27.04.2017 Zehn größte Securityrisken für Webapplikationen

Symbolbild

Das Open Web Application Security Project (OWASP) veröffentlichte vor Kurzem – erstmals seit vier Jahren – einen Entwurf der Top 10 der wichtigsten Sicherheitsrisiken für Webapplikationen. 

Großteils werden die Risiken aus dem Jahr 2013 übernommen. Auf den ersten drei Plätzen finden sich unverändert verschiedene Arten von Injektionen (SQL Injection, XXE etc.), Schwächen in der Authentifizierung und dem Session-Management sowie Cross-Site-Scripting (XSS). Als neue Risiken sollen ungeschützte API-Schnittstellen und die fehlende Einrichtung von Sicherheitsmechanismen gegen automatisierte Angriffe in die Top 10 aufgenommen werden.

Durch ersteren Punkt könnte eine interessante Diskussion angestoßen werden: Dürfen Webapplikationen demnächst nur noch als sicher gelten, wenn man sie mit WAFs (Web Application Firewalls) zusätzlich schützt? Und geht dadurch nicht der Fokus auf die eigentliche Sicherheit im Code verloren? So kann es vorkommen, dass sich Webentwicklerinnen und -entwickler eher auf Systeme wie WAFs verlassen und Sicherheitslücken virtuell wegpatchen. Damit wird lediglich die Ausnutzung einer Sicherheitslücke verhindert, der Code selbst jedoch nicht geändert. Dazu kommt, dass auch WAFs nicht immer hundertprozentig sicher sind.

Offene beziehungsweise nicht validierte Weiterleitungen sollen dagegen nicht mehr in die Liste aufgenommen werden, da sie meist ohnehin keine große Relevanz haben. Weiters sollen die Punkte Zusammenführung von unsicherer direkter Referenzierung von Objekten (IDOR) und fehlende Kontrolle von Zugriffsrechten zum Punkt Broken Access Control zusammengezogen werden. Das OWASP bittet derzeit die Community um weitere Vorschläge und Anregungen zu den Top 10. Die Top 10-Sicherheitsrisiken sollen dann im Sommer endgültig feststehen. Die Liste des OWASP wird von Unternehmen, Organisationen sowie IT-Sicherheitsforscherinnen und -forschern zur Informierung oder für Penetrationstests im Bereich Web herangezogen. 

Weitere Informationen:

Datum der Veröffentlichung: 27.04.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria