Die OWASP Top 10 führen die allgemein als am gefährlichsten geltenden Sicherheitsrisiken für Webanwendungen auf. Das Update 2021 enthält Hinweise zum Schutz moderner Webanwendungen und -architekturen vor Exploits, missbräuchlicher Verwendung und falscher Konfiguration sowie Empfehlungen zur Entschärfung neuer Risiken im Zusammenhang mit Software-Lieferketten, CI/CD-Pipelines und Open-Source-Software.
Sehen Sie sich die OWASP Top 10 Lightboard-Lektionsreihe 2021 auf F5 DevCentral an, um eine Aufschlüsselung der neuen OWASP Top 10 und Informationen zu folgenden Themen zu erhalten:
Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, die sich für die Verbesserung der Sicherheit von Softwareprodukten einsetzt. OWASP unterhält eine Reihe von Projekten, darunter das Standardinformationsdokument für Entwickler und Sicherheitsexperten mit den Top 10 der Sicherheitsrisiken für Webanwendungen.
John erklärt zunächst, worum es sich bei den OWASP Top 10 handelt. Er geht auf Themen wie die Neuausrichtung von Risiken rund um Symptome und Ursachen, neue Risikokategorien und moderne Anwendungsarchitekturen ein. Hören Sie zu und sehen Sie sich zu jedem der Top-10-Risiken ein Video an.
94 % der geprüften Apps wiesen irgendeine Form von fehlerhafter Zugriffskontrolle auf. Fehler können zur unbefugten Offenlegung, Änderung oder Zerstörung von Daten und Rechteausweitung führen – und damit zu Kontoübernahmen (ATO), Datenschutzverletzungen, Geldstrafen und Markenschädigungen.
Kryptografische Fehler, früher als „Offenlegung sensibler Daten“ bekannt, führen zur Offenlegung vertraulicher Daten und zum Eingreifen in Benutzersitzungen. Trotz der weit verbreiteten Einführung von TLS 1.3 werden immer noch alte und anfällige Protokolle aktiviert.
Injections bilden eine umfangreiche Klasse von Angriffsvarianten, bei denen nicht vertrauenswürdige Daten die Ausführung von Anwendungsprogrammen verändern. Dies kann zu Datendiebstahl, Verlust der Datenintegrität, Denial-of-Service und vollständiger Systemkompromittierung führen. Injections stellen zwar nicht mehr das größte Risiko dar, sind aber immer noch sehr gefährlich.
Fehler in der Konfiguration von Systemen ist eine der Hauptursachen für Cloud-Verletzungen. Erfahren Sie, was Sie tun und was Sie vermeiden sollten, zumal die Entwicklung moderner Apps, die Wiederverwendung von Software und die architektonische Ausbreitung über verschiedene Clouds dieses Risiko erhöhen.
Es ist von entscheidender Bedeutung, seine Identität zu bestätigen und eine starke Authentifizierung und Sitzungsverwaltung zu verwenden, um einen Missbrauch der Geschäftslogik zu verhindern. Die meisten Authentifizierungsangriffe sind auf die fortgesetzte Verwendung von Kennwörtern zurückzuführen. Kompromittierte Anmeldedaten, Botnets und ausgefeilte Tools bieten eine attraktive Rendite für automatisierte Angriffe wie Credential Stuffing.
Diese neue Risikokategorie konzentriert sich auf das Treffen von Annahmen in Bezug auf Software-Updates, kritische Daten und CI/CD-Pipelines ohne Integritätsüberprüfung. Der Angriff auf die Lieferkette von SolarWinds gehört zu den schädlichsten, die wir je erlebt haben.
Ohne ordnungsgemäße Protokollierung und Überwachung der App-Aktivitäten können Sicherheitsverletzungen nicht erkannt werden. Dies hat direkte Auswirkungen auf die Transparenz, die Alarmierung bei Vorfällen und die Forensik. Je länger ein Angreifer unentdeckt bleibt, desto wahrscheinlicher ist es, dass das System kompromittiert wird.
SSRF-Schwachstellen treten auf, wenn eine Webanwendung eine Remote-Ressource abruft, ohne die vom Benutzer angegebene URL zu validieren. Angreifer können die Anwendung dazu bringen, eine Anfrage an ein unerwartetes Ziel zu senden – selbst wenn dieses durch eine Firewall, ein VPN oder eine andere Netzwerk-Zugriffskontrollliste (ACL) geschützt ist.