Abo
  • IT-Karriere:

OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update

Risiken durch Injections, Fehler beim Session Management und XSS bleiben weiterhin hoch. Im vorliegenden Entwurf finden sich neben bekannten Sicherheitslücken jedoch auch zwei neue Top-10-Kandidaten. Wir stellen die wichtigsten Änderungen und deren mögliche Folgen vor.

Eine Analyse von Tim Philipp Schäfers veröffentlicht am
Die häufigsten Sicherheitslücken bekommen ein Update.
Die häufigsten Sicherheitslücken bekommen ein Update. (Bild: Veracode)

Erstmals seit vier Jahren liegt wieder ein neuer Release Candidate für die OWASP Top 10 vor. Das Open Web Application Security Project (OWASP) veröffentlichte zuletzt im Jahr 2013 die Top 10 der wichtigsten Sicherheitsrisiken für Webapplikationen.

Inhalt:
  1. OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  2. Hersteller von Security-Software könnten sich freuen

Diese werden von Organisationen, Unternehmen und IT-Sicherheitsforschern zur Beratung oder innerhalb von Penetrationstests im Bereich Web herangezogen. Die OWASP Top 10 kann man insoweit als Best Practice für den Bereich Websicherheit ansehen, die in der Fachwelt großen Zuspruch bekommen.

Vieles übernommen - wenige, aber dennoch spannende Änderungsvorschläge

Im neuen Entwurf werden die Risiken aus dem Jahr 2013 größtenteils übernommen, so bleiben verschiedene Arten von Injektionen (SQL Injection, XXE, etc.), Schwächen in der Authentifizierung und dem Session Management und Cross-Site-Scripting (XSS) unverändert auf den Top 3. Das ist naheliegend, schließlich sorgen diese Sicherheitslücken seit fast zwei Dekaden für die größten Probleme und Datenskandale im Web.

Das Vorgehen hinter SQL Injections wurde beispielsweise im Jahr 1998, also vor fast 20 Jahren, erstmals diskutiert. Lösungen dazu, etwa Prepared Statements, sind ebenfalls seit Jahren bekannt - trotzdem kommt es immer wieder zu massiven Problemen mit dieser Art von Sicherheitslücke. Unter den Betroffenen finden sich nicht nur kleine oder private Anbieter, sondern auch bedeutende, etwa Cisco mit seiner E-Mail Security Appliance, Drupal mit Lücken innerhalb des bekannten CMS. 2011 war ironischerweise sogar MySQL.com, die Entwicklerwebseite des weit verbreiteten Datenbanksystems MySQL, selbst betroffen.

Stellenmarkt
  1. Beta Systems Software AG, Berlin
  2. Hectronic GmbH, Bonndorf im Schwarzwald

Im Entwurf wird vorgeschlagen, offene beziehungsweise nicht validierte Weiterleitungen nicht mehr in die Top 10 aufzunehmen, was wohl auf wenig Widerstand in der Community treffen wird, da dieses Sicherheitsrisiko keine große Relevanz für die meisten Applikationen besitzt.

Als neue Sicherheitsrisiken werden aktuell ungeschützte API-Schnittstellen und die fehlende Einrichtung von Sicherheitsmechanismen gegen automatisierte Angriffe diskutiert. Die Diskussion um fehlende Absicherungen von API-Schnittstellen ist in Zeiten von Cross-Plattform-Programmierung, Devops und agilem Projektmanagement sinnvoll und geboten. Ende vergangenen Jahres wurden beispielsweise gravierende Lücken in diesem Bereich beim Fintech-Startup N26 aufgedeckt.

Mit der möglichen Aufnahme fehlender Schutzmaßnahmen vor Angriffen nimmt OWASP eine spannende Diskussion auf. Dürfen Webapplikationen demnächst nur noch als sicher gelten, wenn man sie mit WAFs (Web Application Firewalls) zusätzlich schützt? Und geht dadurch nicht der Fokus auf die eigentliche Sicherheit im Code verloren? Schließlich sind eigene Lösungen im Bereich der Incident Detection oder Incident Response schwer durch selbst programmierte Systeme umsetzbar.

Einige Webentwickler und Unternehmen ziehen es offenbar vor, Sicherheitslücken virtuell wegzupatchen, anstatt Lücken im Quellcode zu schließen. Das bedeutet, dass sie lieber Systeme wie WAFs einsetzen, die ankommende Anfragen auf auffällige Muster untersuchen und damit die Ausnutzung einer Sicherheitslücke verhindern, anstatt den Code selbst zu verändern. WAFs sind jedoch auch nicht immer sicher. So kann es zu False Positives kommen, die erheblichen Einfluss auf die Funktionsfähigkeit von Webapplikationen haben können. Grundsätzlich bringen solche Systeme also, ähnlich wie bei Antivirensoftware, neue Sicherheitsrisiken mit sich.

Hersteller von Security-Software könnten sich freuen 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (Gutscheincode MSPC50) Alternate.de
  2. (u. a. Seagate Backup Plus Hub 8 TB für 149,00€, Toshiba 240-GB-SSD für 29,00€, Sandisk...
  3. 135,00€ (Bestpreis!)
  4. (u. a. The Elder Scrolls Online: Elsweyr für 15,99€, Diablo 3 Battlechest für 17,49€, Iratus...

ibsi 25. Apr 2017

Du meinst "Geldbörse"? :D

blubberer 25. Apr 2017

OWASP sollte jedem, der etwas mit Programmierung am Hut hat, bekannt sein. Es ist schon...


Folgen Sie uns
       


Linksabbiegen mit autonomen Autos - Bericht

In Braunschweig testet das DLR an zwei Ampeln die Vernetzung von automatisiert fahrenden Autos und der Verkehrsinfrastruktur.

Linksabbiegen mit autonomen Autos - Bericht Video aufrufen
Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Fachkräftemangel Freie sind gefragt
  2. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  3. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

    •  /