InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
...und welche Stiche für Sie schmerzhaft sein können! Wer in der Cyber Security arbeitet, kennt die Wespe im Logo von OWASP (Open Web Application Security Project) nur allzu gut. Im periodisch erscheinenden Bericht «OWASP Top 10» werden die zehn kritischsten Sicherheitsrisiken von Webapplikationen aufgeführt. Die Rangliste, die bereits seit 2003 veröffentlicht wird, geniesst unter Cyber Security-Experten und Webentwicklern einen sehr hohen Stellenwert. Wie fällt das Urteil zum aktuellen Bericht aus? Melchior Limacher, Senior Cyber Security Consultant bei InfoGuard, hat den neusten Report im Detail analysiert, zieht für Sie Bilanz und erklärt Ihnen die wichtigsten Änderungen!
Alles in allem sehen ich und meine Kollegen die Änderungen der OWASP Top 10 Risiken von Webapplikationen im Vergleich zum letzten Bericht durchaus als positiv an. Insbesondere die Zusammenlegung von «Insecure Direct Object References» und «Missing Function Level Access Control» zum übergeordneten Risiko «Broken Access Control» ist sinnvoll. Gleichzeitig belegen «Injection» und «Broken Authentication» nach wie vor die unrühmlichen Plätze 1 und 2. Doch erst einmal der Reihe nach...
«Cross-Site Scripting (XSS)» hat gegenüber dem Vorjahr ein paar Ränge eingebüsst, ist aber zu Recht noch immer auf der Liste der Top-Risiken. Dies deckt sich auch mit meinen persönlichen Erfahrungen. Tatsächlich treten die oft schwerwiegenden XSS-Schwachstellen auch immer wieder in qualitativ hochstehenden Applikationen auf.
Für unsere Penetration Tester ist jedoch nicht nachvollziehbar, weshalb «Cross Site Request Forgery (CSRF)» nicht mehr aufgeführt ist. Diese Schwachstelle kann schwerwiegende Auswirkungen haben und ist nach wie vor weit verbreitet.
Die neu aufgenommenen «XML External Entities (XEE)» treten zwar zuweilen auf ‒ und sind dann durchaus gefährlich. Dank der zunehmenden Verbreitung von JavaScript Object Notation (JSON) sind sie jedoch eher im Rückgang. Wir bei InfoGuard hätten daher die XEE-Schwachstellen eher generell den Injection-Schwachstellen zugerechnet und den Platz in den Top 10 weiterhin CSRF zugesprochen.
Ebenfalls neu in die Top 10 aufgenommen wurde «Insecure Deserialization». Solche Risiken sind zwar nicht neu, aber es scheint sinnvoll, Entwickler und andere Verantwortliche für das Problem zu sensibilisieren. Unsichere Deserialisierung von Objekten kann im schlimmsten Fall zur Königsklasse der Schwachstellen führen: der Remote Code Execution.
Einen Platz in der Rangliste hat zudem «Insufficient Logging & Monitoring» erhalten, was wir als gerechtfertigt ansehen. Es ist eher die Ausnahme als die Regel, dass Kunden Angriffe bemerken. Unsere Penetration Tester können sich bei einer Cyber Attack Simulation oft tage- oder sogar wochenlang in Kundennetzwerken bewegen, ohne von der Cyberabwehr des Kunden bemerkt zu werden. Obschon viele Experten – darunter auch wir von InfoGuard – immer wieder darauf hinweisen, dass präventive Sicherheit alleine nicht mehr ausreicht, so trifft man dies leider immer noch sehr häufig an. Der Fokus der Cyber Security muss deshalb klar auf der Erkennung und Reaktion auf Sicherheitsvorkommnisse gelegt werden. Die reine Abwehr greift heutzutage zu kurz. Unsere Services aus dem Cyber Defence Center adressieren genau diese Aspekte einer umfassenden Cyber Security.
Die OWASP Top 10 sind weder eine Penetration Test-Checkliste noch eine komplette Auflistung zur Klassifizierung von Schwachstellen oder Risiken im Bereich der Webapplikationen. Die OWASP Top 10 sind ein «Awareness-Dokument», um Techniker, Projektleiter und Organisationen für häufig auftretende Schwachstellen und für die Sicherheit von Webapplikationen generell zu sensibilisieren.
Die grundlegenden – und bei weitem nicht neuen – Aspekte der Sicherheit gilt es bereits in der Entwicklung und der Architektur von Webapplikationen zu berücksichtigen. Dies ist weit weniger aufwändig, als diese im Nachgang einzuarbeiten. Fangen Sie also gleich bei Ihrer nächsten Anwendung damit an.
Möchten auch Sie wissen, wie weit Hacker in Ihre Webapplikationen eindringen können? Unsere Penetration Tester sagen es Ihnen mit unserem Web Application Audit! Um eine risikobasierte Aussage für eine Webapplikation erstellen zu können, erfolgt der Audit nach einem «Whitebox-Ansatz». Die Auditoren erhalten so im Rahmen von Interviews und verschiedenen Dokumentationen detaillierte Informationen zu Ihrem Produkt und dessen Architektur. Abhängig von diesen Informationen werden anschliessend Funktionalitäten innerhalb der Applikation identifiziert, welche aus Sicherheitsperspektive als kritisch eingestuft werden. Dieses Vorgehen stellt sicher, dass sowohl die klassischen Schwachstellen in Webapplikationen identifiziert werden können, aber auch spezielle Funktionalitäten und Schwachstellen in der Applikationslogik analysiert werden.
Wagen Sie es und stellen Sie Ihre Webapplikationen auf die Probe – Sie werden es nicht bereuen!
PS: Wir veranstalten laufend spannende Events, bei denen unsere Pentester live vorführen, wie leicht ein Netzwerk zu knacken ist. Am besten abonnieren Sie gleich unseren Newsletter, damit Sie auf keinen Fall die nächste Live Show verpassen!