© MicroOn/Shutterstock.com
Unbekanntere Schwachstellenarten in Webanwendungen und APIs

Beyond OWASP Top 10


Auch wenn beim Entwickeln von Anwendungen grundlegende Sicherheitslücken wie Cross-Site Scripting (XSS) oder SQL Injections vermieden werden, sind Webapplikationen und Schnittstellen anfällig für Schwachstellen. Dieser Artikel stellt ausgewählte, unbekanntere Schwachstellenarten vor, die ein Penetration-Tester in der Berufspraxis findet; zudem gibt er zur Vertiefung des Themas Hinweise auf gute Fachquellen.

Sicherheit im Web muss beim Entwerfen und Entwickeln von Webanwendungen und Schnittstellen von Anfang an berücksichtigt werden. Dieses Bewusstsein und das notwendige Wissen werden jedoch in Studium und Kursen unzureichend vermittelt, wovon zahlreiche Schwachstellen in verbreiteten Anwendungen zeugen.

Im Dienst der Websicherheit – Open Web Application Security Project

Das Open Web Application Security Project (OWASP) [1] ist eine Non-Profit-Organisation, die sich auf die Fahne geschrieben hat, die Sicherheit von Webanwendungen zu verbessern. Dazu veröffentlichen die zahlreichen freiwilligen Projektmitglieder unter anderem technische Dokumentationen, Softwarebibliotheken und Testwerkzeuge. Diese sind allesamt kostenfrei nutzbar unter freien Lizenzen wie Creative Commons und zudem als Dokument und als Software in bearbeitbaren Formaten beziehungsweise im Quelltext verfügbar. Ihre wohl bekannteste Publikation ist die OWASP Top 10, eine Liste der zehn kritischsten Schwachstellen in Webanwendungen. In der Publikation werden die Ursachen für die Schwachstellen und die Gegenmaßnahmen ausführlich erläutert [2]. Die Liste wurde erstmals 2003 veröffentlicht, zuletzt 2017 angepasst und ist vielen Entwicklern ein Begriff. Ihre nächste Aktualisierung steht im Herbst 2020 an [3].

Manche Anbieter gehen sogar so weit, ihre Software als sicher zu bezeichnen, weil sie gemäß der OWASP Top 10 entwickelt worden sei. Nicht immer seriöse Sicherheitsdienstleister bieten Tests nur gegen die OWASP-Top-10-Sicherheitslücken an und stellen danach der Anwendung ein Sicherheitszertifikat aus. Das ist jedoch unseriös, denn die Liste ist nach eigener Zielsetzung kein Sicherheitsstandard [4]. Die Verantwortlichen des Open Web Application Security Projects sehen die OWASP Top 10 als Awareness-Dokument, das einem breiten Publikum von Informationssicherheitsverantwortlichen über Entwickler bis zu Testern grundlegende Schwachstellen verständlich machen soll. Die Ursachen der Schwachstellen sollten auf jeden Fall bei der Entwicklung von Webanwendungen berücksichtigt werden. Die Top 10 könne...

Exklusives Abo-Special

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang