web-security.io

OWASP Top 10



circles

Webanwendungen sind heutzutage unverzichtbar für viele Unternehmen, um ihre Kunden zu erreichen und ihr Geschäft auszubauen. Allerdings sind Webanwendungen auch anfällig für verschiedene Arten von Angriffen. Die bekanntesten und gefährlichsten Schwachstellen von Webanwendungen sind im OWASP Top 10 gelistet. In diesem Artikel werden wir uns die OWASP Top 10 genauer ansehen und erklären, wie man diese Schwachstellen vermeiden kann.

A01:2021-Broken Access Control:

Diese Lücke tritt auf, wenn die Anwendung nicht ausreichend prüft, ob ein Benutzer auf bestimmte Ressourcen zugreifen darf. Dadurch kann es einem Angreifer möglich sein, auf geschützte Bereiche der Anwendung zuzugreifen.

A02:2021 – Cryptographic Failures:

  • Übermittlung sensibler Daten (über HTTP, FTP, SMTP usw.) oder Speicherung im Klartext (in Datenbanken, Dateien usw.).
  • Verwendung alter oder schwacher kryptografischer Algorithmen
  • Verwendung schwacher oder standardmäßiger Verschlüsselungsschlüssel oder Wiederverwendung kompromittierter Schlüssel
  • Nicht durchgesetzte Verschlüsselung oder nicht validierte Serverzertifikate bei der Kommunikation mit dem Server.

A03:2021-Injection:

Injection-Angriffe sind sehr häufig und treten auf, wenn ein Angreifer Code in eine Anwendung einschleust, um Datenbanken zu manipulieren oder unerlaubte Aktionen auszuführen. Um diese Schwachstelle zu vermeiden, sollte die Anwendung Eingaben von Benutzern überprüfen und validieren.

A04:2021 – Insecure Design:

Insecure design ist eine weit gefasste Kategorie, die verschiedene Schwachstellen repräsentiert, ausgedrückt als "fehlende oder unwirksame Kontrollgestaltung". Die unsichere Konzeption ist nicht die Ursache für alle anderen Top-10-Risikokategorien. Es gibt einen Unterschied zwischen unsicherem Design und unsicherer Implementierung. Die Unterscheidung zwischen Design- und Implementierungsmängeln hat einen Grund: Sie haben unterschiedliche Ursachen und Abhilfemaßnahmen. Ein sicheres Design kann immer noch Implementierungsfehler aufweisen, die zu Schwachstellen führen, die ausgenutzt werden können. Ein unsicherer Entwurf kann nicht durch eine perfekte Implementierung behoben werden, da die erforderlichen Sicherheitskontrollen per definitionem nie zur Abwehr bestimmter Angriffe geschaffen wurden. Einer der Faktoren, die zu einem unsicheren Entwurf beitragen, ist die fehlende Erstellung eines Geschäftsrisikoprofils für die zu entwickelnde Software oder das zu entwickelnde System und damit das Versäumnis, das erforderliche Maß an Sicherheitsdesign zu bestimmen.

A05:2021-Security Misconfiguration:

Diese Lücke tritt auf, wenn Sicherheitseinstellungen nicht richtig konfiguriert sind. Dadurch ist es einem Angreifer möglich, Schwachstellen auszunutzen und Zugang zur Anwendung zu erhalten.

A06:2021 – Vulnerable and Outdated Components:

  • Anfällige Komponenten (Betriebssystem oder Softwarepakete, Anwendungen, Laufzeitumgebungen) im client- und serverseitigen Code.
  • Unsichere Software-Konfiguration
  • Veraltete/ungepatchte Abhängigkeiten in der Abhängigkeitskette der verwendeten Komponenten.

A07:2021-Identification and Authentication Failures:

Angriffe auf Authentifizierung und Sitzungsverwaltung können dazu führen, dass Benutzerkonten kompromittiert werden. Um diese Schwachstelle zu vermeiden, sollten Entwickler sichere Authentifizierungsmethoden und Sitzungsverwaltung implementieren.

A08:2021 – Software and Data Integrity Failures:

Die oft als Software- und Datenintegritätsfehler bezeichnete OWASP-Richtlinie befasst sich mit den Annahmen, die mit kritischen CI/CD-Pipelines, Datenverarbeitung und Software-Update-Integritätsfehlern verbunden sind. Für den Laien bedeutet dies, dass bei der Verwendung von Software/Anwendungen/kritischen Daten ohne Einhaltung der besten Verifizierungs- oder Authentifizierungspraktiken mehrere Bedrohungen auftreten, und A08:2021 deckt sie alle ab.

A09:2021 – Security Logging and Monitoring Failures:

Diese Kategorie soll helfen, aktive Sicherheitsverletzungen zu erkennen, zu eskalieren und darauf zu reagieren. Ohne Protokollierung und Überwachung können Verstöße nicht entdeckt werden.

A10:2021 – Server-Side Request Forgery (SSRF):

Bei OWASP SSRF handelt es sich um eine Art von Cyberangriff, bei dem ein Hacker eine bereits vorhandene Schwachstelle auf einem Server ausnutzt und gegen den Server verwendet. Je nach Absicht des Hackers nutzt ein Angreifer SSRF, um geschäftskritische Serverdaten (gespeichert oder im Vorbeigehen) durch Einfügen eines beschädigten Codes/Links zu beeinträchtigen.