OWASP TOP 10
Aktie
Die Sicherheit von Webanwendungen hat in der heutigen Welt, in der sich Cyberbedrohungen ständig weiterentwickeln, Priorität. Um Entwicklern und Sicherheitsexperten zu helfen, veröffentlicht das Open Web Application Security Project (OWASP) eine Liste namens „OWASP Top 10“, die die kritischsten Schwachstellen in Webanwendungen hervorhebt. Diese Liste ist wichtig, um die Risiken und die Maßnahmen zu verstehen, die zur Minderung dieser Bedrohungen erforderlich sind.
Was sind die OWASP Top 10?
Die OWASP Top 10 ist eine Rangliste der schwerwiegendsten Schwachstellen, die Webanwendungen betreffen. Ziel ist es, der Technologie-Community Bewusstsein und Wissen über die häufigsten und gefährlichsten Sicherheitslücken zu vermitteln. Diese regelmäßig aktualisierte Liste bietet einen praktischen Leitfaden zur Vorbeugung, Erkennung und Behebung der kritischsten Schwachstellen.
Schwachstellen in den OWASP Top 10 können die Sicherheit einer Anwendung ernsthaft gefährden, sensible Daten preisgeben, unbefugten Zugriff ermöglichen und große Verluste für Unternehmen verursachen.
Es gibt verschiedene Ausgaben der OWASP Top 10, sortiert nach dem Jahr ihrer Erstellung oder Aktualisierung. Dies ist auf die Veränderung in der allgemeinen Landschaft der Web-Sicherheit zurückzuführen, da laut den von der OWASP Foundation gesammelten Daten die Häufigkeit bestimmter Arten von Schwachstellen im Laufe der Zeit zu- und abnimmt. Im Gegenzug entstehen neue Arten von Schwachstellen, während andere verschwinden, einen anderen Namen erhalten oder zu Gruppen zusammengefasst werden:
OWASP Top 10 2021
A01:2021 – Verlust der Zugangskontrolle
- Rechteausweitung: Normale Benutzer können Aktionen erhalten oder ausführen, die Administratorrechte erfordern.
- Laterale Bewegung: Benutzer können auf Daten anderer Benutzer der Plattform zugreifen.
- Mangelnde Zugriffskontrolle in APIs: APIs schützen Ressourcen nicht ordnungsgemäß.
A02:2021 – Kryptografische Fehler
- Schwache oder nicht vorhandene Verschlüsselung: Verwendung veralteter kryptografischer Algorithmen oder fehlende Verschlüsselung sensibler Daten.
- Unsachgemäße Schlüsselverwaltung: Unsichere Speicherung oder Übertragung kryptografischer Schlüssel.
- Offenlegung sensibler Daten: Passwörter, Kartennummern oder unverschlüsselte persönliche Daten.
A03:2021 – Injektion
- SQL-Injection: Manipulation von SQL-Abfragen, um auf Daten in einer Datenbank zuzugreifen oder diese zu ändern.
- Befehlsinjektion: Ausführung von Betriebssystembefehlen durch unsichere Eingabe.
- Code-Injection: Einfügen von Schadcode in die Anwendung, zum Beispiel JavaScript-Code.
A04:2021 – Unsicheres Design
- Fehlende Eingabevalidierung: Die vom Benutzer eingegebenen Daten werden nicht ordnungsgemäß überprüft. Diese Art von Sicherheitslücke kann zu anderen Sicherheitslücken wie Befehlsinjektion oder SQL-Injection führen.
- Fehlende Sicherheitskontrollen: Fehlende Authentifizierung oder Verschlüsselung an kritischen Stellen.
- Schlechte Architektur: Fehlende Rollentrennung oder Verwendung unsicherer Entwurfsmuster.
A05:2021 – Fehlkonfiguration der Sicherheit
- Standardanmeldeinformationen:Verwendung von Passwörtern oder Standardeinstellungen auf Servern oder Anwendungen.
- Offenlegung sensibler Dateien: Öffentlich zugängliche Konfigurationsdateien oder Datenbanken.
- Unnötige Dienste aktiviert: Ungenutzte Dienste, die ausgenutzt werden könnten.
A06:2021 – Anfällige und veraltete Komponenten
- Abhängigkeiten mit bekannten Schwachstellen: Verwendung von Bibliotheken oder Frameworks mit bekannten Sicherheitslücken.
- Veraltete Software: Es sind keine Sicherheitsupdates oder Patches verfügbar.
- Unsichere Plugins und Module: Verwendung von Erweiterungen oder Modulen von Drittanbietern, die nicht ordnungsgemäß geprüft wurden. (Veraltete WordPress-Plugins, veraltete JavaScript-Bibliotheken…)
A07:2021 – Identifikations- und Authentifizierungsfehler
- Unsichere Authentifizierung: Fehlende Mechanismen wie Multi-Faktor-Authentifizierung (MFA).
- Ungeschützte Sitzungen: Offengelegte Sitzungstoken oder fehlender Sitzungsablauf.
A08:2021 – Fehler in der Software- und Informationsintegrität
- Unverifizierte Updates: Software-Update ohne Überprüfung der Authentizität.
- Änderung des Quellcodes: Einschleusen von Schadcode in CI/CD-Repositorys oder Pipelines.
- Kritische Dateimanipulation: Änderung von Konfigurationsdateien oder Datenbanken ohne Erkennung.
A09:2021 – Fehler bei der Aufzeichnung von Sicherheits- und Überwachungsereignissen
- Fehlende Ereignisprotokolle: Fehlende Zugriffsprotokolle, Fehler oder Änderungen im System.
- Unzureichende Protokolle:Die Protokolle enthalten nicht genügend Informationen, um Probleme zu diagnostizieren.
- Keine Angriffe werden in Echtzeit erkannt: Es gibt keine aktiven Warn- oder Überwachungssysteme für Vorfälle.
A10:2021 – Serverseitige Anforderungserzwingung (SSRF)
- Zugriff auf interne Ressourcen: Der Angreifer nutzt die Anwendung, um auf interne Server oder Datenbanken zuzugreifen.
- Firewall-Umgehung: Der Angreifer nutzt die Sicherheitslücke aus, um Netzwerksicherheitsbeschränkungen zu umgehen.
- Abfrage lokaler Dienste: Der Angreifer greift auf Dienste im internen Netzwerk zu, z. B. HTTP, FTP oder SSH.