Erhalten Sie vollständige MISRA C 2023-Unterstützung in der neuen Parasoft C/C++-Testversion. Nehmen Sie an unserem Webinar am 8. Juni teil.
Die gemeinnützige Gruppe Open Web Application Security Project® (OWASP) versucht, die Softwaresicherheit zu verbessern. Entwicklungsteams auf der ganzen Welt und in allen Branchen wenden sich an die OWASP Foundation, um Tools, Ressourcen und Schulungen zum Schutz ihrer Webanwendungen vor Cyberangriffen zu erhalten. Projekte mit Community-getriebenen Initiativen stehen jedem zur Teilnahme offen.
OWASP veröffentlicht in regelmäßigen Abständen eine Liste der dringendsten Probleme für die Entwicklergemeinschaft insgesamt. Diese Probleme wirken sich auf die Gesamtsicherheit von Projekten aus, und die Liste beleuchtet die größten Bedrohungen.
Die 2021 OWASP Top 10 führt einige neue Probleme ein und ordnet frühere Einträge in ihre neuen Kategorien ein. Basierend auf einer Vielzahl von Quellen, darunter Entwickler-Feedback, Ratschläge von Sicherheitsanbietern, Bug Bounties und Community-Beiträge, hat OWASP seine neueste Top-10-Liste erstellt, wobei Nr. 1 das häufigste und bedrohlichste Problem ist. Nach Schweregrad und Häufigkeit geordnet, repräsentiert jedes Element mehrere Common Weakness Enumerations (CWEs).
Die OWASP Top 10 hilft Teams, sich auf die kritischsten und wahrscheinlichsten Probleme zu konzentrieren, bevor sie sich anderen Problemen zuwenden.
Alle diese potenziellen Schwachstellen stellen eine erhebliche Bedrohung für jedes Entwicklungsteam dar, aber denken Sie daran, dass dies keine vollständige Liste aller Fehler ist, die während der Entwicklung schief gehen können. Die Top 10 sind zwar keine umfassende Strategie oder die einzige Methode zum Identifizieren von Schwachstellen, aber sie sind ein hervorragender Einstieg.
Der beste Weg, die Top 10 zu nutzen, besteht darin, Ihre Entwickler zu schulen, damit sie sicheren Code erstellen. Verwenden Sie es außerdem für Validierungstests, um zu überprüfen, ob Entwickler wirklich sicheren Code geschrieben haben, und fangen Sie, wenn dies nicht der Fall ist.
Mit der zunehmenden Entwicklung von APIs hat OWASP auch ein spezielles Projekt, das sich ausschließlich auf die API-Sicherheit und ihre Top Ten in Bezug auf Schwachstellen konzentriert. Der OWASP API-Sicherheit Top 10 wurde im Jahr 2019 eingeführt.
Gebrochene Zugriffskontrolle ist von Platz 1 in den vorherigen Top 5 auf Platz 10 der Liste geklettert. Das bedeutet, dass sie das größte Problem für Entwicklungsteams ist, wenn es um Sicherheitsverletzungen geht. In seinen Ergebnissen berichtete OWASP, dass 94 % der getesteten Anwendungen dieses Problem enthielten. Die größten CWEs im Zusammenhang mit dieser Schwachstelle sind:
Diese Sicherheitslücke ermöglicht den Zugriff auf private Ressourcen für nicht autorisierte Benutzer. Angreifer können alle vorhandenen Sicherheitsprotokolle umgehen, um auf sensible Systeme und Informationen zuzugreifen.
Es ist zur häufigsten Schwachstelle auf der OWASP 2021 Top 10-Liste geworden. Schwache Autorisierungs- und Authentifizierungsmethoden berücksichtigen dieses Sicherheitsrisiko. Eine unterbrochene Zugriffskontrolle kann jedoch separat in 34 CWEs unterteilt werden. Es macht mehr Probleme in der OWASP-Umfrage aus als in jeder anderen Kategorie.
Kryptographische Fehler rangieren jetzt auf Position #2 von #3 auf der vorherigen OWASP-Top-10-Liste. Diese Schwachstelle war früher als „Sensitive Data Exposure“ bekannt. Der neue Name konzentriert sich auf die Grundursache des Problems und nicht auf ein breiteres Symptom wie der alte Begriff.
Kryptografische Fehler führen oft zu Datenschutzverletzungen. Beispiele für Bedrohungsvektoren sind Dinge wie fehlende HTTP-Header, schwache kryptografische Algorithmen, Übertragung von Daten im Klartext und so weiter. Die verletzten Daten können alles umfassen, von einfachen Passwörtern bis hin zu Gesundheitsakten und Kreditkartennummern.
Kryptografische Fehler können oft zu Verletzungen sensibler Daten sowie zu anderen Arten von Systemkompromittierungen führen. Zu den bemerkenswerten Verstößen in jüngster Zeit gehört die Datenschutzverletzung des Roten Kreuzes im Januar 2022.
Das Ziel ist es, sie von vornherein extrem schwierig zu machen. Dies erfordert ein angemessenes Design, sicheren Code, konsistente Tests und Integrationssicherheit in Ihren Workflow.
Diese Kategorie, die jetzt an dritter Stelle steht, umfasst Cross-Site-Scripting, das zuvor ein eigener Punkt auf Platz 7 der OWASP Top 10 war.
Eine Injektion liegt vor, wenn ein Angreifer speziell gestaltete Daten sendet, die darauf abzielen, die Anwendung dazu zu zwingen, Befehle auszuführen, die sie nicht ausführen soll. Beispielsweise kann eine SQL-Injection potenziell unerwartete Daten – sogar eine ganze Datenbank – extrahieren oder sogar Daten ändern oder löschen.
Laut OWASP war dies viele Jahre lang das Problem Nr. 1. Es bleibt wichtig und allzu häufig. Tatsächlich fand OWASP unter den getesteten Anwendungen 274,000 Injektionsvorkommen. Injektionsprobleme sind jedoch auch in hohem Maße vermeidbar.
Injektionsattacken zu vermeiden bedeutet, sich genau anzusehen, was man möglicherweise falsch gemacht hat. Dies reicht von der Nichtvalidierung von vom Benutzer bereitgestellten Daten bis hin zu feindlichen Daten, die in Suchparametern für objektrelationale Zuordnung (ORM) verwendet werden, die eine Extraktion sensibler Datensätze ermöglichen.
Zu den größten Arten von Injection-Angriffen, auf die Sie achten sollten, gehören:
Diese neue Kategorie konzentriert sich auf Risiken, die Konstruktionsfehlern innewohnen. OWASP hat diese Kategorie als Ergebnis der Shift-Left-Methodik entwickelt, die die Integration von Sicherheitstests und Bedrohungsmodellierung in Workflows und Architektur erfordert. Abgesehen davon, dass Sie früher mit Sicherheitstests beginnen, ist es wichtig, den Code zu untersuchen. Kennzeichnen Sie alles, was nicht gut gesichert werden kann, zugunsten eines sichereren Designs.
Unsicheres Design bedeutet, dass die Entwicklungs- und Testteams bei der Entwicklung von Code Bedrohungen nicht vorhersehen. Die Bedrohungsbewertung und die Einhaltung bewährter Sicherheitspraktiken wirken sich auch auf die Designsicherheit aus. Diese Kategorie unterscheidet sich von der unsicheren Implementierung dadurch, dass sie mehr mit Risiken im Zusammenhang mit Design- und Architekturfehlern zu tun hat.
Eine sichere Implementierung kann ein unsicheres Design haben, das eine Webanwendung dennoch anfällig für Angriffe und Exploits macht. Unsicheres Design ist eine breite Kategorie, die verschiedene Schwächen repräsentiert, die sich in fehlendem oder ineffektivem Kontrolldesign äußern.
In der heutigen Entwicklungswelt ist unsicheres Design häufiger als Sie vielleicht denken. Aus diesem Grund ist DevSecOps – die Integration von Sicherheit in den Entwicklungslebenszyklus – jetzt von entscheidender Bedeutung. Mit anderen Worten, Sie können Ihren Weg zu sicherer Software nicht einfach testen. Sie müssen anfangen, Software zu entwickeln, die sicherer ist.
Hier sind einige Beispiele für Angriffsszenarien, die unsicheres Design nutzen.
Jetzt auf Platz 5 von Platz 6 in den vorherigen Top 10 umfasst die Sicherheitsfehlkonfiguration externe XML-Entitäten (XEE). Die zunehmend konfigurierbare Natur von Software trug zum Platz dieser Kategorie auf dieser Liste bei. Ein bemerkenswertes Beispiel für die jüngste Fehlkonfiguration war der Notam-Ausfall der FAA im Jahr 2023 – ein Beweis dafür, wie kritisch ein Problem ist.
Diese Kategorie umfasst eine unsichere Implementierung aufgrund einer Form von Fehlkonfiguration. Stellen Sie sich das so vor, als ob eine wichtige Sicherheitseinstellung falsch oder gar nicht konfiguriert ist. Ein einfaches Beispiel dafür ist, das Standardpasswort nicht zurückzusetzen. Diese Versäumnisse und Fehler schaffen Sicherheitslücken für potenzielle Angreifer – insbesondere bei einer containergesteuerten Bereitstellung, die viele Möglichkeiten für Fehlkonfigurationen bietet.
Beispiele für Sicherheitsfehlkonfigurationen sind Dinge wie veraltete Software, fehlende Sicherheitshärtung, unnötige Funktionen und Standardkonten mit unveränderten Passwörtern. Viele Dinge können leicht übersehen werden, daher empfiehlt OWASP einen wiederholbaren Sicherheitskonfigurationsprozess, um das Risiko zu mindern. Wie sieht das aus? Konfigurationsdateien sollten nach Möglichkeit Teil der Versionskontrolle sein und in Peer-Reviews einbezogen werden.
Diese Kategorie hieß früher „Using Components with Known Vulnerabilities“ auf dem neunten Platz in den vorherigen OWASP Top 10. OWASP räumt ein, dass dies ohne Common Vulnerability and Exposures (CVEs) einschließlich CWEs schwierig zu testen ist. In der OWASP-Community-Umfrage belegte es jedoch den zweiten Platz, dank großer Vorfälle, die häufig in den Nachrichten zu finden sind, wie z. B. bei Log4j und SolarWinds.
Die Verwendung von Komponenten, die Sie nicht kennen, oder von Komponenten mit verschachtelten Abhängigkeiten kann zu Risiken führen. Weitere Beispiele sind nicht unterstützte, anfällige oder veraltete Software wie Bibliotheken von Drittanbietern, alte Versionen von Open Source usw.
Das regelmäßige Scannen auf Schwachstellen, das Entfernen ungenutzter oder unnötiger Funktionen und das Aufrechterhalten aktueller Software können dazu beitragen, Risiken im Zusammenhang mit anfälligen und veralteten Komponenten zu mindern.
Es gibt viele Tools und Angriffe, die sich diese bekannten Probleme zunutze machen. Stellen Sie sicher, dass Sie mit Patches und Versionen auf dem neuesten Stand sind, um die Anwendung vor diesen Angriffen zu schützen.
Beispielsweise erlitt Log4j eine Zero-Day-Schwachstelle, die Cloudflare, Steam, iCloud, Twitter, Tencent QQ und die Java-Edition von Minecraft im Jahr 2021 betraf.
Diese Kategorie, die zuvor als „gebrochene Authentifizierung“ bekannt war, fällt von Platz 7 in den vorherigen Top 2 auf Platz 10. Sie umfasst auch CWEs, die in engerem Zusammenhang mit Identifizierungsfehlern stehen. Mit dieser Kategorie verbundene Sicherheitsrisiken werden durch die Einführung eines standardisierten Frameworks gemindert, das hilft, ID/Auth-Probleme besser zu kontrollieren.
Grundlegende Identifizierungs- und Authentifizierungsfehler treten auf, wenn eine Anwendung die Anmeldeinformationen, die Identität oder die Berechtigungen eines Benutzers nicht korrekt identifiziert oder sichert oder ID-Kontrollen während der gesamten Sitzung eines Benutzers nicht aufrechterhält. Schwachstellen treten auf, wenn ein System beispielsweise Klartext oder schwach gehashte Anmeldeinformationen verwendet, schwache Methoden zur Wiederherstellung von Anmeldeinformationen verwendet oder Sitzungs-IDs nicht ungültig macht.
Da diese Kategorie allgemeine Benutzeraktivitäten wie das Anmelden bei Anwendungen und Benutzersitzungen auf Websites umfasst, gehören diese Risiken oft zu den am häufigsten auftretenden. Eine als „Credential Stuffing“ bekannte Taktik nutzt diese Art von Angriffen, um Passwörter auszunutzen, die in Leaks erlangt wurden.
Funktionen wie Multi-Faktor-Authentifizierung und robustere Passwortprüfungen können bei der Risikominderung helfen.
Diese neue Kategorie konzentriert sich auf Annahmen über Code und Infrastruktur, die in Bezug auf kritische Daten, Software-Updates und CI/CD-Pipelines getroffen werden, die die Integrität nicht überprüfen. Es enthält das Thema „Unsichere Deserialisierung“ aus dem Jahr 2017.
Software- und Datenintegritätsfehler umfassen Probleme wie unsichere Teile einer CI/CD-Pipeline oder sogar Content Delivery Networks (CDNs). Beispielsweise kann eine Anwendung eine Auto-Update-Funktion enthalten, die den Code ändert. Dies eröffnet Angreifern Möglichkeiten, sich unbefugten Zugriff zu verschaffen und ihren eigenen bösartigen Code zu verwenden.
Da diese Probleme Infrastruktur und Code ohne Schutz vor Integritätsverletzungen betreffen, erwarten Sicherheitsexperten eine Zunahme dieser Art von Verletzungen. Elemente wie Heimrouter und Gerätefirmware erfordern keine signierte Firmware zum Aktualisieren. Diese Schwachstelle würde Korrekturen in einer zukünftigen Version erfordern.
Unsichere Deserialisierung ist ebenfalls ein wichtiges Anliegen. Es ist eine häufige Gelegenheit für DoS-Angriffe. Es tritt auf, wenn vom Benutzer kontrollierbare Daten von einer Website deserialisiert werden. Unsichere Deserialisierung kann es einem Angreifer ermöglichen, serialisierte Objekte zu manipulieren, um schädliche Daten in den Anwendungscode zu übertragen.
Fehler bei der Sicherheitsprotokollierung und -überwachung wurden früher als „Unzureichende Protokollierung und Überwachung“ bezeichnet und tauchten auch häufig in der OWASP-Community-Umfrage auf. Obwohl schwer zu testen, können diese Arten von Fehlern eine Vielzahl von Aspekten wie Forensik, Vorfallwarnungen und Sichtbarkeit drastisch beeinträchtigen.
Die Protokollierung hilft beim Auslösen von Überwachung und Reaktion; Wenn es falsch ist, bricht die Sicherheitslage zusammen. Die Transparenz hilft Entwicklungsteams, Probleme früher besser anzugehen.
Diese Art des Versagens beinhaltet das Nichterkennen und/oder Reagieren auf potenzielle Bedrohungen oder feindliche Versuche gegen Systeme. Ein klassisches und häufiges Beispiel hierfür sind wiederholte Anmeldefehler aufgrund eines falschen Passworts.
