Abo
  • Services:
Anzeige
Die häufigsten Sicherheitslücken bekommen ein Update.
Die häufigsten Sicherheitslücken bekommen ein Update. (Bild: Veracode)

OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update

Die häufigsten Sicherheitslücken bekommen ein Update.
Die häufigsten Sicherheitslücken bekommen ein Update. (Bild: Veracode)

Risiken durch Injections, Fehler beim Session Management und XSS bleiben weiterhin hoch. Im vorliegenden Entwurf finden sich neben bekannten Sicherheitslücken jedoch auch zwei neue Top-10-Kandidaten. Wir stellen die wichtigsten Änderungen und deren mögliche Folgen vor.
Eine Analyse von Tim Philipp Schäfers

Erstmals seit vier Jahren liegt wieder ein neuer Release Candidate für die OWASP Top 10 vor. Das Open Web Application Security Project (OWASP) veröffentlichte zuletzt im Jahr 2013 die Top 10 der wichtigsten Sicherheitsrisiken für Webapplikationen.

Anzeige

Diese werden von Organisationen, Unternehmen und IT-Sicherheitsforschern zur Beratung oder innerhalb von Penetrationstests im Bereich Web herangezogen. Die OWASP Top 10 kann man insoweit als Best Practice für den Bereich Websicherheit ansehen, die in der Fachwelt großen Zuspruch bekommen.

Vieles übernommen - wenige, aber dennoch spannende Änderungsvorschläge

Im neuen Entwurf werden die Risiken aus dem Jahr 2013 größtenteils übernommen, so bleiben verschiedene Arten von Injektionen (SQL Injection, XXE, etc.), Schwächen in der Authentifizierung und dem Session Management und Cross-Site-Scripting (XSS) unverändert auf den Top 3. Das ist naheliegend, schließlich sorgen diese Sicherheitslücken seit fast zwei Dekaden für die größten Probleme und Datenskandale im Web.

Das Vorgehen hinter SQL Injections wurde beispielsweise im Jahr 1998, also vor fast 20 Jahren, erstmals diskutiert. Lösungen dazu, etwa Prepared Statements, sind ebenfalls seit Jahren bekannt - trotzdem kommt es immer wieder zu massiven Problemen mit dieser Art von Sicherheitslücke. Unter den Betroffenen finden sich nicht nur kleine oder private Anbieter, sondern auch bedeutende, etwa Cisco mit seiner E-Mail Security Appliance, Drupal mit Lücken innerhalb des bekannten CMS. 2011 war ironischerweise sogar MySQL.com, die Entwicklerwebseite des weit verbreiteten Datenbanksystems MySQL, selbst betroffen.

Im Entwurf wird vorgeschlagen, offene beziehungsweise nicht validierte Weiterleitungen nicht mehr in die Top 10 aufzunehmen, was wohl auf wenig Widerstand in der Community treffen wird, da dieses Sicherheitsrisiko keine große Relevanz für die meisten Applikationen besitzt.

Als neue Sicherheitsrisiken werden aktuell ungeschützte API-Schnittstellen und die fehlende Einrichtung von Sicherheitsmechanismen gegen automatisierte Angriffe diskutiert. Die Diskussion um fehlende Absicherungen von API-Schnittstellen ist in Zeiten von Cross-Plattform-Programmierung, Devops und agilem Projektmanagement sinnvoll und geboten. Ende vergangenen Jahres wurden beispielsweise gravierende Lücken in diesem Bereich beim Fintech-Startup N26 aufgedeckt.

Mit der möglichen Aufnahme fehlender Schutzmaßnahmen vor Angriffen nimmt OWASP eine spannende Diskussion auf. Dürfen Webapplikationen demnächst nur noch als sicher gelten, wenn man sie mit WAFs (Web Application Firewalls) zusätzlich schützt? Und geht dadurch nicht der Fokus auf die eigentliche Sicherheit im Code verloren? Schließlich sind eigene Lösungen im Bereich der Incident Detection oder Incident Response schwer durch selbst programmierte Systeme umsetzbar.

Einige Webentwickler und Unternehmen ziehen es offenbar vor, Sicherheitslücken virtuell wegzupatchen, anstatt Lücken im Quellcode zu schließen. Das bedeutet, dass sie lieber Systeme wie WAFs einsetzen, die ankommende Anfragen auf auffällige Muster untersuchen und damit die Ausnutzung einer Sicherheitslücke verhindern, anstatt den Code selbst zu verändern. WAFs sind jedoch auch nicht immer sicher. So kann es zu False Positives kommen, die erheblichen Einfluss auf die Funktionsfähigkeit von Webapplikationen haben können. Grundsätzlich bringen solche Systeme also, ähnlich wie bei Antivirensoftware, neue Sicherheitsrisiken mit sich.

Hersteller von Security-Software könnten sich freuen 

eye home zur Startseite
ibsi 25. Apr 2017

Du meinst "Geldbörse"? :D

blubberer 25. Apr 2017

OWASP sollte jedem, der etwas mit Programmierung am Hut hat, bekannt sein. Es ist schon...



Anzeige

Stellenmarkt
  1. Woodmark Consulting AG, Düsseldorf
  2. MAHLE International GmbH, Stuttgart
  3. ABB AG, Heidelberg
  4. Ratbacher GmbH, Ludwigshafen


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. 49,99€ mit Vorbesteller-Preisgarantie
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Search Light

    Google testet schlanke Such-App

  2. 3D-Drucker

    Neues Verfahren erkennt Manipulationen beim 3D-Druck

  3. AVS Device SDK

    Amazon bringt Alexa auf Raspberry Pi und andere Boards

  4. Adblock Plus

    OLG München erklärt Werbeblocker für zulässig

  5. Streaming

    Netflix plant 7 Milliarden US-Dollar für eigenen Content ein

  6. Coffee Lake

    Core i3 als Quadcores und Core i5 als Hexacores

  7. Starcraft Remastered im Test

    Klick, klick, klick, klick, klick als wär es 1998

  8. KB4034658

    Anniversary-Update-Update macht Probleme mit WSUS

  9. Container

    Githubs Kubernetes-Cluster überlebt regelmäßige Kernel-Panic

  10. Radeon RX Vega

    Mining-Treiber steigert MH/s deutlich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Workstation AMD bringt Radeon Pro WX 9100
  2. Grafikkarte Radeon RX Vega 64 kostet 500 US-Dollar
  3. Grafikkarte Erste Tests der Radeon Vega FE durchwachsen

  1. Re: Solange sie Content produzieren wie

    Muhaha | 23:34

  2. Re: Ich blocke nicht die Werbung auf Golem.

    Rulf | 23:33

  3. Re: ich benutz keinen blocker

    blacksheeep | 23:31

  4. Re: Angeber-Specs

    HibikiTaisuna | 23:31

  5. Re: Einstieg irrefürend

    Das... | 23:29


  1. 17:02

  2. 15:55

  3. 15:41

  4. 15:16

  5. 14:57

  6. 14:40

  7. 14:26

  8. 13:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel