OWASP TOP 10: Die zehn häufigsten Sicherheitsrisiken für Webanwendungen
Unsichere Software gefährdet bereits seit vielen Jahren die Gesundheits-, Finanz-, Energie- und Verteidigungsinfrastrukturen. Nicht nur staatliche Institutionen, sondern auch größere Unternehmen sowie der Mittelstand sind von diversen Cyberangriffen betroffen. Durch das rasante Wachsen der digitalen Strukturen entstehen immer neue Angriffsmöglichkeiten, die Cyber-Kriminelle ausnutzen.
Weil sich gerade die Online-Software immer schneller entwickelt, ist es wichtig, die häufigsten Schwachstellen für Cyberattacken zu kennen. Wir stellen Ihnen daher die zehn wichtigsten Sicherheitsrisiken für Webanwendungen vor, wobei wir auf die aktuellen Publikationen des Open Web Application Projects zurückgreifen.
OWASP: Herausgeber im Kurzüberblick
Das gemeinnützige Open Web Application Security Project (OWASP) ist eine offene Community von Forschern, IT-Fachleuten und Unternehmen. Die Instanz veröffentlicht in regelmäßigen Abständen eine Top-Ten-Liste, auf die wir uns an dieser Stelle beziehen. Durch diese Auflistung möchten die Herausgeber dafür sorgen, dass Unternehmen und Organisationen in der Lage sind, sichere und vertrauenswürdige Anwendungen zu erwerben oder sogar zu entwickeln.
- Zander, Tobias (Autor)
Die dem Projekt zugehörigen Wissenschaftler, die nach eigenen Angaben keinen kommerziellen Verpflichtungen unterliegen, beziehen sich auf die neuesten Forschungsergebnisse, die Grundlage für diese Auflistung sind. Die Top-Ten des Projets sind vor allem für Entwickler, Anwendungsingenieure und die Manager von Unternehmen von Interesse.
Die Herausgeber möchten allerdings nicht nur diese Zielgruppe für die Risiken von Webanwendungen sensibilisieren. Schließlich sollten sich auch private Internetnutzer mit den Gefahren durch Cyberangriffe befassen.
10. Unzureichende Nutzung von Überwachung und Logging
Um einen Angriff auf die eigenen Systeme zu erkennen, sind das Logging und die Analyse wichtige Instrumente zur Identifizierung solcher Attacken.
Programme sollten Fehler im laufenden Betrieb protokollieren. Außerdem muss dieser Bericht an verantwortliche Instanzen gelangen. Falls diese Voraussetzungen nicht gegeben sind, bestehen große Gefahren.
9. Nutzung von unsicheren Komponenten
In der heutigen Softwareentwicklung, die durch Frameworks und Bibliotheken geprägt ist, verwenden Entwickler häufig Code von Dritten. Das sorgt für Effizienz und bietet häufig Sicherheitsvorteile.
Allerdings kann die Nutzung von fremden Codes auch zum Einfallstor für Hacker werden. Wenn Sicherheitslücken bekannt sind, muss es ein rasches Update geben. Grundsätzlich geht es aber um die Verwendung von sicheren Komponenten, was auch den Code aus Fremdquellen umfasst.
8. Unsichere Serialisierung
Komplexe Datenstrukturen wandeln sich im Rahmen von Serialisierungen in sequentielle Zeichenketten um. Der umgekehrte Prozess nennt sich Deserialisierung.
Nach Auffassung des Open Web Application Security Projects (OWASP) kann diese Umkehrung von Cyberkrimellen genutzt werden, um fremde Befehle zu initiieren.
7. Cross-Site Scripting (XSS)
Bestimmte Ausdrücke müssen in Form von Sonderzeichen an den Browser gelangen. Andernfalls interpretiert die Software diese Zeichen als Befehle. Wer dieses Output Escaping nicht beherrscht, öffnet Datendieben ein Einfallstor.
Schließlich ist dann das Cross-Site Scripting möglich, wodurch Cyberkriminelle sich beispielsweise Cookie-Informationen aneignen. Im schlimmsten Fall ist sogar ein direkter Eingriff auf die attackierte Internetseite denkbar.
6. Sicherheitsrelevante Fehlkonfiguartionen
Wenn Fehler in der Konfiguration von Systemen wie Webservern, Internetanwendungen oder Firewalls existieren, kann diese Sicherheitslücke weitreichende Auswirkungen nach sich ziehen. So könnten sicherheitsrelevante Daten in die Hände von Hackern gelangen.
Auch ein unautorisierter Systemzugriff ist möglich. In vielen Fällen, so warnt das Open Web Application Security Project (OWASP), ist sogar ein Versagen der Dienste eine gefährliche Folge solcher Sicherheitslücken.
5. Zugriffsmanagement mit Fehlern
Wenn das Zugriffsmanagement nicht einer stringenten Umsetzung unterliegt, besteht die Gefahr, dass Dritte auf Daten zugreifen, die eigentlich nicht freigegeben sind.
Beim Design von Anwendungen ist es daher nötig, eine zwingende und deutliche Definition vorzunehmen, durch die sich User bei der Anwendung authentifizieren. Im Folgeschritt ist zudem sicherzustellen, dass die korrekten Berechtigungen vorhanden sind.
4. Falsche Verarbeitung von XML-Dokumenten
Mit dem XML-Standard ist es möglich, externe Daten nachzuladen. Wer diesen Umstand bei der Verarbeitung von XML-Dokumenten nicht berücksichtigt, riskiert eine unberechtigte Ausführung von Befehlen.
Im schlimmsten Fall gelangen Cyberkriminelle durch den Abfluss von internen Informationen an sensible Daten. Außerdem ist ein Versagen des jeweiligen Dienstes denkbar.
3. Preisgabe sensibler Informationen
Der mangelnde Schutz sensitiver Daten sorgte in der jüngeren Vergangenheit für schwerwiegende Vorfälle. So musste Yahoo im Jahr 2016 einräumen, rund 3,5 Milliarden Nutzerdaten verloren zu haben. Unter diesen Daten befanden sich auch schwach gehashte MD5-Passwörter.
Durch den fehlenden Schutz und die mangelnde Passwortsicherheit gelangten zahlreiche Benutzerdaten und Passwörter in die Hände von Kriminellen. Darunter befanden sich Informationen für Bankkonten und Kreditkarten.
2. Fehler bei der Authentifizierung
Auf dem zweiten Platz der OWASP-Top 10 landen Fehler bei der Authentifizierung. Der Term beschreibt den Vorgang, durch den User ihre Identität gegenüber eine Anwendung nachweisen.
Solche Fehler können Kriminelle nutzen. Sie nehmen eine andere Identität an – und geben sich als Benutzer aus, um an Informationen zu gelangen.
1. Injections
Die sogenannten Injections entstehen, wenn eine Anwendung nicht vertrauenswürdige Daten verarbeitet. Solche Daten validiert und behandelt die betroffene Software nicht oder nur unzureichend.
Durch sogenannten SQL-Injections gelingt es Angreifern an die Datenbanken von großen Internetseiten zu gelangen.
Der Vorgang betrifft, so warnt das Open Web Application Security Project (OWASP), aber auch LDAP-Verzeichnisse und Betriebssysteme.
Weitere Sicherheitsrisiken beachten
Es gibt keinen Grund, nur die zehn wichtigsten Sicherheitsrisiken zu beachten. Nach Ansicht der Spezialisten vom Open Web Application Security Project (OWASP) gibt es weitere Gefahren, die Anwender und Entwickler berücksichtigen sollten. Weil sich Websoftware im stetigen Wandel befindet, entstehen neue Einfallstore für Cyber-Diebe.
Es ist immer mit neuen Schwachstellen zu rechnen, wobei die Kriminellen ihre Angriffsmethoden auch in Zukunft verfeinern. Privatanwender und Unternehmen sollten sich stetig auf dem Laufenden halten, um die aktuelle Entwicklung zu überblicken.
Aus diesem Grund empfehlen wir, sich auch zukünftig auf dieser Internetseite und aus anderen Quellen über mögliche Angriffsoptionen zu informieren.
Weitere Informationen zur Aktualität der angezeigten Preise findest du hier.