Parasoft C/C++test 2022.2 unterstützt das neue MISRA C:2012 Amendment 3 und eine Entwurfsversion von MISRA C++ 202x. Erfahren Sie mehr >>

Unterstützung des neuen 2017-Updates für die OWASP Top 10

Von Arthur Hicken

20. November 2017

3  min lesen

OWASP Top 10 - 2017 Update

Heute hat OWASP die neueste Version des veröffentlicht OWASP Top 10 - 2017. Diese Anwendungssicherheitsliste ist zu einem der wichtigsten verfügbaren Sicherheitsstandards geworden, und ich freue mich, Ihnen mitteilen zu können, dass statische Analysekonfigurationen für Parasoft-Tools, die die Liste 2017 unterstützen, bereits vorhanden sind verfügbar im Parasoft-Forum. Wir wissen, dass dieser Standard für Sie wichtig ist, und wir haben hart gearbeitet, um sicherzustellen, dass Sie heute sofort loslegen können!

Erfahren Sie unten mehr über das OWASP-Update 2017.

OWASP Top 10 Übersicht

Seit vielen Jahren ist die Öffnen Sie das Web Application Security Project (OWASP). war eine großartige Informations- und Schulungsquelle zum Thema Anwendungssicherheit. Alle paar Jahre stellen sie die bekannten zusammen OWASP Top 10 Liste mit wichtigen aktuellen Sicherheitsproblemen für Webentwickler. Im Laufe der Zeit hat sich der Standard möglicherweise zum häufigsten Ausgangspunkt für Unternehmen entwickelt, die mit der Sicherung ihrer Webanwendungen beginnen.

Und das aus gutem Grund - der OWASP Top 10 basiert auf verschiedenen Arten von Informationen, die aktualisiert werden, um neuen Sicherheitsrisiken Rechnung zu tragen. Eine Hauptquelle sind Informationen von AppSec-Firmen und eine Branchenumfrage, die Informationen zu den Problemen liefert, mit denen Unternehmen in der realen Welt derzeit konfrontiert sind. Einige der neuen Top 10 Elemente stammen auch aus Community-Beiträgen, die auf wichtigen Themen basieren.

Was hat sich geändert?

Also, was ist neu für 2017? Wie das neue Dokument sagt:

„Wir haben die OWASP Top 10 komplett überarbeitet, die Methodik überarbeitet, einen neuen Datenanrufprozess verwendet, mit der Community zusammengearbeitet, unsere Risiken neu geordnet, jedes Risiko von Grund auf neu geschrieben und Verweise auf Frameworks und Sprachen hinzugefügt das werden heute allgemein verwendet. "

Neu:

  • A4: 2017 - XL Externe Einheiten (XXE) - Damit können Angreifer anfällige XML-Prozessoren ausnutzen
  • A8: 2017 - Unsichere Deserialisierung - Ermöglicht die Remote-Codeausführung oder die Manipulation sensibler Objekte auf betroffenen Plattformen
  • A10: 2017 - Unzureichende Protokollierung und Überwachung - deren Fehlen böswillige Aktivitäten und die Erkennung von Sicherheitsverletzungen, die Reaktion auf Vorfälle und die digitale Forensik verhindern oder erheblich verzögern kann

Zusammengeführt:

A4: 2013 - Unsichere direkte Objektreferenzen und  A7: 2013 - Zugriffskontrolle auf fehlender Funktionsebene wurden in die neue verschmolzen A5: 2017 - Fehlerhafte Zugriffskontrolle.

Im Ruhestand:

A8: 2013 - Cross-Site Request Forgery (CSRF) - Wie sich herausstellt, schützen viele Frameworks jetzt vor CSRF, und es war nur in 5% der Anwendungen während der Datenanalyse rund.

A10: 2013 - Nicht validierte Weiterleitungen und Weiterleitungen. - Dieser war in etwa 8% der Bewerbungen enthalten, was etwas weniger war als der neue Punkt auf der Liste - XXE.

Allgemeine Beobachtungen

Es ist nicht überraschend, dass verdorbene Daten ein großes Problem bleiben, wie wir in sehen A1: 2017 - Injektion. Dies ist ein Problem, gegen das ernsthafte defensive Programmierung sehr effektiv ist, aber irgendwie versuchen wir weiter, daran zu arbeiten, indem wir es testen. Es ist Zeit, ernst zu werden und dieses aus den nächsten Top 10 im Jahr 2020 zu entfernen. Lassen Sie uns alle unseren Teil dazu beitragen !

A3: 2017 - Exposition gegenüber sensiblen Daten ist ein guter Ausgangspunkt, wenn die EU-Datenschutzgrundverordnung (DSGVO) ist auf deinem Radar. Der aktuelle Countdown auf der GDPR-Homepage zeigt 185 Tage bis zum Beginn der Durchsetzung an. Beginnen Sie also noch heute mit der Korrektur Ihres Codes. Dies ist natürlich auch in den USA hilfreich, wenn es um Datenschutz geht PCI-DSS und  HIPAA. Schützen Sie die Daten Ihrer Benutzer mit geeigneten Zugriffskontrollen und Verschlüsselung. Datenverletzungen sind ein weit verbreitetes Ereignis.

Ein Bereich, den ich besonders an den neuesten OWASP Top 10 liebe, ist, dass jede Top 10 jetzt explizite Links zu Elementen in der enthält Gemeinsame Schwächenzählung (CWE)Hier erfahren Sie mehr über das Problem, warum es wichtig ist und wie Sie die Schwäche beseitigen können. Auf diese Weise können Sie auch leicht verwandte Probleme für Elemente finden, die für Sie am wichtigsten sind. Das CWE-Top 25 ist ein perfekter nächster Schritt, sobald Sie die haben OWASP Top 10 gesperrt.

Was du machen solltest:

Laden Sie zuerst das PDF für das herunter OWASP Top 10 - 2017 und lies es durch. Es enthält zahlreiche Informationen zum Problem und zum Entfernen aus Ihren Anwendungen. Fügen Sie es dann Ihrer Sicherheitsrichtlinie hinzu und stellen Sie sicher, dass Ihr Team aus Entwicklern und Testern darin geschult ist. Das Hinzufügen von Konfigurationen für Sicherheitstools wie statische Analyse und Penetrationstests hilft dabei, diese Bemühungen durchzusetzen. Bei Parasoft haben wir bereits Konfigurationen für unsere statischen Analysewerkzeuge vorgenommen in unseren Foren.

Denken Sie daran, die OWASP Top 10 ist ein Ausgangspunkt, kein Ziel. Es werden die wichtigsten Probleme aufgelistet, die Ihre Webanwendung am wahrscheinlichsten betreffen. Sobald Sie es in den Griff bekommen haben, müssen Sie sich weiter verbessern, indem Sie erweiterte Standards wie CWE und verwenden SEI CERT Standards für sichere Codierung. Dies wird Ihnen helfen, Ihre Sicherheitsgrundlage zu erweitern und Sie auf die bevorstehenden Sicherheitsherausforderungen vorzubereiten.

Von Arthur Hicken

Arthur ist seit über 25 Jahren bei Parasoft im Bereich Software-Sicherheit und Testautomatisierung tätig. Er hilft bei der Erforschung neuer Methoden und Techniken (einschließlich 5 Patente) und hilft Kunden dabei, ihre Software-Praktiken zu verbessern.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.