Abo
  • Services:

OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update

Risiken durch Injections, Fehler beim Session Management und XSS bleiben weiterhin hoch. Im vorliegenden Entwurf finden sich neben bekannten Sicherheitslücken jedoch auch zwei neue Top-10-Kandidaten. Wir stellen die wichtigsten Änderungen und deren mögliche Folgen vor.

Eine Analyse von Tim Philipp Schäfers veröffentlicht am
Die häufigsten Sicherheitslücken bekommen ein Update.
Die häufigsten Sicherheitslücken bekommen ein Update. (Bild: Veracode)

Erstmals seit vier Jahren liegt wieder ein neuer Release Candidate für die OWASP Top 10 vor. Das Open Web Application Security Project (OWASP) veröffentlichte zuletzt im Jahr 2013 die Top 10 der wichtigsten Sicherheitsrisiken für Webapplikationen.

Inhalt:
  1. OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  2. Hersteller von Security-Software könnten sich freuen

Diese werden von Organisationen, Unternehmen und IT-Sicherheitsforschern zur Beratung oder innerhalb von Penetrationstests im Bereich Web herangezogen. Die OWASP Top 10 kann man insoweit als Best Practice für den Bereich Websicherheit ansehen, die in der Fachwelt großen Zuspruch bekommen.

Vieles übernommen - wenige, aber dennoch spannende Änderungsvorschläge

Im neuen Entwurf werden die Risiken aus dem Jahr 2013 größtenteils übernommen, so bleiben verschiedene Arten von Injektionen (SQL Injection, XXE, etc.), Schwächen in der Authentifizierung und dem Session Management und Cross-Site-Scripting (XSS) unverändert auf den Top 3. Das ist naheliegend, schließlich sorgen diese Sicherheitslücken seit fast zwei Dekaden für die größten Probleme und Datenskandale im Web.

Das Vorgehen hinter SQL Injections wurde beispielsweise im Jahr 1998, also vor fast 20 Jahren, erstmals diskutiert. Lösungen dazu, etwa Prepared Statements, sind ebenfalls seit Jahren bekannt - trotzdem kommt es immer wieder zu massiven Problemen mit dieser Art von Sicherheitslücke. Unter den Betroffenen finden sich nicht nur kleine oder private Anbieter, sondern auch bedeutende, etwa Cisco mit seiner E-Mail Security Appliance, Drupal mit Lücken innerhalb des bekannten CMS. 2011 war ironischerweise sogar MySQL.com, die Entwicklerwebseite des weit verbreiteten Datenbanksystems MySQL, selbst betroffen.

Stellenmarkt
  1. Wilhelm Geiger GmbH & Co. KG, Oberstdorf, Herzmanns
  2. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg im Breisgau

Im Entwurf wird vorgeschlagen, offene beziehungsweise nicht validierte Weiterleitungen nicht mehr in die Top 10 aufzunehmen, was wohl auf wenig Widerstand in der Community treffen wird, da dieses Sicherheitsrisiko keine große Relevanz für die meisten Applikationen besitzt.

Als neue Sicherheitsrisiken werden aktuell ungeschützte API-Schnittstellen und die fehlende Einrichtung von Sicherheitsmechanismen gegen automatisierte Angriffe diskutiert. Die Diskussion um fehlende Absicherungen von API-Schnittstellen ist in Zeiten von Cross-Plattform-Programmierung, Devops und agilem Projektmanagement sinnvoll und geboten. Ende vergangenen Jahres wurden beispielsweise gravierende Lücken in diesem Bereich beim Fintech-Startup N26 aufgedeckt.

Mit der möglichen Aufnahme fehlender Schutzmaßnahmen vor Angriffen nimmt OWASP eine spannende Diskussion auf. Dürfen Webapplikationen demnächst nur noch als sicher gelten, wenn man sie mit WAFs (Web Application Firewalls) zusätzlich schützt? Und geht dadurch nicht der Fokus auf die eigentliche Sicherheit im Code verloren? Schließlich sind eigene Lösungen im Bereich der Incident Detection oder Incident Response schwer durch selbst programmierte Systeme umsetzbar.

Einige Webentwickler und Unternehmen ziehen es offenbar vor, Sicherheitslücken virtuell wegzupatchen, anstatt Lücken im Quellcode zu schließen. Das bedeutet, dass sie lieber Systeme wie WAFs einsetzen, die ankommende Anfragen auf auffällige Muster untersuchen und damit die Ausnutzung einer Sicherheitslücke verhindern, anstatt den Code selbst zu verändern. WAFs sind jedoch auch nicht immer sicher. So kann es zu False Positives kommen, die erheblichen Einfluss auf die Funktionsfähigkeit von Webapplikationen haben können. Grundsätzlich bringen solche Systeme also, ähnlich wie bei Antivirensoftware, neue Sicherheitsrisiken mit sich.

Hersteller von Security-Software könnten sich freuen 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. 9,99€
  3. (2 Monate Sky Ticket für nur 4,99€)

ibsi 25. Apr 2017

Du meinst "Geldbörse"? :D

blubberer 25. Apr 2017

OWASP sollte jedem, der etwas mit Programmierung am Hut hat, bekannt sein. Es ist schon...


Folgen Sie uns
       


E3 2018, wenig Hardware, mehr Spiele - Livestream

Neue Hardware (PC, Konsolen, Handhelds) sind auf der diesjährigen E3 in Los Angeles wohl nicht zu erwarten, oder doch? Diese und andere spannende Fragen zur Messe diskutieren die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek im Livestream.

E3 2018, wenig Hardware, mehr Spiele - Livestream Video aufrufen
Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
Business-Festival
Cebit verliert 70.000 Besucher und ist hochzufrieden

Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

  1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

Deutsche Siri auf dem Homepod im Test: Amazon und Google können sich entspannt zurücklehnen
Deutsche Siri auf dem Homepod im Test
Amazon und Google können sich entspannt zurücklehnen

In diesem Monat kommt der dritte digitale Assistent auf einem smarten Lautsprecher nach Deutschland: Siri. Wir haben uns angehört, was die deutsche Version auf dem Homepod leistet.
Ein Test von Ingo Pakalski

  1. Patentantrag von Apple Neues Verfahren könnte Siri schlauer machen
  2. Siri vs. Google Assistant Apple schnappt sich Googles KI-Chefentwickler
  3. Digitaler Assistent Apple will Siri verbessern

Jurassic World Evolution im Test: Das Leben findet einen Weg
Jurassic World Evolution im Test
Das Leben findet einen Weg

Ian Malcolm hatte recht: Das Leben wird ausgegraben und gebrütet, es frisst und stirbt oder es bricht aus und macht Jagd auf die Besucher. Nur leider haben die Entwickler von Jurassic World Evolution ein paar kleine Design-Fehler begangen, so wie Henry Wu bei der Dino-DNA.
Ein Test von Marc Sauter

  1. Vampyr im Test Zwischen Dracula und Doktor
  2. Fe im Test Fuchs im Farbenrausch
  3. Thaumistry: In Charm's Way im Test Text-Adventure der ganz alten Schule

    •  /