© Liashko/Shutterstock.com
Die gefährlichsten Webanwendungsschwachstellen im Überblick

Die OWASP Top 10


Das Open Web Application Security Project hat die Ausgabe 2013 der Top 10 mit den gefährlichsten Schwachstellen in Webanwendungen veröffentlicht. In diesem Artikel werden die Plätze 1 bis 5 vorgestellt, in der nächsten Ausgabe folgen dann die Plätze 6 bis 10.

Eine Übersicht über die aktuellen OWASP Top 10 [1] sowie die Änderungen im Vergleich zum 2010 veröffentlichten Vorgänger finden Sie in Tabelle 1. Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:

  • Die Wahrscheinlichkeit dafür, dass eine Webanwendung die Schwachstelle enthält (Prevalence).

  • Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle entdeckt (Detectability).

  • Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle erfolgreich ausnutzt (Exploitability).

  • Die typischen Folgen eines Angriffs (Impact).

Ein kleiner Test

Bevor ich auf die Top 10 eingehe, möchte ich Sie um einen kleinen Test bitten. Sofern Sie für eine Webanwendung verantwortlich sind – egal ob als Entwickler, Admin, Projektleiter oder was auch immer – geben Sie bitte mal die beiden folgenden Strings in die Suchfunktion Ihrer Webanwendung ein: irgend'was und irgendwas" <script>alert(1);</script> .

Wenn im ersten Fall eine SQL-Fehlermeldung ausgegeben wird, stehen die Chancen gut, dass Ihre Anwendung eine SQL-Injection-Schwachstelle enthält. Herzlichen Glückwunsch, Sie haben eine der gefährlichsten aller Schwachstellen gefunden: Sämtliche Injection-Schwachstellen stehen auf Platz 1 der Top 10.

Und wenn im zweiten Fall eine Alertbox mit einer 1 darin aufgeht, haben Sie eine XSS-Schwachstelle gefunden. Die steht zwar „nur“ auf dem dritten Platz, ist aber gefährlich genug. Immerhin kann ein Angreifer darüber zum Beispiel die Session-IDs der Benutzer ausspähen. Und meistens gibt es noch weitere Schwachstellen, wenn schon dieser simple Test funktioniert. XSS in der Suchfunktion ist ein Klassiker – eigentlich dürfte es so was gar nicht mehr geben, trotzdem treten diese Low hang­ing fruit-Schwachstellen immer wieder auf.

Sie haben weder SQL Injection noch XSS gefunden? Dann versuchen Sie doch mal ihr Glück mit Platz 2 der Top 10: Schwachstellen in der Authentifizierung. Können Sie sich mit dem Benutzernamen und Passwort irgendwas' OR '1'='1'— anmelden? Dann gratuliere ich Ihnen zu ihrer ersten Schwachstelle vom Platz 3 der Top 10! Und die ist gleichzeitig eine SQL-Injection-Schwachstelle, steht also zusätzlich auf Platz 1. Zwei Schwachstellen auf einen Streich, das lohnt sich doch!

Aber genug geläs...

Exklusives Abo-Special

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang