top of page
AutorenbildRené Reinli

Web Application Security und das OWASP Top 10 Projekt

Was sind die OWASP Top 10 und weshalb ist es eben so wichtig über die OWASP Top 10 hinaus zu schaunen? Die OWASP Top 10 ist ein Awareness-Dokument für die Sicherheit von Webanwendungen. Die Liste stellt einen Konsens unter führenden Sicherheitsexperten hinsichtlich der größten Software-Risiken für Webanwendungen dar. Diese Risiken basieren auf der Häufigkeit der entdeckten Sicherheitsmängel, dem Schweregrad der Schwachstellen und dem Ausmaß ihrer potenziellen geschäftlichen Auswirkungen. OWASP verfügt auch über eine Reihe von Abhilfemaßnahmen, die Entwickler dazu ermutigen, Schwachstellen und Code defensiv zu mindern.

Die OWASP Top 10 wurde ursprünglich geschaffen, um Organisationen dabei zu helfen, eine Ausgangsbasis zu schaffen und festzustellen, ob ihre Sicherheitsinfrastruktur bereit ist, den größten Bedrohungen standzuhalten. Die Liste dient weiterhin als wichtige Checkliste und interner Standard für die Entwicklung von Webanwendungen für viele der größten Organisationen der Welt.


Die Liste wird alle zwei oder drei Jahre aktualisiert, um das Tempo der Veränderungen auf dem AppSec-Markt auszugleichen.Dieser weithin akzeptierte Satz von Webanwendungs-Schwachstellen wird durch eine Reihe von sicheren Kodierungs- und Testrichtlinien ergänzt. Die Zuordnung der Anwendungssicherheit zu den OWASP Top 10 ist ebenfalls eine weithin akzeptierte Best Practice. Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Gruppe, die Organisationen bei der Entwicklung, dem Kauf und der Wartung vertrauenswürdiger Softwareanwendungen unterstützt. Sicherheitsexperten können die OWASP-Empfehlungen in ihre Arbeit integrieren. Sicherheitsanbieter können Produkte und Dienstleistungen auf OWASP-Standards basieren. Verbraucher können die Standards als Grundlage für das Testen der von ihnen verwendeten Anwendungen oder Dienste verwenden.

Welche Probleme lösen die OWASP Top 10?

Auditoren sehen oft das Versäumnis einer Organisation, die OWASP Top 10 anzusprechen, als ein Anzeichen dafür, dass sie die Standards nicht einhalten kann. Die Integration der Top 10 in den Softwareentwicklungs-Lebenszyklus (SDLC) zeigt, dass man sich insgesamt den besten Praktiken der Branche für eine sichere Entwicklung verpflichtet fühlt.


Die meisten Angriffe auf Webanwendungen werden nicht als schwierig angesehen. Hacker nutzen Schwachstellen aus, die Experten seit Jahren bekannt sind. Schwachstellen wie Cross-Site-Scripting (XSS) und SQL-Injection tauchen häufig in branchenweit anerkannten Listen wie den CWE/SANS Top 25 Most Dangerous Programming Errors auf. Selbst eine einzige Instanz einer solchen Schwachstelle kann von Hackern immer wieder als erster Angriffsvektor benutzt werden.


Es ist auch wichtig zu beachten, dass die OWASP-Top 10 nicht auf die Einhaltung der Vorschriften ausgerichtet sind. Vielmehr ist es eine Liste von Dingen, die schief gehen können. Organisationen, die diese Liste verwenden möchten, könnten sie in Programme zur Ausbildung von Entwicklern einbauen. Dadurch wird sichergestellt, dass die Entwickler verstehen, wie diese 10 spezifischen Schwachstellen korrigiert werden können. Schließlich verwenden Sicherheitsteams die Top 10 oft als Checkliste, wenn sie Schwachstellenbewertungen durchführen und neue und modifizierte Anwendungen nach diesen Problemen durchsuchen. Zusätzlich ermöglichen viele automatische Schwachstellen-Scanner die Erstellung von Berichten, die speziell auf diese Liste zugeschnitten sind.


Warum ist es entscheidend, über die OWASP Top 10 hinaus zu schauen, um eine ganzheitliche Software-Sicherheitsstrategie zu gewährleisten?

Die Top 10 stellt die am häufigsten entdeckten Sicherheitsmängel dar. Daher hängt die Aufnahme einer Schwachstelle in die Liste von den Werkzeugen ab, die zur Entdeckung von Schwachstellen verwendet werden. Wenn bestimmte Arten von Schwachstellen im Code vorhanden sind, aber von den Werkzeugen nicht entdeckt werden, werden sie nicht in der Liste dargestellt - unabhängig von ihrem Risikograd.


Mit anderen Worten: Die Liste identifiziert die am häufigsten identifizierten, kritischen Risiken, die die Sicherheit von Webanwendungen bedrohen. Es handelt sich nicht um eine umfassende Liste aller Softwareprobleme. Alles in allem bieten die Top 10 einen Einblick in die Probleme, die die Sicherheit von Webanwendungen bedrohen. Das Awareness-Dokument gibt jedoch nicht den Rahmen für das Gesamtbild vor, wenn es um die Sicherheit geht. Selbst wenn Sie alle zehn Punkte in Ihrer Software beseitigt haben, besteht eine große Chance, dass Ihre Software immer noch sehr anfällig ist, wenn Sie nur die Top 10 identifizieren und mildern. Die Ersteller der Liste erzählen selbst die gleiche Geschichte.


Es ist eine gute Praxis, ein Bedrohungsmodell oder eine Architektur-Risikoanalyse der Anwendung durchzuführen, bevor sie kodiert wird. Eine andere gute Praxis ist es, die Anwendung während der Erstellung mit Hilfe von sicheren Code-Analysetechniken zu überprüfen. Nach der Erstellung der Anwendung ist ein eingehender Penetrationstest für Webanwendungen eine weitere Möglichkeit, die OWASP Top 10 zu verfolgen. Manuelle Penetrationstests ermöglichen eine gründlichere Untersuchung der Webanwendung, um Schwachstellen zu finden, die möglicherweise nicht in der Liste enthalten sind.

댓글


bottom of page