© Sven Hansche/Shutterstock.com
Entwickler Magazin
Neuauflage der OWASP Top 10 - 2017

Mehr Bewusstsein für Security

Im Entwickleralltag fristen Securityaspekte allzu oft ein Schattendasein. 2003 ging ein Projekt an den Start, das sich zum Ziel gesetzt hatte, dem etwas entgegenzusetzen: die OWASP Top 10, eine Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen. Diese Sicherheitsrisiken werden seither vom Open Web Application Security Project (OWASP) in regelmäßigen Abständen zusammengetragen und veröffentlicht. Zum Jahresende 2017 war es wieder so weit. Die neueste Version enthält zahlreiche Änderungen im Vergleich zur letzten Auflage von 2013. Neue Risiken sind hinzugekommen, alte sind ausgeschieden, und auch in der Rangfolge bestehender Schwachstellen gab es einige Bewegung.

Marius Hofmeister


Wer auf die Neuauflage der OWASP Top 10 gewartet hatte, musste zuletzt etwas Geduld mitbringen. Denn während die Veröffentlichung ursprünglich für Sommer 2017 geplant war, verzögerte sich die Fertigstellung dann doch bis zum Ende des Jahres. Grund hierfür war eine kontroverse Diskussion der OWASP-Community über die veröffentlichte Vorabversion der Top 10. Dieser erste Release Candidate wurde mehrheitlich abgelehnt. Doch beginnen wir am Anfang der Geschichte.

Grundlage der OWASP Top 10, der weit über Entwicklerkreise hinaus bekannten Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen, ist ein umfangreicher Datenpool von Unternehmen, die auf Anwendungssicherheit spezialisiert sind. Um aktuelle Daten für die Neuauflage zu sammeln, wurde im Mai 2016 ein initialer Data Call auf der OWASP-Website veröffentlicht. Im Frühjahr 2017 folgte die Fertigstellung eines ersten Release Candidates auf Basis der eingereichten Daten. Darin gab es einige Änderungen zur Version von 2013: Zwei Risiken wurden zusammengefasst, zwei neu hinzugefügt und eins entfernt. Auf dem OWASP Summit 2017 in London kam es dann zu intensiven Diskussionen. Insbesondere die Forward-looking Items, die neu hinzugefügten Risiken, die sich nicht auf die Datenlage, sondern auf Einschätzungen für in der Zukunft relevante Sicherheitslücken beziehen, wurden von den Teilnehmern mehrheitlich abgelehnt. Bemängelt wurde auch die insgesamt als unzureichend eingestufte Datenbasis. Daher wurde beschlossen, einen neuen Data Call auszurufen, der die bestehenden Daten anreichern sollte, und die Forward-looking Items über eine Umfrage unter Industrievertretern zu ermitteln.

Und so kam es dann letztendlich auch. Auf mehr als vierzig Einreichungen basiert die neue Version der Top 10, die Schwachstellen von mehreren hundert Organisationen und mehr als 100 000 Applikationen und APIs umfasst [1]. Die Rohdaten sind erstmals frei verfügbar und lassen sich online einsehen. Der Fragebogen für die Forward-looking Items, in dem die Teilnehmer die wichtigsten Schwachstellen für eine Aufnahme in die Top 10 bewerten sollten, wurde mehr als 500-mal ausgefüllt. Um die finale Rangfolge der Risiken festzulegen, wurden jeweils die Ausnutzbarkeit des Angriffs, die Verbreitung, die Auffindbarkeit sowie die technischen Auswirkungen datengestützt und auf Erfahrungen basierend ermittelt (Tabelle 1). Die Gesamtbewertung ergibt sich dann über eine Multiplikation der gemittelten Wahrscheinlichkeitsfaktoren mit der technischen ...

Entwickler Magazin
Neuauflage der OWASP Top 10 - 2017

Mehr Bewusstsein für Security

Im Entwickleralltag fristen Securityaspekte allzu oft ein Schattendasein. 2003 ging ein Projekt an den Start, das sich zum Ziel gesetzt hatte, dem etwas entgegenzusetzen: die OWASP Top 10, eine Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen. Diese Sicherheitsrisiken werden seither vom Open Web Application Security Project (OWASP) in regelmäßigen Abständen zusammengetragen und veröffentlicht. Zum Jahresende 2017 war es wieder so weit. Die neueste Version enthält zahlreiche Änderungen im Vergleich zur letzten Auflage von 2013. Neue Risiken sind hinzugekommen, alte sind ausgeschieden, und auch in der Rangfolge bestehender Schwachstellen gab es einige Bewegung.

Marius Hofmeister


Wer auf die Neuauflage der OWASP Top 10 gewartet hatte, musste zuletzt etwas Geduld mitbringen. Denn während die Veröffentlichung ursprünglich für Sommer 2017 geplant war, verzögerte sich die Fertigstellung dann doch bis zum Ende des Jahres. Grund hierfür war eine kontroverse Diskussion der OWASP-Community über die veröffentlichte Vorabversion der Top 10. Dieser erste Release Candidate wurde mehrheitlich abgelehnt. Doch beginnen wir am Anfang der Geschichte.

Grundlage der OWASP Top 10, der weit über Entwicklerkreise hinaus bekannten Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen, ist ein umfangreicher Datenpool von Unternehmen, die auf Anwendungssicherheit spezialisiert sind. Um aktuelle Daten für die Neuauflage zu sammeln, wurde im Mai 2016 ein initialer Data Call auf der OWASP-Website veröffentlicht. Im Frühjahr 2017 folgte die Fertigstellung eines ersten Release Candidates auf Basis der eingereichten Daten. Darin gab es einige Änderungen zur Version von 2013: Zwei Risiken wurden zusammengefasst, zwei neu hinzugefügt und eins entfernt. Auf dem OWASP Summit 2017 in London kam es dann zu intensiven Diskussionen. Insbesondere die Forward-looking Items, die neu hinzugefügten Risiken, die sich nicht auf die Datenlage, sondern auf Einschätzungen für in der Zukunft relevante Sicherheitslücken beziehen, wurden von den Teilnehmern mehrheitlich abgelehnt. Bemängelt wurde auch die insgesamt als unzureichend eingestufte Datenbasis. Daher wurde beschlossen, einen neuen Data Call auszurufen, der die bestehenden Daten anreichern sollte, und die Forward-looking Items über eine Umfrage unter Industrievertretern zu ermitteln.

Und so kam es dann letztendlich auch. Auf mehr als vierzig Einreichungen basiert die neue Version der Top 10, die Schwachstellen von mehreren hundert Organisationen und mehr als 100 000 Applikationen und APIs umfasst [1]. Die Rohdaten sind erstmals frei verfügbar und lassen sich online einsehen. Der Fragebogen für die Forward-looking Items, in dem die Teilnehmer die wichtigsten Schwachstellen für eine Aufnahme in die Top 10 bewerten sollten, wurde mehr als 500-mal ausgefüllt. Um die finale Rangfolge der Risiken festzulegen, wurden jeweils die Ausnutzbarkeit des Angriffs, die Verbreitung, die Auffindbarkeit sowie die technischen Auswirkungen datengestützt und auf Erfahrungen basierend ermittelt (Tabelle 1). Die Gesamtbewertung ergibt sich dann über eine Multiplikation der gemittelten Wahrscheinlichkeitsfaktoren mit der technischen ...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang