Webapplikationen sind allgegenwärtig: Online-Banking und -Shopping, soziale Netzwerke und Mails, aber auch spezielle Anwendungen wie Vereinsverwaltung, Foren oder kollaborative Dokumentenbearbeitung finden hauptsächlich im Webbrowser statt. Wie jede andere Software müssen auch Webapplikationen programmiert werden. Sie werden danach je nach genutzer Architektur ganz oder teilweise auf dem Webserver, teilweise auf dem Client (Browser) ausgeführt. Programmierfehler können – gerade bei Applikationen, die öffentlich verfügbar sind und vertrauliche Daten verarbeiten – schwere Folgen für den Betreiber, aber auch für dessen Kunden haben. In regelmäßigen Abständen wird über neue Sicherheitslücken in großen und allseits bekannten Webseiten berichtet, durch die teilweise Millionen von Nutzer-Datensätzen erbeutet werden konnten. Dabei erbeuten die Angreifer auch sehr sensible Informationen, wie z.B. Kreditkarten- und Zugangsdaten.
Das Open Web Application Security Projekt (kurz: OWASP) setzt sich für die Sicherheit von Anwendungen und Diensten im Internet ein – durch Aufklärung über mögliche Sicherheitslücken, die bei Webapplikationen auftreten können, und das Bereitstellen von Tools, mit denen sich Webapplikationen auf diese Sicherheitslücken überprüfen lassen.
Die OWASP Foundation ist eine internationale und gemeinnützige Organisation, die seit 2004 in den USA als Non-Profit-Organisation tätig ist. Frei von wirtschaftlichem Druck und Abhängigkeit von Technologiefirmen, kann OWASP unbefangene, praktische und kosteneffektive Informationen über Applikationssicherheit bereitstellen.
Zu den wichtigsten Publikationen von OWASP gehört die OWASP Top 10. Dabei handelt es sich um eine Auflistung der zehn häufigsten Sicherheitslücken in Webapplikationen. Die Liste wird unter anderem von einem internationalen Team von Sicherheitsexperten erarbeitet und ist in 12 verschiedenen Sprachen verfügbar. Die deutsche PDF-Version listet dabei nicht nur die Sicherheitslücken und entsprechende Hinweise zur ihrer Behebung auf, sondern gibt anschließend auch Verbesserungsvorschläge, um den Softwareentwicklungszyklus stärker auf den Bereich der Applikationssicherheit auszurichten.
Die OWASP Top 10 ist relevant für jedes Unternehmen, das öffentliche sowie interne Webapplikationen einsetzt oder entwickelt. Dementsprechend ist die Liste auch fester Bestandteil unserer Prüfungen bei Penetrationstests von Webapplikationen. Aufbauend auf unseren gesammelten Erfahrungen werden wir für Sie in den kommenden Wochen im Rahmen einer Artikelserie die einzelnen Punkte der aktuellen OWASP Top 10 auf verständliche und detaillierte Weise näher erläutern sowie praktische Gegenmaßnahmen für die entsprechenden Angriffsszenarien aufzeigen.
Update: Die bisher veröffentlichten Beiträge zur Top 10 finden sich hier:
A2: Fehler in Authentifizierung und Session-Management
A3: Cross-Site Scripting (XSS)
A4: Unsichere direkte Objektreferenzen
A5: Sicherheitsrelevante Fehlkonfigurationen
A6: Verlust der Vertraulichkeit sensibler Daten
A7: Fehlerhafte Autorisierung auf Anwendungsebene
A8: Cross-Site-Request-Forgery
A9: Nutzung von Komponenten mit bekannten Schwachstellen
A10 Ungeprüfte Um- und Weiterleitungen