OWASP steht im Grunde für das Open Web Application Security Project, es ist eine gemeinnützige globale Online-Community, bestehend aus Zehntausenden von Mitgliedern und Hunderten von Kapiteln, die Artikel, Dokumentation, Tools und Technologien im Bereich der Webanwendungssicherheit produzieren.

OWASP überarbeitet und veröffentlicht alle drei bis vier Jahre seine Liste der 10 größten Schwachstellen in Webanwendungen., Diese Liste enthält nicht nur die häufigsten Top – 10-Sicherheitsanfälligkeiten, sondern auch die potenziellen Auswirkungen jeder Sicherheitsanfälligkeit und deren Vermeidung. Die OWASP Top 10 Web Application Security Risks wurde zuletzt im Jahr 2017 aktualisiert und bietet Entwicklern und Sicherheitsexperten grundsätzlich Anleitungen zu den wichtigsten Sicherheitslücken, die am häufigsten in Webanwendungen auftreten und auch leicht auszunutzen sind. Die Top 10 von OWASP gelten als wesentlicher Leitfaden für Best Practices für die Webanwendungssicherheit.,

Die Top 10 OWASP-Schwachstellen im Jahr 2020 sind:

  1. Injection
  2. Defekte Authentifizierung
  3. Sensitive Data Exposure
  4. XML External Entities (XXE)
  5. Defekte Zugriffskontrolle
  6. Sicherheitsfehlkonfigurationen
  7. Cross-Site Scripting (XSS)
  8. Unsichere Deserialisierung
  9. Verwendung von Komponenten mit bekannten schwachstellen
  10. Unzureichende Protokollierung und Überwachung.,

Injection

Injection Schwachstellen treten auf, wenn ein Angreifer eine Abfrage oder einen Befehl verwendet, um nicht vertrauenswürdige Daten über SQL, OS, NoSQL oder LDAP in den Interpreter einzufügen Injektion. Die Daten, die durch diesen Angriffsvektor injiziert werden, lassen die Anwendung etwas tun, für das sie nicht ausgelegt ist. Nicht alle Anwendungen sind anfällig für diesen Angriff, nur die Anwendungen, die Parameter als Eingabe akzeptieren, sind anfällig für Injektionsangriffe.,

– Injection-Angriffe verhindert werden können, indem Sie

  • durch sichere API, die vermeidet die Verwendung der interpreter
  • Verwenden Sie parametrisierte Abfragen bei einer Codierung
  • Trennung von Befehlen von Daten zu vermeiden Exposition gegenüber Angriffen

Broken Authentication

Gebrochene Authentifizierung ist eine Sicherheitsanfälligkeit, die es einem Angreifer erlaubt, verwenden Sie die manuelle oder automatische Methoden, um zu versuchen, die Kontrolle über jedes Konto, Sie möchten in einem system. Unter schlechteren Bedingungen könnten sie auch die vollständige Kontrolle über das System erlangen., Diese Sicherheitsanfälligkeit ist auch gefährlicher, da Websites mit fehlerhaften Authentifizierungsanfälligkeiten im Web sehr häufig sind. Eine fehlerhafte Authentifizierung tritt normalerweise auf, wenn Anwendungen Funktionen im Zusammenhang mit der Sitzungsverwaltung falsch ausführen, sodass Eindringlinge Passwörter, Sicherheitsschlüssel oder Sitzungstoken gefährden können.,Fehlerhafte Authentifizierungsangriffe können verhindert werden, indem

  • Multi-Faktor-Authentifizierung implementiert wird
  • Schutz der Benutzeranmeldeinformationen
  • Senden von Kennwörtern über verschlüsselte Verbindungen

Sensible Datenexposition

Diese Sicherheitsanfälligkeit ist eine der am weitesten verbreiteten Sicherheitsanfälligkeiten in der OWASP-Liste und tritt auf, wenn Anwendungen und APIs sensible Daten wie Finanzdaten, Sozialversicherungsnummern, Benutzernamen und Kennwörter oder Gesundheitsinformationen nicht ordnungsgemäß schützen, und dies ermöglicht es Angreifern, auf solche Informationen zuzugreifen und betrug begehen oder Identitäten stehlen.,

Sensitive data exposure-Angriffe können verhindert werden,

  • Verwenden des sicheren URLs
  • Verwenden Sie starke und einzigartige Passwörter
  • Verschlüsselung aller sensiblen Informationen, die nicht gespeichert werden müssen

XML External Entities (XXE)

Diese Sicherheitsanfälligkeit tritt auf, für web-Anwendungen, die analysieren von XML-input. Dies geschieht, wenn schlecht konfigurierte XML-Prozessoren externe Entitätsreferenzen innerhalb der XML-Dokumente auswerten und vertrauliche Daten an eine nicht autorisierte externe Entität, dh eine Speichereinheit wie eine Festplatte, senden., Standardmäßig sind die meisten XML-Parser anfällig für XXE-Angriffe.

XXE-Angriffe können verhindert werden, indem

  • Mit weniger komplexen Datenformaten wie JSON
  • XML-Prozessoren und-Bibliotheken aktualisiert werden
  • Mit SAST-Tools

Defekte Zugriffskontrollen

Diese Sicherheitsanfälligkeit tritt auf, wenn der Zugriff auf Ressourcen unterbrochen ist., Für diesen Angriff nutzen Angreifer die Hilfe der Sitzungsverwaltung und versuchen, auf Daten aus den nicht abgelaufenen Sitzungstoken zuzugreifen, wodurch sie auf viele gültige IDs und Kennwörter zugreifen können.,

Defekte Zugriffskontrollangriffe können verhindert werden, indem

  • Konten gelöscht werden, die nicht mehr benötigt werden oder nicht aktiv sind
  • Unnötige Dienste herunterfahren, um die Belastung der Server zu verringern
  • Mithilfe von Penetrationstests

Sicherheitskonfiguration

Es wird geschätzt, dass bis zu 95% der Cloud-Verstöße das Ergebnis menschlicher Fehler sind und diese Tatsache führt uns zum nächsten sicherheitslücke, die als Sicherheitskonfiguration bezeichnet wird. Diese Sicherheitsanfälligkeit bezieht sich auf die unsachgemäße Implementierung von Sicherheit, um Anwendungsdaten sicher zu halten., Da wir wissen, dass die Arbeit des Entwicklers im Wesentlichen darin besteht, an der Funktionalität von Websites zu arbeiten und nicht an der Sicherheit, und dieser Fehler ermöglicht es Hackern, die Konfiguration der Sicherheit zu verfolgen und neue Möglichkeiten zu finden, Websites zu betreten. Der häufigste Grund für diese Sicherheitsanfälligkeit ist das Patchen oder Aktualisieren von Systemen, Frameworks und Komponenten.,

Sicherheitsfehlkonfigurationsangriffe können verhindert werden, indem

  • Mithilfe von Dynamic Application Security Testing (DAST)
  • Die Verwendung von Standardkennwörtern deaktiviert wird
  • Behalten Sie Cloud-Ressourcen, Anwendungen und Server im Auge

Cross-Site Scripting (XSS)

Dies ist auch eine weit verbreitete Sicherheitsanfälligkeit, von der fast 53% aller Webanwendungen betroffen sind. Die XSS-Sicherheitsanfälligkeit ermöglicht es einem Hacker, bösartige clientseitige Skripte in eine Website einzufügen und dann die Webanwendung als Angriffsvektor zu verwenden, um Benutzersitzungen zu entführen oder das Opfer auf bösartige Websites umzuleiten.,

Cross-site-scripting-Angriffe können verhindert werden,

  • Mit Hilfe der entsprechenden Antwort-Headern
  • Filtern Sie die Eingabe und Kodierung der Ausgabe
  • Verwenden des content-security-policy
  • anlegen von einem zero-trust-Ansatz, um Benutzereingaben

Unsichere Deserialisierung

Unsichere Deserialisierung Sicherheitsanfälligkeit ermöglicht einem Angreifer die Ausführung von code in der Anwendung, manipulieren oder löschen serialisiert (auf die Festplatte geschrieben) Objekte, Verhaltens-injection-Angriffe, replay-Angriffe, und die Erhöhung von Berechtigungen. Dieser Angriff wird auch als nicht vertrauenswürdige Deserialisierung bezeichnet., Es ist ein ernstes Problem der Anwendungssicherheit, das die meisten modernen Systeme betrifft.,alization Angriffe können verhindert werden,

  • Implementierung digitaler Signaturen
  • Mit penetration testing
  • Isolierung der code, der deserialisiert und es läuft in Umgebungen mit geringen rechten zu verhindern, dass nicht autorisierte Aktionen

Verwenden von Komponenten mit bekannten Verwundbarkeiten

Heutzutage gibt es viele open-source-und frei verfügbare software-Komponenten (Bibliotheken, frameworks) das sind für Entwickler zur Verfügung, und wenn es Auftritt, jede Komponente hat eine bekannte Sicherheitslücke in es, dann wird es ein schwaches Glied, das kann Auswirkungen auf die Sicherheit der gesamten Anwendung., Es tritt auch auf, weil Entwickler häufig nicht wissen, welche Open-Source-und Drittanbieter-Komponenten in ihren Anwendungen vorhanden sind, und dies macht es für Entwickler schwierig, Komponenten zu aktualisieren, wenn neue Schwachstellen in ihren aktuellen Versionen entdeckt werden.,

Dieser Angriff kann verhindert werden, indem

  • Alle unnötigen Abhängigkeiten entfernt werden
  • Mit virtuellem Patchen
  • Mit Komponenten nur aus offiziellen und verifizierten Quellen

Unzureichende Protokollierung und Überwachung

Es wird geschätzt, dass die Zeit vom Angriff bis zur Erkennung bis zu 200 Tage und oft länger dauern kann. In der Zwischenzeit können Angreifer Server manipulieren, Datenbanken beschädigen und vertrauliche Informationen stehlen. Unzureichende Protokollierung und ineffektive Integration der Sicherheitssysteme ermöglichen es Angreifern, sich auf andere Systeme zu konzentrieren und anhaltende Bedrohungen aufrechtzuerhalten.,

Unzureichende Protokollierungs – und Überwachungsangriffe können verhindert werden, indem

  • Protokollierungs-und Überwachungssoftware implementiert
  • Einrichtung eines effektiven Überwachungssystems
  • Denken Sie wie ein Angreifer und verwenden Sie einen Pen-Testansatz
Artikel-Tags: