Die Experten des Open Web Application Security Project (OWASP), einer Community die sich mit den Aspekten sicherer Programmierung in Webanwendungen beschäftigt, haben kürzlich ihre alle drei Jahre neu erstellte Top-10-Liste gefährlicher Schwachstellen und qualitativer Mängel in Webapplikationen neu veröffentlicht. Grundlage der Klassifizierung der darin enthaltenen Probleme sind Risikobewertungen, die die OWASP-Experten mittels einer eigenen OWASP Risk Ratig Methodology bewertet haben. Genauere Erläuterungen dieser Schwachstellenklassen sowie Hinweise zu ihrer Eindämmung geben sie in einer 22-seitigen Broschüre „OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks“, die man als PDF (2,5 MB) herunterladen kann.
Die Broschüre enthält eine übersichtliche Darstellung der zehn Problemklassen und stellt Bezüge zu weiteren frei verfügbaren Referenzen her, so z.B. zu den OWASP-Projekten Enterprise Security API (ESAPI) und Application Security Verfication Standard (ASVS). Gegenstand dieser Projekte ist die Entwicklung prüf- und testbarer Standards zur Implementierung von Sicherheitsfunktionen in Webanwendungen.
Bei den zehn Risiken für Webentwickler, die laut OWASP 2010 am ehesten ernst zu nehmen sind, handelt es sich um:
• Code Injection
• Cross-Site Scripting (XSS)
• Broken Authentication and Session Management
• Insecure Direct Object References
• Cross-Site Request Forgery (CSRF)
• Security Misconfiguration
• Insecure Cryptographic Storage
• Failure to Restrict URL Access
• Insufficient Transport Layer Protection
• Unvalidated Redirects and Forwards
Das Ziel sicherer und qualitativ hochwertiger Software wird inzwischen von mehreren Organisationen mit jeweils eigenen Schwerpunkten verfolgt. So legten die Institute MITRE und SANS im Auftrag mehrerer Unternehmen und Organisationen, darunter auch OWASP, die zweite Auflage ihrer 25 gefährlichsten Programmierfehler erst kürzlich vor.
Dave Wichers, Mitglied des OWASP-Vorstandes betont, die zunehmende Bedeutung der Risiken, die letztlich hinter den einzelnen Schwachstellen stehen. Sicherheitslücken nur zu priorisieren ohne das dazugehörige Anwendungsumfeld zu betrachten, ergäbe keinen Sinn so Wichers.
Diese neue Konzentration auch auf denkbare Risiken soll Organisationen helfen zu einem reiferen Verständnis von Anwendungssicherheit zu kommen sowie ihre Prozesse bzgl. sicherer Programmierung, Testmanagement und Softwarequalität entsprechend weiterzuenwickeln.
Hi!
Toller Bericht. Also was ich bisher so mitbekommen haben, ist das sich Unternehmen immer noch viel zu wenig mit dem Thema Websicherheit befassen. Viele Webanwendungen werden unter Zeitdruck entwickelt und in der Regel leidet die Fehlerkontrolle darunter, was zu Sicherheitslücken führt. Und nicht zu vergessen, das viele Mitarbeiter immer noch seh leichtsinnig mit Passwörtern umgehen. Finde das Thema auch recht spannend und schreibe auch selber drüber.
Gruß
Hallo,
ich gehöre zum eYouGuide Team der EU Kommission und bei der Suche nach relevanten Infos zum Thema online Schutz und Sicherheit auf Ihren sehr interessanten Artikel gestoßen.
Im Zusammenhang hiermit dachte ich, es könnte Sie bzw. Ihre Leser eventuell interessieren, dass die EU Kommission eine eigene Webseite auch auf deutsch zum Thema hat.
Hier der Link: http://ec.europa.eu/information_society/eyouguide/navigation/index_de.htm
Beste Grüße,
Alex
eYouGuide Team
[...] Schwachstellen, technische Defekte und Qualitätsmängel der Systemplattformen. Soziale Netzwerke sind im Grunde genommen nichts anderes als webbasierte Server-Applikationen, die ihre Daten in Datenbanken ablegen. Sie lassen sich mit den gleichen Methoden angreifen wie Webanwendungen und Webserver generell. Beliebte Angriffsformen sind dabei immer wieder Code-Injection, Cross-Site Scripting (XSS) oder Cross-Site Request Forgery (CSRF). [...]