Fehler bei der Sicherheitsprotokollierung und -überwachung können erhebliche Auswirkungen auf ein Unternehmen haben, einschließlich mangelnder Sichtbarkeit von Sicherheitsvorfällen. Ohne ordnungsgemäße Protokollierung und Überwachung kann es schwierig sein, Sicherheitsvorfälle rechtzeitig zu erkennen und darauf zu reagieren.
Viele Vorschriften wie HIPAA und PCI-DSS verlangen von Organisationen, detaillierte Protokolle ihrer Sicherheitsaktivitäten zu führen. Andernfalls können Verstöße und Bußgelder verhängt werden. Darüber hinaus ist es für Unternehmen ohne angemessene Protokollierungs- und Überwachungsmechanismen erheblich schwieriger, Sicherheitsverletzungen zu erkennen und abzumildern, was sie Zeit und Geld kostet.
Fehler bei der Sicherheitsprotokollierung und -überwachung können auch zu anderen Problemen führen. Vor allem können sie die Broken Access Control auslösen – das Nr. 1-Element auf der OWASP-Top-2021-Liste 10. Die Einrichtung robuster und umfassender SAST- und DAST-Strategien kann dazu beitragen, diese Fehler zu mindern.
Während Sicherheitsprotokollierungs- und Überwachungsfehler an sich auftreten, können sie auch zu anderen Problemen führen. Vor allem können sie die Broken Access Control auslösen – das Nr. 1-Element auf der OWASP-Top-2021-Liste 10. Die Einrichtung robuster SAST- und DAST-Strategien kann dazu beitragen, diese Fehler zu mindern.
Trotz der niedrigen Vorfallrate in OWASP-Daten ist die Schwere der Auswirkungen hoch. Community-Umfragen zeigen, dass dies das Problem Nr. 1 ist. Diese Art von Angriffen ist einfach erfolgreich auszuführen und kann besonders unangenehme Auswirkungen haben.
Diese Fehler treten häufig auf, wenn Webanwendungen Remote-Ressourcen abrufen, aber keine vom Benutzer bereitgestellten URLs validieren. Angreifer können die Anwendung dann zu einem anderen Verhalten zwingen – selbst wenn sie durch ein VPN oder eine Firewall abgeschirmt ist.
Ein Beispiel hierfür wäre ein Angreifer, der eine eigene Webseite erstellt, die auf seinem eigenen Server gehostet wird, und diese verwendet, um das Verhalten einer Anwendung zu ändern. Tatsächlich haben viele ältere Consumer-Router genau dieses Problem – Sie können das Passwort ohne Authentifizierung ändern, indem Sie Ihre eigene Webseite erstellen und ein neues Passwort eingeben.
OWASP und Entwickler haben aus folgenden Gründen einen Anstieg der serverseitigen Anforderungsfälschung festgestellt:
Die statischen Analyselösungen von Parasoft bieten mehr Unterstützung für OWASP als jedes andere Codeanalysetool. Dies hilft Softwareteams, DevSecOps zu erreichen, indem die Sicherheit von Beginn der Entwicklung an durchgesetzt wird.
Parasoft bietet ein einzigartiges Echtzeit-Feedback, das den Benutzern einen kontinuierlichen Überblick über die Einhaltung von OWASP gibt. Unsere interaktive Compliance-Quelle umfasst Dashboards, Widgets und Berichte, die die Ausnutzbarkeit, die Verbreitung im Feld, die Erkennbarkeit und die Auswirkungen von Fehlern mit KI-unterstützter Automatisierung umfassen, um Benutzern bei der Priorisierung und Minimierung der manuellen Sichtung zu helfen.
Die umfassende Unterstützung von Parasoft für OWASP hilft Benutzern, DevSecOps zu erreichen, indem sicherheitsorientierte Entwicklungspraktiken von Beginn der Projektentwicklung an durchgesetzt werden. Mit der Parasoft-Lösung erhalten Sie:
Erfahren Sie, wie Sie Sicherheitsrisiken reduzieren und die Entwicklung beschleunigen, Kosten senken und die Qualität Ihrer Software steigern können.
Herunterladen
