In dieser Reihe präsentieren wir Ihnen die OWASP Top 10 der schwerwiegendsten Sicherheitslücken. Den Auftakt macht dieser Übersichtsartikel, in dem wir die OWASP kurz vorstellen. Für jede Sicherheitslücke werden wir dann in der nächsten Zeit einen eigenen Blogeintrag veröffentlichen.
Mehr Sicherheit im Web: Was heißt OWASP?
OWASP steht für „Open Web Application Security Project“ und ist eine 2001 gegründete Non-Profit Organisation, die sich mit der Verbesserung der Sicherheit von Webanwendungen beschäftigt. Die OWASP-Community setzt sich weltweit aus Freiwilligen, Firmen und Bildungseinrichtungen zusammen und produziert frei verfügbare Artikel, Dokumentationen und andere Werkzeuge zum Thema Websicherheit.
Die OWASP als „Open Source Organisation“ für mehr IT-Sicherheit
Bei OWASP spielt der „Open-Source“ Gedanke eine zentrale Rolle. Das bedeutet, dass alle OWASP Dokumente, Foren, Werkzeuge, etc. kostenlos und für jeden zugänglich sein müssen. Außerdem kann sich jeder am OWASP-Projekt beteiligen, wobei alle Änderungen am Projekt von der Community überwacht werden, um die Qualität zu sichern. Obwohl OWASP den bedachten Einsatz von Sicherheitstechnologie unterstützt, empfiehlt das Projekt keine kommerziellen Produkte oder Dienste. Diese verschiedenen Punkte sollen sicherstellen, dass OWASP frei von jeglichen Zwängen (seien es kommerzielle oder andere) agieren kann und die zur Verfügung gestellten Informationen unvoreingenommen, praxisnah und kosteneffizient sind.
Die OWASP Top 10 Sicherheitslücken im Web
Eine der berühmtesten OWASP Publikationen sind die „OWASP Top 10“. Das Projekt gibt seit 2003 regelmäßig eine Top 10 der schwerwiegendsten und am häufigsten vorkommenden Sicherheitsschwachstellen heraus. Diese Rangliste genießt unter Sicherheitsexperten und Webentwicklern einen hohen Stellenwert, da z.B. allein für die „Top 10 2017“, Schwachstellen in mehreren hundert Unternehmen und in über 100.000 Anwendungen beobachtet und analysiert wurden. Deswegen orientieren auch wir von Enginsight uns an den OWASP Empfehlungen und Beobachtungen. Die aktuelle Rangliste (von 2017) sieht folgendermaßen aus:
- Injection
- Fehler in Authentifizierung (Broken Authentication)
- Verlust der Vertraulichkeit sensibler Daten (Sensitive Data Exposure)
- XML External Entities (XXE)
- Fehler in Autorisierung (Broken Access Control)
- Sicherheitsrelevante Fehlkonfiguration (Security Misconfiguration)
- Cross-Site Scripting (XSS)
- Unsichere Deserialisierung (Insecure Deserialization)
- Verwendung von Komponenten mit bekannten Schwachstellen (Using Components with Known Vulnerabilities)
- Unzureichendes Logging & Monitoring (Insufficient Logging&Monitoring)
Gegenüber der alten Rangliste von 2013 gibt es einige Veränderungen. Zum Beispiel wurde Unzureichendes Logging & Monitoring neu in die Top 10 aufgenommen, was das Risiko erhöht böswillige Aktivitäten und Sicherheitsvorkommnisse nicht rechtzeitig zu erkennen. Denn obwohl viele Fachleute immer wieder darauf hinweisen, dass präventive Sicherheitsmaßnahmen alleine nicht mehr ausreichen, liegt der Fokus von vielen Unternehmen oft noch ausschließlich darauf. Dabei ist das schnelle Erkennen von Sicherheitsvorkommnissen extrem wichtig, um sofort und angemessen reagieren zu können.
Wenn Sie ihren Fokus bezüglich der schnellen Erkennung von Sicherheitsvorkommnissen erweitern möchten, registrieren Sie sich einfach und testen Sie unsere Plattform 14 Tage lang kostenlos.
