Security is a process!

Neue OWASP Top 10
V.2017

Das Open Web Application Security Project (OWASP) hat seine OWASP Top 10 aktualisiert. Injection-Schwachstellen und Fehler in der Authentisierung stehen weiterhin an der Spitze der Liste mit den zehn wichtigsten Schwachstellen in Webanwendungen. Die OWASP Top 10-Liste hat sich seit 2003 zum De-Fakto-Standard bei der Klassifizierung von Schwachstellen in Webanwendungen entwickelt.

Vergleich der Versionen

Seit Kurzem ersetzt die 2017er Version den Vorgänger aus dem Jahre 2013. Sie enthält drei neue Schwachstellen, während zwei alte Bekannte entfallen sind und zwei Schwachstellen zu einer zusammengeführt wurden (siehe Übersicht 1).

Übersicht 1: Versionsvergleich der OWASP Top 10 von 2013 und 2017
Übersicht 1: Versionsvergleich der OWASP Top 10 von 2013 und 2017

Diese Schwachstellen sind weiter dabei

Weiterhin in den Top 10 enthalten sind vor allem die zwei unangefochtenen Spitzenreiter:

A1:2017 – Injection

A2:2017 – Fehler in Authentisierung und Session Management

Die bisherige Nummer 3…

A7:2017 – Cross-Site-Scripting

…ist auf Platz sieben abgerutscht. Das ist einerseits auf eine Abwertung in der Kategorie „Verbreitung“ zurückzuführen.  Andererseits wurden andere Schwachstellen in der Kategorie „Auswirkungen“ in der neuen Version höher bewertet.

A6:2017 – Sicherheitsrelevante Fehlkonfiguration

…büßte einen Platz ein und wird jetzt an sechster Stelle geführt, während es…

A3:2017 – Verlust der Vertraulichkeit sensitiver Daten

…in die Top 3 geschafft hat. Ebenfalls in den Top 10 verblieben und unverändert auf Platz 9  liegt…

A9:2017 – Verwendung von Komponenten mit bekannten Schwachstellen.

Reihung durch Risiko-Faktoren

Die Reihenfolge der OWASP Top 10 ergibt sich aus einer Einwertung der Schwachstellen in mehreren Risiko-Faktoren. Dies sind:

Angriffsvektoren Ausnutzbarkeit
Schwachstelle Verbreitung Auffindbarkeit
Technische Auswirkungen Auswirkung

Jede Organisation sollte diese vorgegebenen Faktoren jedoch durch die folgenden zwei Faktoren individualisieren:

Bedrohungsquellen Auswirkungen auf das Unternehmen

Top 10 ist also nicht unbedingt gleich Top 10 und man sollte sich überlegen, ob es nicht ggf. sinnvoll ist eine eigene Top 10 aufzustellen.

Entfallene Schwachstellen der Version 2013

Gleich vier Schwachstellen haben es nicht mehr oder nicht unverändert in die neue Version der OWASP Top 10 geschafft. Entfallen sind die bisherigen Schwachstellen:

A4 – Unsichere direkte Objektreferenzen A7 – Fehlerhafte Authentisierung auf Anwendungsebene A8 – Cross-Site Request Forgery (CSRF) A10 – Ungeprüfte Um- und Weiterleitungen

Die Schwachstellen A8 und A10 wurden aus den Top 10 verdrängt und werden nur noch in der Liste der weiteren Risiken geführt (s.u.). Das sie aus den Top 10 gefallen sind, bedeutet also nicht, dass man sie ganz vergessen kann. Allein die Gewichtung hat sich verändert.

Die beiden erstgenannten Schwachstellen hingegen wurden zu einer neuen Schwachstelle A5:2017 zusammengeführt.

Neue Schwachstellen der Version 2017

Vier Schwachstellen ergänzen die entstandenen Lücken. A4:2013 und A7:2013 wurden wie bereits erwähnt zusammengelegt. Sie werden jetzt als neue Schwachstelle…

A5:2017 – Fehlerhafte Authentisierung

…geführt. Vollständig neu in den Top 10 sind hingegen die drei Schwachstellen…

A4:2017 – XML Externe Entitäten (XXE) A8:2017 – Unsichere Deserialisierung A10:2017 – Unzureichendes Logging und Monitoring

Während man sich unter A10:2017 vielleicht noch etwas vorstellen kann, sind insbesondere A4:2017 und A8:2017 nicht unbedingt für jeden selbstsprechend. Wir schauen uns die beiden neuen Schwachstellen der OWASP Top 10 im folgenden kurz genauer an.

A4:2017 – XML Externe Entitäten (XXE)

Bei A4:2017 – Unter dem Schlagwort XML Externe Entitäten (XXE) erfasst die neue Top 10 eine Angriffsmöglichkeit auf verwundbare XML-Parser einer Webseite. Als Standard erlauben ältere Prozessoren die Spezifizierung einer entfernten URL als externe Entität. Hat ein Angreifer die Möglichkeit XML auf eine Webseite hochzuladen oder manipulierten Content in ein XML-Dokument einzuschleusen, kann er das ausnutzen und die externe Entität frei wählen und für seinen Angriff missbrauchen. Auf diese Weise können leider auch interne Quelldateien wie /etc/passwd gewählt werden, die der Parser dem Angreifer dann als Content ausgibt.

A8:2017 – Unsichere Deserialisierung

Die Schwachstelle wurde nicht unbedingt aufgrund quantifizierbarer Daten bisheriger Vorfälle in die Top 10-Liste aufgenommen. Die Ausnutzung von Deserialisierung ist darüber hinaus nicht einfach, da man sich für die Suche, ebenso wie für die Ausnutzung, nicht nur auf Tools verlassen kann. Es ist Handarbeit gefragt. Ist ein System allerdings verwundbar, kann beliebiger Code nachgeladen werden.

Ursprung der Schwachstelle ist die Serialisierung. Es handelt sich dabei um einen Prozess, bei dem Objekte in ein bestimmtes Datenformat überführt und anschließend abgespeichert oder weiterverarbeitet werden. Deserialisierung kehrt die Serialisierung um. Dabei wird das gewählte Datenformat in ein Objekt zurückgeführt. Die technische Umsetzung erfolgt heute oft in JSON oder auch XML.

Viele Programmiersprachen bieten zur Serialisierung jedoch einen gegenüber JSON und XML erweiterten Funktionsumfang. Hierzu gehört auch die manuelle Anpassung des Prozesses der Serialisierung. Ein Angreifer kann die Deserialisierung auf diesem Weg zu seinen Zwecken missbrauchen, wenn er dem Prozess vor der Serialisierung ungeprüfte manipulierte Daten zuführen kann.

Das Risikoniveau der Kategorie „Mittel/Sehr wahrscheinlich“ (< 1.000 TEUR) sollte von „hoch“ auf „mittel“ abgesenkt werden.

OWASP Cheat Sheets – Selbststudium…

Wie kann man sich gegen diese Schwachstellen schützen? Auch bei der Beantwortung dieser Frage unterstützt das OWASP. In den sogenannten Cheat Sheets beschreibt das Projekt, mit welchen Methoden man das Risiko eines Angriffs minimieren kann.

…oder Schulungen und Trainings.

Als Unternehmen sollten sie ihre Mitarbeiter in den Konzepten zur sicheren Softwareentwicklung schulen. CycleSEC bietet hierzu in Kooperation mit dem Cyber Simulation & Training Center der ESG in München und Fürstenfeldbruck Schulungen zur Entwicklung sicherer Software nach ISO 27034 und BSI-Leitfaden an. Im Auftrag unserer Kunden führen wir deutschlandweit seit unserer Gründung OWASP Top 10-Workshops durch. In unseren individuellen Inhouse-Trainings bieten wir in ein bis drei Tagen mehr als nur schöne Folien – sprechen Sie uns an!

Update zu unsere Trainings

Die Seiten zu unserem Angebot zu Trainings und zum Consulting rund um das Thema sichere Softwareentwicklung wurden zwischenzeitlich angepasst.

ISMS-Training

Wir entwerfen mit Ihnen einen Fortbildungsplan zur ISMS-Implementierung und führen wichtige Trainings selbst durch.

Erfahren Sie mehr

Secure Development

Wir unterstützen Sie bei der Implementierung eines Security Development Lifecycles (SDL) und der Integration in Ihr ISMS.

Erfahren Sie mehr

Weitere wichtige Risiken (Top 11-18)

Neben den eigentlichen Top 10 Schwachstellen werden bei der Veröffentlichung der OWASP Top 10 immer auch weitere wichtige Schwachstellen genannt, die man nicht aus dem Auge verlieren sollte. Hier tauchen auch die entfallenen Schwachstellen

A8:2013 – Cross-Site Request Forgery (CSRF) A10:2013 – Ungeprüfte Um- und Weiterleitungen

unter CWE-352 bzw. CWE-601 wieder auf:

CWE-352 Cross-Site Request Forgery (CSRF) CWE-400 Uncontrolled Resource Consumption (‚Resource Exhaustion‘, ‚AppDoS‘) CWE-434 Unrestricted Upload of File with Dangerous Type CWE-451 User Interface (UI) Misrepresentation of Critical Information (Clickjacking and others) CWE-601 Unvalidated Forward and Redirects CWE-799 Improper Control of Interaction Frequency (Anti-Automation) CWE-829 Inclusion of Functionality from Untrusted Control Sphere (3rd Party Content) CWE-918 Server-Side Request Forgery (SSRF)

Veröffentlicht am

Foto des Autors

Dieser Beitrag kommt von

CycleSEC Redaktion

Die CycleSEC GmbH wurde 2015 als wissenschaftliche Ausgründung der Fachhochschule Münster gegründet. Seit 2017 ist das Unternehmen im alleinigen Besitz des Gründers Sebastian Klipper. CycleSEC hat seinen Sitz in Hamburg. Aus dem Norden der Republik bietet die CycleSEC GmbH ihr Beratungsportfolio in ganz Deutschland und darüber hinaus an.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen