Abo
  • Services:
Anzeige
Die häufigsten Sicherheitslücken bekommen ein Update.
Die häufigsten Sicherheitslücken bekommen ein Update. (Bild: Veracode)

OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update

Die häufigsten Sicherheitslücken bekommen ein Update.
Die häufigsten Sicherheitslücken bekommen ein Update. (Bild: Veracode)

Risiken durch Injections, Fehler beim Session Management und XSS bleiben weiterhin hoch. Im vorliegenden Entwurf finden sich neben bekannten Sicherheitslücken jedoch auch zwei neue Top-10-Kandidaten. Wir stellen die wichtigsten Änderungen und deren mögliche Folgen vor.
Eine Analyse von Tim Philipp Schäfers

Erstmals seit vier Jahren liegt wieder ein neuer Release Candidate für die OWASP Top 10 vor. Das Open Web Application Security Project (OWASP) veröffentlichte zuletzt im Jahr 2013 die Top 10 der wichtigsten Sicherheitsrisiken für Webapplikationen.

Anzeige

Diese werden von Organisationen, Unternehmen und IT-Sicherheitsforschern zur Beratung oder innerhalb von Penetrationstests im Bereich Web herangezogen. Die OWASP Top 10 kann man insoweit als Best Practice für den Bereich Websicherheit ansehen, die in der Fachwelt großen Zuspruch bekommen.

Vieles übernommen - wenige, aber dennoch spannende Änderungsvorschläge

Im neuen Entwurf werden die Risiken aus dem Jahr 2013 größtenteils übernommen, so bleiben verschiedene Arten von Injektionen (SQL Injection, XXE, etc.), Schwächen in der Authentifizierung und dem Session Management und Cross-Site-Scripting (XSS) unverändert auf den Top 3. Das ist naheliegend, schließlich sorgen diese Sicherheitslücken seit fast zwei Dekaden für die größten Probleme und Datenskandale im Web.

Das Vorgehen hinter SQL Injections wurde beispielsweise im Jahr 1998, also vor fast 20 Jahren, erstmals diskutiert. Lösungen dazu, etwa Prepared Statements, sind ebenfalls seit Jahren bekannt - trotzdem kommt es immer wieder zu massiven Problemen mit dieser Art von Sicherheitslücke. Unter den Betroffenen finden sich nicht nur kleine oder private Anbieter, sondern auch bedeutende, etwa Cisco mit seiner E-Mail Security Appliance, Drupal mit Lücken innerhalb des bekannten CMS. 2011 war ironischerweise sogar MySQL.com, die Entwicklerwebseite des weit verbreiteten Datenbanksystems MySQL, selbst betroffen.

Im Entwurf wird vorgeschlagen, offene beziehungsweise nicht validierte Weiterleitungen nicht mehr in die Top 10 aufzunehmen, was wohl auf wenig Widerstand in der Community treffen wird, da dieses Sicherheitsrisiko keine große Relevanz für die meisten Applikationen besitzt.

Als neue Sicherheitsrisiken werden aktuell ungeschützte API-Schnittstellen und die fehlende Einrichtung von Sicherheitsmechanismen gegen automatisierte Angriffe diskutiert. Die Diskussion um fehlende Absicherungen von API-Schnittstellen ist in Zeiten von Cross-Plattform-Programmierung, Devops und agilem Projektmanagement sinnvoll und geboten. Ende vergangenen Jahres wurden beispielsweise gravierende Lücken in diesem Bereich beim Fintech-Startup N26 aufgedeckt.

Mit der möglichen Aufnahme fehlender Schutzmaßnahmen vor Angriffen nimmt OWASP eine spannende Diskussion auf. Dürfen Webapplikationen demnächst nur noch als sicher gelten, wenn man sie mit WAFs (Web Application Firewalls) zusätzlich schützt? Und geht dadurch nicht der Fokus auf die eigentliche Sicherheit im Code verloren? Schließlich sind eigene Lösungen im Bereich der Incident Detection oder Incident Response schwer durch selbst programmierte Systeme umsetzbar.

Einige Webentwickler und Unternehmen ziehen es offenbar vor, Sicherheitslücken virtuell wegzupatchen, anstatt Lücken im Quellcode zu schließen. Das bedeutet, dass sie lieber Systeme wie WAFs einsetzen, die ankommende Anfragen auf auffällige Muster untersuchen und damit die Ausnutzung einer Sicherheitslücke verhindern, anstatt den Code selbst zu verändern. WAFs sind jedoch auch nicht immer sicher. So kann es zu False Positives kommen, die erheblichen Einfluss auf die Funktionsfähigkeit von Webapplikationen haben können. Grundsätzlich bringen solche Systeme also, ähnlich wie bei Antivirensoftware, neue Sicherheitsrisiken mit sich.

Hersteller von Security-Software könnten sich freuen 

eye home zur Startseite
ibsi 25. Apr 2017

Du meinst "Geldbörse"? :D

blubberer 25. Apr 2017

OWASP sollte jedem, der etwas mit Programmierung am Hut hat, bekannt sein. Es ist schon...



Anzeige

Stellenmarkt
  1. DATAGROUP Köln GmbH, Aschaffenburg
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Schwarz Zentrale Dienste KG, Neckarsulm
  4. Baden-Württembergischer Genossenschaftsverband e.V., Stuttgart


Anzeige
Top-Angebote
  1. (u. a. Hacksaw Ridge, Lion, Snowden, Lone Survivor, London Has Fallen, Homefront)
  2. (u. a. Game of Thrones, Supernatural, The Big Bang Theory)
  3. (u. a. Blade Runner, Inception, Erlösung, Mad Max Fury Road, Creed, Legend of Zarzan)

Folgen Sie uns
       


  1. Unternehmen

    1&1 Versatel bietet Gigabit für Frankfurt

  2. Microsoft

    Xbox One emuliert 13 Xbox-Klassiker

  3. DMT Bonding

    Telekom probiert 1 GBit/s ohne Glasfaser aus

  4. Telekom-Software

    Cisco kauft Broadsoft für knapp 2 Milliarden US-Dollar

  5. Pubg

    Die blaue Zone verursacht künftig viel mehr Schaden

  6. FSFE

    "War das Scheitern von Limux unsere Schuld?"

  7. Code-Audit

    Kaspersky wirbt mit Transparenzinitiative um Vertrauen

  8. iOS 11+1+2=23

    Apple-Taschenrechner versagt bei Kopfrechenaufgaben

  9. Purism Librem 13 im Test

    Freiheit hat ihren Preis

  10. Andy Rubin

    Drastischer Preisnachlass beim Essential Phone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Re: Zu schnell eingegeben!?

    My1 | 03:43

  2. Re: Sind immer die selben Probleme

    Dino13 | 02:37

  3. Re: NSA rät ab => muss gut sein

    Apfelbrot | 01:50

  4. 4-2

    Stegorix | 01:47

  5. Re: Bonding von 8 Leitungen?

    Sharra | 01:33


  1. 18:46

  2. 17:54

  3. 17:38

  4. 16:38

  5. 16:28

  6. 15:53

  7. 15:38

  8. 15:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel