Sicherheitsrisiken & Datenexponierung: Die OWASP Top 10 für 2021
Von Kevin E. Greene
19. Oktober 2021
7 min lesen
Das Open Web Application Security Project (OWASP) hat dazu beigetragen, durch Schulungen und Foren Antworten auf kritische IT-Probleme bereitzustellen. Lesen Sie es durch, um die Antworten auf die dringendsten OWASP Top 10 und Fragen zur Sicherheit von Webanwendungen zu finden.
Zum Abschnitt springen
Lassen Sie uns in Antworten auf das Drücken eintauchen OWASP Top 10 und Sicherheitsfragen für Webanwendungen:
- Was ist ein guter Ausgangspunkt für die Sicherheit von Webanwendungen?
- Was ist OWASP und seine Top 10 Sicherheitsrisiken für Webanwendungen?
- Was sind OWASP Top 10 Angriffe und welche Schwachstellen gehören zu den OWASP Top 10 für 2021?
- Wie erzwinge ich die OWASP-Compliance mit SAST?
- Was ist der Unterschied zwischen SAST und DAST?
In der Softwareentwicklung das Testen auf Softwareschwächen, die Sicherheitslücken aufdecken ist routiniert. Die Sicherheit von Webanwendungen ist jedoch aufgrund der zunehmenden Verwendung von Anwendungsprogrammierschnittstellen (APIs), die eine Angriffsfläche für Anwendungen vergrößern, komplexer geworden. DevSecOps-, AppSec- und Anwendungsentwicklungsteams suchen nun nach Verfahren, um die Sicherheitsrisiken zu mindern, die Angriffsfläche zu reduzieren und Datenexponierungen durch Sicherheitslücken in Webanwendungen zu verhindern.
Es gibt einen Ansturm von Webanwendungsangriffen auf Unternehmen und er nimmt stetig zu. Webanwendungen verwenden bekanntermaßen anfällige Abhängigkeiten von Drittanbietern. Die Zugänglichkeit und Erreichbarkeit dieser anfälligen Komponenten weisen Softwareabhängigkeiten auf, die Sicherheitsrisiken schaffen und Angriffsflächen in Webanwendungen offenlegen. Es macht es Angreifern leicht, ernsthafte Störungen zu verursachen, persönliche Informationen wie Kreditkartendaten zu stehlen oder zu manipulieren, einen Denial-of-Service zu verursachen oder die Daten einfach für Lösegeld zu halten. Leider bekommt kein Unternehmen, ob groß oder klein, einen Pass, wenn es um diese Cybersicherheitsherausforderungen geht.
Angreifer suchen nach Schwachstellen und nutzen sie, um die Sicherheit der Anwendung zu gefährden. Schwachstellen in Webanwendungen können Softwareschwächen im Anwendungscode oder Fehlkonfigurationsprobleme in webbasierten Anwendungen sein. Diese Schwachstellen können folgende Ursachen haben:
- Keine Validierung oder Bereinigung von Formulareingaben
- Falsch konfigurierte Webserver
- Fehler im Anwendungsdesign
- Schlecht implementierte und konzipierte Authentifizierungsmechanismen
- Anwendungsprogrammierschnittstellen (APIs)
Angriffe auf Webanwendungen sind einer der häufigsten Angriffsvektoren für Cybersicherheitsvorfälle und Datenschutzverletzungen, wie in Verizon’s Data Breach Investigation Report (DBIR) 2021. Sie erfordern solide Präventions- und Behebungsstrategien wie Patches und Bedrohungsmodellierung, um sie abzuschwächen.
Was ist ein guter Ausgangspunkt für die Sicherheit von Webanwendungen?
Das Öffnen Sie das Web Application Security Project (OWASP). fördert die Anwendungssicherheitspraktiken (AppSec) weltweit durch Engagement, Schulung und Sensibilisierung der Gemeinschaft. OWASP Top 10 ist der Referenzstandard für Organisationen, die Webanwendungen proaktiv vor Sicherheitsbedrohungen schützen, um Risiken zu reduzieren. Die OWASP Top 10-Compliance-Validierung ist ein guter erster Schritt, wenn Sie versuchen, die Softwareentwicklungskultur in Ihrem Unternehmen zu ändern und zu verbessern, da OWASP Aufklärung und Bewusstsein für Anwendungsbedrohungen und Dinge bietet, die schief gehen können, wenn gute Codierungs- und Anwendungssicherheitspraktiken nicht befolgt werden .
Eine weitere Ressource zur Verbesserung der Sicherheit von Webanwendungen ist das Common Vulnerabilities and Exposures (CVE)-System, das einen Verweis auf bekannte Sicherheitslücken und -risiken für die Informationssicherheit bereitstellt. Es ermöglicht jedem, öffentlich bekannte Schwachstellen zu verfolgen, und bietet Telemetrie zu realen Exploits, die in Softwareentwicklungspraktiken und Bedrohungsmodellierungsaktivitäten kodifiziert werden können, um die Sicherheit zu integrieren.
Das Scannen oder Testen von Webanwendungen (wie SAST, DAST, IAST, SCA) ist eine gute Grundlage für Sicherheitsteams. Eine Web Application Firewall (WAF) ist ein weiteres Tool zum Filtern, Überwachen und Blockieren von Webanwendungsangriffen, die in den OWASP Top 10 identifiziert wurden.
Was ist OWASP und seine Top 10 Sicherheitsrisiken für Webanwendungen?
Die OWASP Top 10 ist eine Liste der bekanntesten Schwachstellen und gefährlichen Sicherheitsrisiken für Webanwendungen. Es wird regelmäßig aktualisiert, um den zunehmenden und sich weiterentwickelnden Bedrohungen immer einen Schritt voraus zu sein.
Was sind die OWASP-Top-10-Angriffe und welche Schwachstellen gehören zu den OWASP-Top-10-Angriffen für 2021?
OWASP bietet eine Dokumentation für die Top-10-Liste mit einer Website, die jeder Schwachstelle gewidmet ist und die Bedrohungs-, Risiko- und Abwehrstrategien umreißt. Die Website beschreibt, was jede Schwachstelle ist und bietet eine Risikobewertung, die verwendet wird, um mögliche Schwachstellen zu priorisieren und zu sortieren.
Die folgenden Schwachstellen A1-A10 umfassen die neuen OWASP Top 10 für 2021.
1. A01:2021 – Unterbrochene Zugangskontrolle (ehemals A05 OWASP Top 10 2017)
Ganz oben auf der Liste als das schwerwiegendste Sicherheitsrisiko für Webanwendungen standen 34 CWEs für die kaputte Zugriffskontrolle. Das sind mehr als Vorkommen in Anwendungen als in jeder anderen Kategorie. Das Zugriffskontrollmodell einer Webanwendung ist eng mit den Inhalten und Funktionen der Site verknüpft. Wenn es nicht richtig konfiguriert ist, können Hacker auf sensible Dateien zugreifen und die Site verunstalten.
2. A02:2021 – Kryptografische Fehler (ehemals A03 OWASP Top 10 2017)
Kryptoanalytische Software umfasst verschiedene Softwareprogramme, die zum Knacken von Verschlüsselungen verwendet werden. Formal als Sensitive Data Exposure bezeichnet, bedeutet ein kryptografischer Fehler, dass die Informationen, die vor nicht vertrauenswürdigen Quellen geschützt werden sollen, an Angreifer weitergegeben wurden. Hacker können dann auf Informationen wie Kreditkartendaten oder andere Authentifizierungsdaten zugreifen.
3. A03:2021 – Injektion (ehemals A01 OWASP Top 10 2017)
Wenn ein Angreifer bösartigen SQL-Code verwendet, um eine Back-End-Datenbank so zu manipulieren, dass sie vertrauliche Informationen preisgibt, spricht man von einem Injection-Angriff. Injektionsfehler wie NoSQL, OS, LDAP und SQL-Injection treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden.
Cross-Site Scripting (XSS)-Angriffe sind eine weitere Art der Injektion. Schädliche Skripte werden in ansonsten harmlose und vertrauenswürdige Websites injiziert, die den Inhalt der HTML-Seite neu schreiben können.
Sever-Side Request Forgery (SSRF) ist eine Angriffsart, die auftreten kann, wenn ein Hacker nicht nur nicht autorisierte Listen einsehen, Tabellen löschen und nicht autorisierten administrativen Zugriff haben kann, sondern auch eine Remote-Codeausführung vom Back-End-Server einer anfälligen Webanwendung aus durchführen kann .
4. A04:2021 – unsicheres Design (NEU)
Dies ist eine neue Kategorie für 2021 und der Schwerpunkt liegt auf den Risiken im Zusammenhang mit Konstruktionsfehlern. Zum Schutz vor unsicheren Designs für Webseiten sind mehr Bedrohungsmodellierung, sichere Designmuster und -prinzipien sowie Referenzarchitekturen erforderlich.
Dies ist eine wichtige Ergänzung, da Entwickler wissen müssen, wie Design- und Architekturkonzepte richtig konfiguriert und in Code implementiert werden müssen. Die falsche Implementierung von Design- und Architekturkonzepten in Code kann zu Sicherheitslücken führen.
5. A05:2021 – Sicherheitsfehlkonfiguration (ehemals A06 OWASP Top 10 2017)
XML-External-Entities-Angriffe wurden in diesem Jahr in Sicherheitsfehlkonfigurationen umgewandelt. Es stellt eine zunehmende Bedrohung dar, da sich die Softwarekonfigurationen immer mehr ändern.
6. A06:2021 – Anfällige und veraltete Komponenten (ehemals A09 OWASP Top 10 2017)
Diese Kategorie, die zuvor den Titel Using Components with Known Vulnerabilities trug, stellt ein bekanntes Problem dar, von dem OWASP-Experten festgestellt haben, dass viele weiterhin Schwierigkeiten haben, es zur Risikobewertung zu testen.
Viele Sicherheitsprobleme wurden veralteten Softwarekomponenten von Drittanbietern zugeschrieben. Hinzu kommt die wachsende Besorgnis, dass die Zeit für Exploits immer kürzer wird und Unternehmen Schwachstellen nicht schnell genug patchen oder beheben.
7. A07:2021 – Identifizierungs- und Authentifizierungsfehler (ehemals A02 OWASP Top 10 2017)
Authentifizierungsschwachstellen als Kategorie sind von der zweiten Position in den Top Ten zurückgefallen, weil die zunehmende Verfügbarkeit standardisierter Frameworks zu helfen scheint. Sie wurde zuvor als Sicherheitsanfälligkeit bezüglich unterbrochener Authentifizierung bezeichnet, da sie zu einem Denial-of-Service führen kann, wenn Benutzerkonten nicht authentifiziert werden können. Die Multi-Faktor-Authentifizierung wird in den meisten Fällen nicht bereitgestellt. Es enthält jetzt CWEs, die mehr mit Identifizierungsfehlern zusammenhängen.
8. A08:2021 – Software- und Datenintegritätsfehler (NEU)
Als neue Kategorie für 2021 konzentriert sich diese darauf, Annahmen in Bezug auf Softwareupdates, kritische Daten und CI/CD-Pipelines zu treffen, ohne die Integrität zu überprüfen. A8:2017 – Unsichere Deserialisierung ist jetzt ein Teil dieser größeren Kategorie.
Die wachsende Besorgnis über die jüngsten Angriffe im Zusammenhang mit der SolarWinds-Sicherheitsverletzung und der Sicherung der Build-Umgebung erhöht die Bedeutung dieser Bedrohung. Die Softwareintegrität wurde in der Executive Order on Cybersecurity, Abschnitt 4, ausdrücklich genannt.
9. A09:2021 – Sicherheitsprotokollierungs- und Überwachungsfehler (ehemals A10 OWASP Top 10 2017)
Diese Kategorie wurde um weitere Arten von Fehlern erweitert, die sich direkt auf die Sichtbarkeit, die Vorfallwarnung und die Forensik auswirken können.
10. A10:2021 – Serverseitige Anforderungsfälschung (NEU)
Die Daten zeigen, dass es eine niedrige Inzidenzrate für diese Kategorie gibt, die gerade in die Top 10 aufgenommen wurde.
Wie erzwinge ich die OWASP-Compliance mit SAST?
Da Cyberangriffe ständig in den Nachrichten sind, können Sie es sich nicht leisten, dass Ihre Webanwendungen aufgrund vermeidbarer Sicherheitslücken Opfer von Angreifern werden. Statische Anwendungssicherheitstests (SAST), auch bekannt als statische Codeanalyse, ermöglichen Ihrem Unternehmen, automatisierte Tests und Analysen des Quellcodes Ihrer Webanwendung durchzuführen.
Erste Schritte mit der statischen Analyse
SAST ist der Prozess des Analysierens des Codes, um nach Softwareschwächen zu suchen, die Sicherheitslücken in Webanwendungen aufdecken könnten. SAST-Tools benötigen keine laufende Anwendung, um eine Analyse durchzuführen. SAST kann Code in Echtzeit analysieren, um Sie eher früher als später über OWASP-Top-10-Verstöße zu informieren.
Eine bewährte Methode zur Reduzierung von Sicherheitslücken besteht darin, die Anleitungen aus den OWASP Top 10 von Anfang an in Ihre Softwareentwicklungsaktivitäten einzubetten und statische Anwendungssicherheitstests zur Validierung der Compliance zu verwenden. Durch die frühzeitige Einbindung statischer Anwendungssicherheitstests in den Entwicklungsprozess können Sie Sicherheitslücken und Anwendungsschwachstellen erkennen – wenn sie am einfachsten und kostengünstigsten zu beheben sind und gleichzeitig Ihre Sicherheitsvorschriften eingehalten werden.
Der Umgang mit der Ausgabe von Sicherheitstools kann überwältigend sein, daher sollten Sie nach automatisierten SAST-Tools suchen, die einige Risikomodelle der Sicherheitsbranche beinhalten. OWASP ist ein guter Ausgangspunkt, da es die wichtigsten Probleme und Schwachstellen behebt. Sie können das verbessern, sobald Ihr Team das Gefühl hat, es unter Kontrolle zu haben. Die in der folgenden Tabelle aufgeführten erweiterten Standards für sichere Codierung helfen Ihnen, Ihre Sicherheit zu erweitern und Sie auf den zukünftigen Erfolg vorzubereiten.
| Codierungsstandardname | Instandgehalten von | Zweckzusammenfassung |
|---|---|---|
| CERT (Computer Emergency Response Team) | CERT-Koordinierungszentrum | Richtlinien, die Entwicklern helfen, Fehler während der Codierung und Implementierung zu vermeiden und auch Fehler auf niedriger Ebene im Design zu erkennen. |
| OWASP Top Ten | OWASP-Stiftung (Open Web Application Security Project). | Webanwendungs- und Softwareentwickler verwenden diese Standards, um Hochsicherheitsrisiken in Webanwendungen zu erkennen und zu beheben. |
| CWE (Common Weakness Enumeration) | Gemeinschaft entwickelt und gepflegt. | Dies ist ein Kategoriensystem, das Entwicklern hilft, Schwachstellen und Schwächen in Software zu identifizieren und ihnen hilft, Softwarefehler zu verstehen. Entwickler verwenden das System auch, um Tools zu entwickeln, um Fehler zu beheben und zu verhindern. |
| DISA Anwendungssicherheit und Entwicklung STIGS | Defense Information Systems Agency (DISA) und Abteilung des US-Verteidigungsministeriums. | Hilft Managern, Designern, Entwicklern und Systemadministratoren bei der Entwicklung und Pflege von Sicherheitskontrollen in Anwendungen und Anwendungsentwicklung. |
Automatisierte SAST-Lösungen wie Parasoft bieten ein aktualisiertes Compliance-Paket gemäß den OWASP-Updates an. Die neuen Regeln werden zu Prüfern, um Entwicklern zu helfen, die neuen sicheren Codierungspraktiken für gängige Programmiersprachen wie Java, C / C ++, .NET, Python). Dies hilft Entwicklern dabei, die zehn größten Risiken zu eliminieren, die von OWASP identifiziert wurden. Darüber hinaus kann eine Funktion wie die automatisierte Priorisierung mithilfe von KI/ML das Rätselraten bei der manuellen Sichtung beseitigen.
Neue Parasoft Checker/Rulers-Unterstützung für OWASP Top 10 2021
Das Bild unten zeigt die Checkers/Rules-Unterstützung von Parasoft für die aktualisierte Version der OWASP Top 10 2021.
Was ist der Unterschied zwischen SAST und DAST?
Eine weitere Waffe in Ihrer Toolbox für die Sicherheit von Webanwendungen sind dynamische Anwendungssicherheitstests (DAST). Mit DAST werden böswillige Angriffe und andere externe Verhaltensweisen stimuliert, indem während Laufzeit- oder Black-Box-Tests nach Möglichkeiten gesucht wird, Sicherheitslücken auszunutzen.
Während SAST also jede Codezeile analysiert, ohne die Anwendung auszuführen, müssen Sie bei DAST die Anwendung ausführen, bevor sie mit der Suche nach Schwachstellen beginnen kann, sobald Sie die Software ausgeführt haben.
Entscheiden über statische und dynamische Codeanalyse für Ihre Organisation hängt von vielen Variablen ab. Lesen Sie unseren Blogbeitrag über SAST wo es einen großartigen direkten Vergleich der beiden Tools gibt.
Von Kevin E. Greene
Kevin, Director of Security Solutions bei Parasoft, verfügt über umfangreiche Erfahrung und Fachkenntnisse in den Bereichen Software-Sicherheit, Cyber-Forschung und -Entwicklung sowie DevOps. Er nutzt sein Wissen, um sinnvolle Lösungen und Technologien zur Verbesserung der Software-Sicherheitspraktiken zu entwickeln.
