Ansehen und lernen

OWASP Top 10 2021 –Video-Lektionsreihe

Schützen Sie Ihre Web-Apps vor neuen und kritischen Risiken

Die OWASP Top 10 führen die allgemein als am gefährlichsten geltenden Sicherheitsrisiken für Webanwendungen auf. Das Update 2021 enthält Hinweise zum Schutz moderner Webanwendungen und -architekturen vor Exploits, missbräuchlicher Verwendung und falscher Konfiguration sowie Empfehlungen zur Entschärfung neuer Risiken im Zusammenhang mit Software-Lieferketten, CI/CD-Pipelines und Open-Source-Software.

Sehen Sie sich die OWASP Top 10 Lightboard-Lektionsreihe 2021 auf F5 DevCentral an, um eine Aufschlüsselung der neuen OWASP Top 10 und Informationen zu folgenden Themen zu erhalten:

  • Wie OWASP seine Top-10-Liste der kritischsten Sicherheitsrisiken für Webanwendungen erstellt
  • Wichtige Änderungen für 2021, einschließlich einer Neueinstufung der Risiken, um Symptome mit ihren eigentlichen Ursachen in Einklang zu bringen
  • Wann die einzelnen Risiken in Erscheinung treten, welche Rolle sie spielen und wie Sie Ihre Sicherheitslage verbessern können

Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, die sich für die Verbesserung der Sicherheit von Softwareprodukten einsetzt. OWASP unterhält eine Reihe von Projekten, darunter das Standardinformationsdokument für Entwickler und Sicherheitsexperten mit den Top 10 der Sicherheitsrisiken für Webanwendungen.

OWASP Top 10-Übersicht

OWASP Top 10-Übersicht

John erklärt zunächst, worum es sich bei den OWASP Top 10 handelt. Er geht auf Themen wie die Neuausrichtung von Risiken rund um Symptome und Ursachen, neue Risikokategorien und moderne Anwendungsarchitekturen ein. Hören Sie zu und sehen Sie sich zu jedem der Top-10-Risiken ein Video an.


OWASP Top 10 2021: Broken Access Control

94 % der geprüften Apps wiesen irgendeine Form von fehlerhafter Zugriffskontrolle auf. Fehler können zur unbefugten Offenlegung, Änderung oder Zerstörung von Daten und Rechteausweitung führen – und damit zu Kontoübernahmen (ATO), Datenschutzverletzungen, Geldstrafen und Markenschädigungen.


OWASP Top 10 2021: Kryptographische Fehler

Kryptografische Fehler, früher als „Offenlegung sensibler Daten“ bekannt, führen zur Offenlegung vertraulicher Daten und zum Eingreifen in Benutzersitzungen. Trotz der weit verbreiteten Einführung von TLS 1.3 werden immer noch alte und anfällige Protokolle aktiviert.


OWASP Top 10 2021: Injection

Injections bilden eine umfangreiche Klasse von Angriffsvarianten, bei denen nicht vertrauenswürdige Daten die Ausführung von Anwendungsprogrammen verändern. Dies kann zu Datendiebstahl, Verlust der Datenintegrität, Denial-of-Service und vollständiger Systemkompromittierung führen. Injections stellen zwar nicht mehr das größte Risiko dar, sind aber immer noch sehr gefährlich.


OWASP Top 10 2021: Insecure Design

Die Sicherheit muss den Anwendungen inhärent sein. Auch ein sicheres Design oder Architektur kann Implementierungsfehler aufweisen, die zu Sicherheitslücken führen. Eine unsichere Architektur lässt sich auch durch eine perfekte Implementierung nicht beheben.


OWASP Top 10 2021: Sicherheitsrelevante Fehlkonfiguration

Fehler in der Konfiguration von Systemen ist eine der Hauptursachen für Cloud-Verletzungen. Erfahren Sie, was Sie tun und was Sie vermeiden sollten, zumal die Entwicklung moderner Apps, die Wiederverwendung von Software und die architektonische Ausbreitung über verschiedene Clouds dieses Risiko erhöhen.


OWASP Top 10 2021: Vulnerable and Outdated Components

Viele Sicherheitslücken sind auf Exploits von Open-Source-Software zurückzuführen. Die jüngste Log4j2-Sicherheitslücke stellt möglicherweise das bisher größte Risiko in dieser Kategorie dar.


 

OWASP Top 10 2021: Identification and Authentication Failures

Es ist von entscheidender Bedeutung, seine Identität zu bestätigen und eine starke Authentifizierung und Sitzungsverwaltung zu verwenden, um einen Missbrauch der Geschäftslogik zu verhindern. Die meisten Authentifizierungsangriffe sind auf die fortgesetzte Verwendung von Kennwörtern zurückzuführen. Kompromittierte Anmeldedaten, Botnets und ausgefeilte Tools bieten eine attraktive Rendite für automatisierte Angriffe wie Credential Stuffing.


OWASP Top 10 2021: Software and Data Integrity Failures

Diese neue Risikokategorie konzentriert sich auf das Treffen von Annahmen in Bezug auf Software-Updates, kritische Daten und CI/CD-Pipelines ohne Integritätsüberprüfung. Der Angriff auf die Lieferkette von SolarWinds gehört zu den schädlichsten, die wir je erlebt haben.


OWASP Top 10 2021: Security Logging and Monitoring Failures

Ohne ordnungsgemäße Protokollierung und Überwachung der App-Aktivitäten können Sicherheitsverletzungen nicht erkannt werden. Dies hat direkte Auswirkungen auf die Transparenz, die Alarmierung bei Vorfällen und die Forensik. Je länger ein Angreifer unentdeckt bleibt, desto wahrscheinlicher ist es, dass das System kompromittiert wird.


OWASP Top 10 2021: Server Side Request Forger (SSRF)

SSRF-Schwachstellen treten auf, wenn eine Webanwendung eine Remote-Ressource abruft, ohne die vom Benutzer angegebene URL zu validieren. Angreifer können die Anwendung dazu bringen, eine Anfrage an ein unerwartetes Ziel zu senden – selbst wenn dieses durch eine Firewall, ein VPN oder eine andere Netzwerk-Zugriffskontrollliste (ACL) geschützt ist.