© saicle/Shutterstock.com
PHP Magazin
Teil 1: Injection-Schwachstellen im Überblick

Zehn Bedrohungen für Webanwendungen

Die Non-Profit-Organisation Open Web Application Security Project (OWASP) hat im Herbst 2017 ihre Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel lernen Sie den ersten Platz kennen: Injection-Schwachstellen. Eine ernstzunehmende Sicherheitslücke, vor der man sich mit den richtigen Maßnahmen schützen kann.

Carsten Eilers


Artikelserie „OWASP Top 10“Teil 1: Injection-Schwachstellen im ÜberblickTeil 2: Broken Authentication, Sensitive Data Exposure Teil 3: XXE, Broken Access Control, Security MisconfigurationTeil 4: Cross-Site Scripting, Insecure DeserializationTeil 5: Vulnerable Components, Insufficient Logging

Die Veröffentlichung der neuen OWASP Top 10 lief etwas holprig: Am 2. Mai 2016 wurde ein Data Call zum Sammeln von Informationen über Schwachstellen in Webanwendungen veröffentlicht [1]. Erst ein Jahr später, am 2. Mai 2017, war ein erster Release Candidate fertig [2], [3]. An dem Release Candidate gab es heftige Kritik, u. a. weil mit „Insufficient Attack Protection (A7)“ ein neuer Aspekt auf der Liste war, der mit dem eigentlichen Thema, den Schwachstellen in Webanwendungen, nichts direkt zu tun hat. Stattdessen ging es darin um die Erkennung und Abwehr von Angriffen durch zusätzliche Schutzmaßnahmen wie eine Web Application Firewall. Und auch der zweite neue Punkt, „Underprotected APIs (A10)“, war nicht unumstritten. Außerdem gab es Kritik an der Datensammlung. 2013 wurden als relevant angesehenen Unternehmen, Bildungseinrichtungen und Personen direkt angesprochen. 2016 gab es zusätzlich noch einen offenen Aufruf, was insgesamt dazu führte, dass die gesammelten Daten nicht ausgewogen genug waren [4]. Am 2. August übernahm dann ein neues Team die Zusammenstellung der neuen Top 10 [5]. Am 20. Oktober wurde der zweite Release Candidate veröffentlicht [6], [7] und am 20. November folgte dann endlich die finale Version [8].

Die neuen OWASP Top 10

Im Vergleich zu den OWASP Top 10 von 2013 gibt es die folgenden Änderungen [9]:

Einige Einträge haben ihre Plätze gewechselt:Der Punkt „Cross Site Scripting (XSS)“ ist von Platz 3 (2013) auf Platz 7 (2017) abgestiegen.Der Punkt „Security Misconfiguration“ ist von Platz 5 auf Platz 6 abgestiegen. Dafür ist der Punkt „Sensitive Data Exposure“ von Platz 6 auf Platz 3 aufgestiegen.Die Punkte „Insecure Direct Object References“ (2013: Platz 4) und „Missing Function Level Access Control“ (2013: Platz 7) wurden auf Platz 5 als „Broken Access Control“ zusammengefasst.Die Punkte „Cross-Site Request Forgery (CSRF)“ (2013: Platz 8) und „Unvalidated Redirects and Forwards“ (Platz 10) wurden aus den OWASP Top 10 2017 gestrichen, da sie nur noch in ca. fünf bzw. acht Prozent der Anwendungen gefunden wurden.Neu sind die Punkte „XML External Entity (XXE)“ (Platz 4), „Insecure Deserialization“ (Platz 8) und „Insufficient Logging & Monitoring“ (P...

PHP Magazin
Teil 1: Injection-Schwachstellen im Überblick

Zehn Bedrohungen für Webanwendungen

Die Non-Profit-Organisation Open Web Application Security Project (OWASP) hat im Herbst 2017 ihre Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel lernen Sie den ersten Platz kennen: Injection-Schwachstellen. Eine ernstzunehmende Sicherheitslücke, vor der man sich mit den richtigen Maßnahmen schützen kann.

Carsten Eilers


Artikelserie „OWASP Top 10“Teil 1: Injection-Schwachstellen im ÜberblickTeil 2: Broken Authentication, Sensitive Data Exposure Teil 3: XXE, Broken Access Control, Security MisconfigurationTeil 4: Cross-Site Scripting, Insecure DeserializationTeil 5: Vulnerable Components, Insufficient Logging

Die Veröffentlichung der neuen OWASP Top 10 lief etwas holprig: Am 2. Mai 2016 wurde ein Data Call zum Sammeln von Informationen über Schwachstellen in Webanwendungen veröffentlicht [1]. Erst ein Jahr später, am 2. Mai 2017, war ein erster Release Candidate fertig [2], [3]. An dem Release Candidate gab es heftige Kritik, u. a. weil mit „Insufficient Attack Protection (A7)“ ein neuer Aspekt auf der Liste war, der mit dem eigentlichen Thema, den Schwachstellen in Webanwendungen, nichts direkt zu tun hat. Stattdessen ging es darin um die Erkennung und Abwehr von Angriffen durch zusätzliche Schutzmaßnahmen wie eine Web Application Firewall. Und auch der zweite neue Punkt, „Underprotected APIs (A10)“, war nicht unumstritten. Außerdem gab es Kritik an der Datensammlung. 2013 wurden als relevant angesehenen Unternehmen, Bildungseinrichtungen und Personen direkt angesprochen. 2016 gab es zusätzlich noch einen offenen Aufruf, was insgesamt dazu führte, dass die gesammelten Daten nicht ausgewogen genug waren [4]. Am 2. August übernahm dann ein neues Team die Zusammenstellung der neuen Top 10 [5]. Am 20. Oktober wurde der zweite Release Candidate veröffentlicht [6], [7] und am 20. November folgte dann endlich die finale Version [8].

Die neuen OWASP Top 10

Im Vergleich zu den OWASP Top 10 von 2013 gibt es die folgenden Änderungen [9]:

Einige Einträge haben ihre Plätze gewechselt:Der Punkt „Cross Site Scripting (XSS)“ ist von Platz 3 (2013) auf Platz 7 (2017) abgestiegen.Der Punkt „Security Misconfiguration“ ist von Platz 5 auf Platz 6 abgestiegen. Dafür ist der Punkt „Sensitive Data Exposure“ von Platz 6 auf Platz 3 aufgestiegen.Die Punkte „Insecure Direct Object References“ (2013: Platz 4) und „Missing Function Level Access Control“ (2013: Platz 7) wurden auf Platz 5 als „Broken Access Control“ zusammengefasst.Die Punkte „Cross-Site Request Forgery (CSRF)“ (2013: Platz 8) und „Unvalidated Redirects and Forwards“ (Platz 10) wurden aus den OWASP Top 10 2017 gestrichen, da sie nur noch in ca. fünf bzw. acht Prozent der Anwendungen gefunden wurden.Neu sind die Punkte „XML External Entity (XXE)“ (Platz 4), „Insecure Deserialization“ (Platz 8) und „Insufficient Logging & Monitoring“ (P...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang