Die zehn größten Risiken für Web-Applikationen: neue Sicherheitslage für Web-Anwendungen

Erstmals seit vier Jahren hat die Non-Profit Organisation Open Web Application Security Project (OWASP) die größten Risiken für Webanwendungen, die sogenannten OWASP Top 10, aktualisiert [1]. Die OWASP Top 10 richten sich an Entwickler, Sicherheitsberater, Projektmanager, Sicherheitsbeauftragte von Unternehmen und Organisationen und klären über die Konsequenzen der wichtigsten Sicherheitslücken bei Web-Anwendungen auf. Die Daten beruhen auf 50.000 Anwendungen und Schnittstellen von mehreren hundert Unternehmen.

 

Die aktuellen ernstzunehmenden Bedrohungen lauten:

 

  1. Injection (Injection-Schwachstellen, wie etwa SQL-, OS- oder LDAP-Injection)
  2. Umgehung der Benutzerauthentifizierung
  3. Zugriff auf sensible Daten
  4. XML Externe Entities (XXE)
  5. Umgehung der Zugriffskontrolle
  6. Sicherheitsrelevante Fehlkonfiguration
  7. Cross-Site Scripting (XSS-Schwachstellen)
  8. Unsichere Deserialisierung
  9. Benutzen von Komponenten mit bekannten Schwachstellen
  10. Unzureichendes Logging & Monitoring

 

 

 

»OWASP hat nach vier Jahren eine neue Version ihrer Top 10 Schwachstellen für Web Applikationen veröffentlicht. Das Verblüffende ist, dass sich auf den ersten Blick gar nicht viel geändert hat. Injection-Angriffe sind immer noch auf Position eins, gefolgt von fehlerhafter Authentisierung. Jahrelange Awareness-Förderung bei Entwicklern und sichere Entwicklungsprozesse scheinen nicht den erhofften durchschlagenden Erfolg zu haben«, schätzt Dr. Martin Burkhart, Head of Product Management bei Airlock, die Lage ein.

 

Auf Platz vier sind XML External Entities (XXE) zu finden. Diese neue Kategorie wurde aufgrund der Daten aus den Quellcode-Analysen des Sicherheitstest-Tools (SAST) mit aufgenommen.

 

Auch die Community hat zwei neue Punkte miteingebracht: Auf Platz acht findet sich nun die »Unsichere Deserialisierung«, die das Ausführen von Remote Code sowie die Manipulation von sensiblen Objekten auf betroffenen Plattformen erlaubt. Platz zehn »Unzureichendes Logging & Monitoring« erhöht das Risiko, dass böswillige Aktivitäten und Sicherheitsverletzungen nicht rechtzeitig erkannt werden. Andere Punkte, wie unsichere direkte Object References (ehemals Platz vier) und Missing Function Level Access Control (ehemals Punkt sieben) wurden nun in Punkt fünf »Umgehung der Zugriffskontrolle« zusammengefasst.

 

Interessant ist der Neuzugang auf Position zehn: »Unzureichendes Logging & Monitoring«. OWASP spricht dabei das Problem an, dass nach einem erfolgreichen Angriff meist 200 Tage vergehen, bis der Einbruch bemerkt wird. In dieser Zeit können sich die Angreifer permanent einnisten, weiter ausbreiten und großen Schaden anrichten. Ein effizientes Logging von Angriffen und ein Monitoring dieser Events muss mit dem Incident Handling integriert sein, um diese Latenzzeit signifikant zu reduzieren.

 

»Gleichzeitig haben sich allerdings die grundlegenden Architekturen und der verwendete Technologie-Stack stark verändert. Der Siegeszug von Javascript auf dem Client hält an und fördert die Entstehung von Services und APIs im Backend. In der Finanzbranche werden sogar europaweite Regulierungen erlassen, die explizit die Veröffentlichung von APIs fordern (PSD2). Insofern erstaunt es nicht, dass auf Position vier mit »XML External Entities (XXE)« neu eine Webservice-Schwachstelle auf der Hitliste erscheint. In der Praxis sehen wir allerdings eine Abnahme von SOAP-Webservices und eine zunehmende Verbreitung von REST-APIs. Die Möglichkeit, Security Policies auch auf JSON-Objekte und REST-Calls anwenden zu können wird damit für Security-Gateways essenziell. Mit Airlock WAF 7 haben wir diesem Umstand Rechnung getragen und ein neues Whitelist Learning gebaut, das den einfachen Schutz von REST-API-Calls mit wenigen Klicks erlaubt. Außerdem haben wir das komplette Logging und Reporting erneuert. Neu stehen themenspezifische Dashboards zur Verfügung, die in Echtzeit aus Logdaten Informationen aufbereiten. Eine Integration mit SIEM-Systemen erlaubt zudem die effiziente Weiterverarbeitung und Korrelation dieser Informationen mit Umsystemen«, fährt Dr. Martin Burkhart, Head of Product Management bei Airlock fort.

 

Neue Sicherheitslücken können jederzeit entstehen

Unternehmen sollten sich bewusst sein, dass es nicht nur diese zehn Bedrohungen gibt, sondern dass es im Web unzählige weitere gibt. Hinzu kommt, dass diese sich stets ändern und weiterentwickeln. Selbst wenn sich der Code einer Anwendung selbst nicht ändert, kann so eine Sicherheitslücke entstehen, da Cyberkriminelle neue Angriffsmethoden entwickeln.

 

Sicherheitslücken sind meist sehr komplex und nicht leicht aufzuspüren, da sie sich im Code verstecken. Menschliche Expertise gepaart mit einer guten Sicherheitslösung ist daher in vielen Fällen die kosteneffizienteste Lösung.

 

[1] https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

 

 

 [2] Obwohl Applikationssicherheit seit bereits fast 20 Jahren ein vorherrschendes Thema ist, braucht es heute mehr denn je einen zentralen Schutz auf der Anwendungsebene. Dieser zentrale Schutz sollte Inhalte analysieren, Benutzer authentisieren und Zugriffe autorisieren können. Ein Whitepaper zu den OWASP Top 10 2017 können Sie nach Registrierung hier herunterladen. https://www.airlock.com/owasp/

 

 

 

 

 

 

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Prävention, Schutz & Hilfe im Schadensfall: Erfolgreicher Start der Initiative IT- und Websicherheit

Erhebliches Sicherheitsrisiko: Studie zur Passwort-Sicherheit bei Webportalen

Qualitätskriterien für den Cloud-Arbeitsplatz

iPaaS und das Internet der Dinge (IoT)

Integrierte Anwendungs-Suite für Unternehmen mit kundenfreundlichem Preismodell

KMU im Fadenkreuz der Cyberkriminellen: Sieben Schritte zur Verbesserung der Cybersicherheit

Webtraffic: Bots produzieren mehr Traffic als Menschen

Nach Angriff auf Amazon, Netflix, Paypal, Twitter: Firmen fürchten Internet der Dinge

Website-Sicherheit sorgt für mehr Umsatz beim Weihnachts-Shopping

IT-Sicherheitsgesetz wirkt sich auf Telemediengesetz aus: Zeit für den Website-Check