OWASP Top 10 – Neuer Entwurf der Top 10 Sicherheitslücken!

Alle paar Jahre veröffentlich OWASP eine Liste mit den häufigst vorkommenden Schwachstellen in Webanwendungen. Nun wurde ein neuer Entwurf veröffentlicht, der einige Änderungen mit sich bringt, im Gegensatz zu der OWASP Top 10 Liste aus dem Jahr 2017.

Was ist eigentlich OWASP und die Top 10?

OWASP steht für Open Web Application Security Project und ist eine Non-Profit Organisation, an der Firmen, Bildungseinrichtungen und Einzelpersonen aus aller Welt beteiligt sind. Ihr Ziel ist, die Sicherheit im World Wide Web zu verbessern. Hierzu veröffentlicht OWASP seit 2003 alle drei bis vier Jahre eine Top 10 Liste der am häufigsten auftretenden Schwachstellen in Webanwendungen.

Sie soll als Hilfsmittel für Richtlinien zur Anwendungssicherheit dienen. Die hierfür verwendeten Informationen stammen aus Datenzulieferungen von Firmen, welche auf Anwendungssicherheit spezialisiert sind, und aus einer Befragung von Sicherheitsexperten. Die aktuelle OWASP Top 10 Liste ist aus dem Jahr 2017. Nun wurde allerdings ein Entwurf der kommenden OWASP Top 10 2021 veröffentlicht und dabei hat sich einiges geändert.


Laden Sie jetzt unser kostenfreies Whitepaper herunter

Erfahren Sie mehr über die Mehrwerte und unsere Vorgehensweise bei der Durchführung einer professionellen IT-Sicherheitsuntersuchung.

 


OWASP Top 10 2021 – Was hat sich geändert?

Die Top 10 der Schwachstellen in Webanwendungen für das Jahr 2021 hat Änderungen in der Reihenfolge als auch ein paar Neuzugänge. So kam es dazu, dass die Injection als Schwachstelle auf Platz 1 im Jahr 2017 von fehlerhafter Zugriffskontrolle (ehemals Platz 5) verdrängt wurde. Fehler in der Zugriffskontrolle (Broken Access Control) treten auf, wenn Benutzer außerhalb ihrer vorhergesehenen Berechtigungen handeln können. Die Zugriffskontrollprüfung kann zum Beispiel durch Änderung der URL oder der HTML-Seite umgangen werden. Dadurch kann der Benutzer seine Rechte erweitern.

Laut dem Entwurf der OWASP Top 10 2021 wurden 94 % der Anwendungen auf irgendeine Form von fehlerhafter Zugriffskontrolle getestet. Auf Platz 2 liegt nun die Schwachstelle der kryptografischen Fehler, welche früher als Verlust der Vertraulichkeit sensibler Daten (Sensitive Data Exposure) bekannt war. Der Namenswechsel liegt an einem neuen Fokus auf Fehler im Zusammenhang mit der Kryptografie, die oft zu einer Offenlegung sensibler Daten führt.

2021 und 2017 im Vergleich

RangOWASP Top 10 2021OWASP Top 10 2017
A01Broken Access ControlA05
A02Cryptographic FailuresA03 (ehemals Sensitive Data Exposure)
A03InjectionA01
A04Insecure DesignNeuzugang
A05Security MisconfigurationA06
A06Vulnerable and Outdated ComponentsA09
A07Identification and Authentication FailuresA02
A08Software and Data Integrity FailuresA08 (ehemals Insecure Deserialization)
A09Security Logging and Monitoring FailuresA10
A10Server-Side Request ForgeryNeuzugang

Und was ist neu?

Als Neuzugänge sind „Unsicheres Design“ (Platz 4) und „Server-Side Request Forgery“ (Platz 10) in der Top 10 Liste dazugekommen. Man spricht von unsicherem Design, wenn Code nicht robust entworfen und auch nicht ausreichend getestet wurde. Sicheres Design ist also eine Methodik, die Bedrohungen ständig bewertet um bekannte Angriffsmethoden zu verhindern.

Server-Side Request Forgery (SSRF) kann man mit serverseitigen Anforderungsfälschung übersetzen. Solch ein Fehler tritt auf, wenn eine Webanwendung eine Remote-Ressource abruft, ohne die vom Benutzer angegebene URL zu überprüfen. Somit hat ein potenzieller Angreifer die Möglichkeit, die Anwendung zu zwingen, eine vorgefertigte Anfrage an ein unerwartetes Ziel zu senden.

Durch diese Neuzugänge werden die Schwachstellen XML External Entities (XXE) und Cross-Site Scripting (XSS) nicht mehr als alleinstehende Schwachstellen aufgeführt, sondern gehören in der neuen OWASP Top 10 zu anderen Sicherheitslücken dazu. XXE wurde zu sicherheitsrelevanten Fehlkonfigurationen (Platz 5) hinzugefügt und XSS wurde mit Injection (Platz 3) zusammengefasst. Auch wir bei der AWARE7 GmbH orientieren uns beim Penetration Testing an den OWASP Top 10, um ein möglichst großes Spektrum an Schwachstellen zu erfassen und somit ist für uns eine Änderung dieser Liste auch sehr interessant und wichtig, da wir dadurch neue Angriffsszenarien in Betracht ziehen müssen.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast


Schreibe einen Kommentar