Unsichere Software gefährdet die zunehmend komplexer und vernetzter werdende digitale Infrastruktur. Vor allem auch bei den kritischen Infrastrukturen (KRITIS), wie sie im Finanz-, Gesundheits-, Verteidigungs-, Energie-Sektor etc. vorliegen, steigt der zu betreibende Aufwand bezogen auf die Anwendungssicherheit immer weiter an. Es ist dabei zwingend notwendig bereits im Entwicklungsprozess von Webapplikationen die häufigsten Schwachstellen schnell und zuverlässig zu identifizieren bzw. zu vermeiden. Die in den OWASP Top 10 beschriebenen Sicherheitsprobleme sollten daher Entwicklern bekannt sein und berücksichtigt werden.
Das Open Web Application Security Projekt (OWASP) setzt sich für die Sicherheit von Anwendungen und Diensten im Internet ein – durch Aufklärung über mögliche Sicherheitslücken, die bei Webapplikationen auftreten können, und das Bereitstellen von Tools, mit denen sich Webapplikationen auf diese Sicherheitslücken überprüfen lassen. Die OWASP Foundation ist eine internationale und gemeinnützige Organisation, die seit 2004 in den USA als Non-Profit-Organisation tätig ist. Frei von wirtschaftlichem Druck und Abhängigkeit von Technologiefirmen kann OWASP unbefangene, praktische und kosteneffektive Informationen über Anwendungssicherheit bereitstellen.
Die OWASP Top 10 ist relevant für jedes Unternehmen, das öffentliche sowie interne Webapplikationen einsetzt oder entwickelt. So ist es im Laufe der Zeit der defacto Sicherheitsstandard für Webanwendungen geworden. Dementsprechend ist die Liste auch fester Bestandteil unserer Prüfungen bei Penetrationstests von Webapplikationen. Aufbauend auf unseren gesammelten Erfahrungen werden wir für Sie in den kommenden Wochen im Rahmen einer Artikelserie die einzelnen Punkte der aktuellen OWASP Top 10 auf verständliche und detaillierte Weise näher erläutern sowie praktische Gegenmaßnahmen für die entsprechenden Angriffsszenarien aufzeigen.
Im Gegensatz zur vorherigen Version von 2013 haben sich die eingesetzten Technologien und Architekturen von Anwendungen signifikant geändert: Traditionelle monolithische Anwendungen werden zunehmend von Microservices ersetzt. Dieser Trend bringt neue Herausforderungen an die IT-Sicherheit mit sich, wie z. B. Vertrauensbeziehungen zwischen Microservices, Containern und das Management von Anmeldedaten. Anwendungscode wird verstärkt via APIs oder RESTful Web-Services nach außen geöffnet und ist wohlmöglich über das Internet erreichbar. Des Weiteren rücken Single-Page-Anwendungen (SPA) basierend auf JavaScript in den Fokus, mit denen sich traditionelle Funktionen vom Server auf den Client verlagern. Auch im Ranking haben sich Veränderungen bemerkbar gemacht: Gleich drei neue Risiken (XML External Entities (XXE), unsichere Deserialisierung sowie unzureichendes Logging und Monitoring) wurden auf der Basis von Datenerhebungen und Expertenumfragen aufgenommen. Darüber hinaus wurden zwei vorherige Risiken (Unsichere direkte Objektreferenzen und fehlerhafte Autorisierung auf Anwendungsebene) zu einem Risiko (Fehler in der Zugriffskontrolle) zusammengeführt. Zudem sind zwei Risiken (Cross-Site Request Forgery (CSRF) sowie ungeprüfte Um- und Weiterleitungen) aus der aktuellen OWASP Top 10 ausgeschieden und wurden durch die neu hinzugekommenen Sicherheitsrisiken ersetzt.
