wurden hierbei nicht oder nur unzureichend validiert und behandelt. In der Vergangenheit wurden häufig SQL-Injections ausgenutzt; dennoch müssen ebenso andere Injections wie gegen LDAP-Verzeichnisse oder das Betriebssystem berücksichtigt werden.
A2:2017 - Fehler im Authentifizierungsmanagement
Die Authentifizierung stellt den Vorgang dar, in dem ein Benutzer seine Identität gegenüber einer Anwendung nachweist. Fehler hierbei können dazu führen, dass Angreifer Identitäten missbrauchen und sich als ein anderer Benutzer ausgeben können.
A3:2017 - Veröffentlichung sensitiver Informationen
Durch unzureichenden Schutz sensitiver Daten sind in der Vergangenheit schwerwiegende Vorfälle entstanden. In 2016 musste Yahoo einräumen 3,5 Milliarden Nutzerdaten verloren zu haben, wobei in den Daten auch schwach gehashte (MD5) Passwörter enthalten waren. Durch den unzureichenden Schutz sind Milliarden von Passwortkombinationen und anderen sensitiven Informationen wie Bank- und Kreditkartendaten bekannt geworden.
A4:2017 - XML External Entities (XXE)
Der XML-Standard sieht es vor externe Daten in ein XML-Dokument nachzuladen. Wer das bei der Verarbeitung dieser Dokumente nicht berücksichtigt, riskiert eine unberechtigte Befehlsausführung, den Abfluss interner Informationen oder Dienstversagen.
A5:2017 - Fehler im Zugriffsmanagement
Wird das Zugriffsmanagement nicht stringent umgesetzt, können Benutzer auf Daten zugreifen, die nicht für sie freigegeben sind. Beim Design einer Anwendung muss deshalb zwingend und klar definiert werden, wie Benutzer sich gegenüber einer Anwendung authentifizieren (A2:2017) und im Folgeschritt, wenn die Identität festgestellt wurde, wozu der Benutzer berechtigt ist.
A6:2017 - Sicherheitsrelevante Fehlkonfiguration
Werden Fehler in der Konfiguration von Systemen wie Firewalls, Webservern oder Webanwendungen gemacht, kann dies weitreichende Folgen haben. Denkbar sind von der Veröffentlichung sensitiver Informationen über unautorisierten Systemzugriff bis hin zu Dienstversagen viele Fälle.
A7:2017 - Cross-Site Scripting (XSS)
Bestimmte Zeichen müssen dem Browser als Sonderzeichen übergeben werden, da andernfalls der Browser diese als Befehle interpretiert. Wer das sogenannte Output Escaping nicht beherrscht, riskiert Cross-Site Scripting, wodurch Angreifer möglicherweise Cookie-Informationen abgreifen oder Seiten verunstalten können.
A8:2017 - Unsichere Deserialisierung
Bei einer Serialisierung werden komplexe Datenstrukturen in eine sequentielle Zeichenkette umgewandelt. Der umgekehrte Prozess – die Deserialisierung – kann ausgenutzt werden, um fremde Befehle auszuführen.
A9:2017 - Verwendung unsicherer Komponenten
In der heutigen Welt von Frameworks und Softwarebibliotheken verwenden Entwickler sehr häufig fremden Code. Was Effizienz- und Sicherheitsvorteile bietet, kann gleichfalls zum Einfallstor für Hacker werden. Nachdem Sicherheitslücken von Softwarekomponenten bekannt werden, muss unverzüglich für ein Update gesorgt werden. Das Bewusstsein und die Verwendung sicherer Komponenten stellt eine große Herausforderung dar.
A10:2017 - Unzureichender Einsatz von Logging und Überwachung
Logging und die Analyse dieser Daten stellt den wichtigsten Weg dar einen Angriff auf die eigenen Systeme zu erkennen. Ebenso müssen Fehler der Anwendung im laufenden Betrieb protokolliert und an die verantwortlichen Stellen kommuniziert werden.
Online Webapplication Security Project
Die OWASP Top 10 sind eines von vielen Projekten der weltweit agierenden Vereinigung OWASP. Mit anderen Projekten wie dem Zed Attack Proxy (ZAP) oder dem Juice Shop wird dazu beigetragen Webanwendungen sicher entwickeln zu können.
Wer an dem Projekt teilnehmen möchte, kann bei einem regionalen Treffen vorbeikommen. Das OWASP Chapter Karlsruhe trifft sich an jedem ersten Montag im Monat und begrüßt jeden Interessierten.
Am 21.11.2018 in der Kategorie Sicherheit von Webanwendungen veröffentlicht.