Neue OWASP Top 10 – V.2017

Neue Version der Top 10 erschienen.

Das Open Web Application Security Project (OWASP) hat seine OWASP Top 10 aktualisiert. Injection-Schwachstellen und Fehler in der Authentisierung stehen weiterhin an der Spitze der Liste mit den zehn wichtigsten Schwachstellen in Webanwendungen.

Die OWASP Top 10-Liste hat sich seit 2003 zum De-Fakto-Standard bei der Klassifizierung von Schwachstellen in Webanwendungen entwickelt.

Vergleich der Versionen

Seit Kurzem ersetzt die 2017er Version den Vorgänger aus dem Jahre 2013. Sie enthält drei neue Schwachstellen, während zwei alte Bekannte entfallen sind und zwei Schwachstellen zu einer zusammengeführt wurden (siehe Übersicht 1).

Übersicht 1: Versionsvergleich der OWASP Top 10 von 2013 und 2017
Übersicht 1: Versionsvergleich der OWASP Top 10 von 2013 und 2017

Diese Schwachstellen sind weiter dabei

Weiterhin in den Top 10 enthalten sind vor allem die zwei unangefochtenen Spitzenreiter

  • A1:2017 – Injection
  • A2:2017 – Fehler in Authentisierung und Session Management

Die bisherige Nummer 3

  • A7:2017 – Cross-Site-Scripting

ist auf Platz sieben abgerutscht. Das ist einerseits auf eine Abwertung in der Kategorie „Verbreitung“ zurückzuführen.  Andererseits wurden andere Schwachstellen in der Kategorie „Auswirkungen“ in der neuen Version höher bewertet.

  • A6:2017 – Sicherheitsrelevante Fehlkonfiguration

büßte einen Platz ein und wird jetzt an sechster Stelle geführt, während es

  • A3:2017 – Verlust der Vertraulichkeit sensitiver Daten

in die Top 3 geschafft hat. Ebenfalls in den Top 10 verblieben und unverändert auf Platz 9  liegt

  • A9:2017 – Verwendung von Komponenten mit bekannten Schwachstellen.

Reihung durch Risiko-Faktoren

Die Reihenfolge der OWASP Top 10 ergibt sich aus einer Einwertung der Schwachstellen in mehreren Risiko-Faktoren. Dies sind:

  • Angriffsvektoren
    • Ausnutzbarkeit
  • Schwachstelle
    • Verbreitung
    • Auffindbarkeit
  • Technische Auswirkungen
    • Auswirkung

Jede Organisation sollte diese vorgegebenen Faktoren jedoch durch die folgenden zwei Faktoren individualisieren:

  • Bedrohungsquellen
  • Auswirkungen auf das Unternehmen

Top 10 ist also nicht unbedingt gleich Top 10 und man sollte sich überlegen, ob es nicht ggf. sinnvoll ist eine eigene Top 10 aufzustellen.

Entfallene Schwachstellen der Version 2013

Gleich vier Schwachstellen haben es nicht mehr oder nicht unverändert in die neue Version der OWASP Top 10 geschafft. Entfallen sind die bisherigen Schwachstellen:

  • A4 – Unsichere direkte Objektreferenzen
  • A7 – Fehlerhafte Authentisierung auf Anwendungsebene
  • A8 – Cross-Site Request Forgery (CSRF)
  • A10 – Ungeprüfte Um- und Weiterleitungen

Die Schwachstellen A8 und A10 wurden aus den Top 10 verdrängt und werden nur noch in der Liste der weiteren Risiken geführt (s.u.). Das sie aus den Top 10 gefallen sind, bedeutet also nicht, dass man sie ganz vergessen kann. Allein die Gewichtung hat sich verändert.

Die beiden erstgenannten Schwachstellen hingegen wurden zu einer neuen Schwachstelle A5:2017 zusammengeführt.

Neue Schwachstellen der Version 2017

Vier Schwachstellen ergänzen die entstandenen Lücken. A4:2013 und A7:2013 wurden wie bereits erwähnt zusammengelegt. Sie werden jetzt als neue Schwachstelle

  • A5:2017 – Fehlerhafte Authentisierung

geführt. Vollständig neu in den Top 10 sind hingegen die drei Schwachstellen

  • A4:2017 – XML Externe Entitäten (XXE)
  • A8:2017 – Unsichere Deserialisierung
  • A10:2017 – Unzureichendes Logging und Monitoring

Während man sich unter A10:2017 vielleicht noch etwas vorstellen kann, sind insbesondere A4:2017 und A8:2017 nicht unbedingt für jeden selbstsprechend. Wir schauen uns die beiden neuen Schwachstellen der OWASP Top 10 im folgenden kurz genauer an.

A4:2017 – XML Externe Entitäten (XXE)

Bei A4:2017 – Unter dem Schlagwort XML Externe Entitäten (XXE) erfasst die neue Top 10 eine Angriffsmöglichkeit auf verwundbare XML-Parser einer Webseite. Als Standard erlauben ältere Prozessoren die Spezifizierung einer entfernten URL als externe Entität. Hat ein Angreifer die Möglichkeit XML auf eine Webseite hochzuladen oder manipulierten Content in ein XML-Dokument einzuschleusen, kann er das ausnutzen und die externe Entität frei wählen und für seinen Angriff missbrauchen. Auf diese Weise können leider auch interne Quelldateien wie /etc/passwd gewählt werden, die der Parser dem Angreifer dann als Content ausgibt.

A8:2017 – Unsichere Deserialisierung

Die Schwachstelle wurde nicht unbedingt aufgrund quantifizierbarer Daten bisheriger Vorfälle in die Top 10-Liste aufgenommen. Die Ausnutzung von Deserialisierung ist darüber hinaus nicht einfach, da man sich für die Suche, ebenso wie für die Ausnutzung, nicht nur auf Tools verlassen kann. Es ist Handarbeit gefragt. Ist ein System allerdings verwundbar, kann beliebiger Code nachgeladen werden.

Ursprung der Schwachstelle ist die Serialisierung. Es handelt sich dabei um einen Prozess, bei dem Objekte in ein bestimmtes Datenformat überführt und anschließend abgespeichert oder weiterverarbeitet werden. Deserialisierung kehrt die Serialisierung um. Dabei wird das gewählte Datenformat in ein Objekt zurückgeführt. Die technische Umsetzung erfolgt heute oft in JSON oder auch XML.

Viele Programmiersprachen bieten zur Serialisierung jedoch einen gegenüber JSON und XML erweiterten Funktionsumfang. Hierzu gehört auch die manuelle Anpassung des Prozesses der Serialisierung. Ein Angreifer kann die Deserialisierung auf diesem Weg zu seinen Zwecken missbrauchen, wenn er dem Prozess vor der Serialisierung ungeprüfte manipulierte Daten zuführen kann.

OWASP Cheat Sheets – Selbststudium…

Wie kann man sich gegen diese Schwachstellen schützen? Auch bei der Beantwortung dieser Frage unterstützt das OWASP. In den sogenannten Cheat Sheets beschreibt das Projekt, mit welchen Methoden man das Risiko eines Angriffs minimieren kann.

…oder Schulungen und Trainings.

Als Unternehmen sollten sie ihre Mitarbeiter in den Konzepten zur sicheren Softwareentwicklung schulen. CycleSEC bietet hierzu in Kooperation mit dem Cyber Simulation & Training Center der ESG in München und Fürstenfeldbruck Schulungen zur Entwicklung sicherer Software nach ISO 27034 und BSI-Leitfaden an. Im Auftrag unserer Kunden führen wir deutschlandweit seit unserer Gründung OWASP Top 10-Workshops durch. In unseren individuellen Inhouse-Trainings bieten wir in ein bis drei Tagen mehr als nur schöne Folien – sprechen Sie uns an!

Weitere wichtige Risiken (Top 11-18)

Neben den eigentlichen Top 10 Schwachstellen werden bei der Veröffentlichung der OWASP Top 10 immer auch weitere wichtige Schwachstellen genannt, die man nicht aus dem Auge verlieren sollte. Hier tauchen auch die entfallenen Schwachstellen

  • A8:2013 – Cross-Site Request Forgery (CSRF)
  • A10:2013 – Ungeprüfte Um- und Weiterleitungen

unter CWE-352 bzw. CWE-601 wieder auf:

  • CWE-352: Cross-Site Request Forgery (CSRF)
  • CWE-400: Uncontrolled Resource Consumption (‚Resource Exhaustion‘, ‚AppDoS‘)
  • CWE-434: Unrestricted Upload of File with Dangerous Type
  • CWE-451: User Interface (UI) Misrepresentation of Critical Information (Clickjacking and others)
  • CWE-601: Unvalidated Forward and Redirects
  • CWE-799: Improper Control of Interaction Frequency (Anti-Automation)
  • CWE-829: Inclusion of Functionality from Untrusted Control Sphere (3rd Party Content)
  • CWE-918: Server-Side Request Forgery (SSRF)

Kontaktformular

Fragen? Nutzen Sie gerne das folgende Kontaktformular. Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.

    Ihr Name*:

    Ihre E-Mail-Adresse*:

    Rückruf gewünscht?

    Bitte geben Sie Ihre Telefonnummer an:

    Betreff*:

    Ihre Nachricht an CycleSEC*:

    Durch Klicken auf "Absenden" bestätigen Sie, unsere Datenschutzbestimmungen zur Kenntnis genommen zu haben.

    Schreibe einen Kommentar