OWASP: Die zehn größten Risiken für Webanwendungen

Das Open Web Application Security Project hat wieder eine Top 10 der gefährlichsten Schwachstellen in Webanwendungen herausgegeben.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Alexander Neumann

Das Open Web Application Security Project hat eine neue Ausgabe der OWASP Top 10 vorgelegt. Die erstmals vor zehn Jahren veröffentlichte Rangliste der zehn schwerwiegendsten Sicherheitsschwachstellen von Webanwendungen genießt unter Sicherheitsexperten und Webentwicklern einen hohen Stellenwert. Für die neue Rangliste wurden über 500.000 Schwachstellen in mehreren hundert Unternehmen und Tausenden Applikationen beobachtet.

Die zehn Risiken für Webentwickler, die laut OWASP 2013 am ehesten ernst zu nehmen sind (in Klammern steht die jeweilige Platzierung von 2010):

  1. Injection (1)
  2. Broken Authentication and Session Management (3)
  3. Cross-Site Scripting (XSS) (2)
  4. Insecure Direct Object References (4)
  5. Security Misconfiguration (6)
  6. Sensitive Data Exposure (7/9)
  7. Missing Function Level Access Control (8)
  8. Cross-Site Request Forgery (CSRF) (5)
  9. Using Known Vulnerable Components (-)
  10. Unvalidated Redirects and Forwards (10)

Unter "Sensitive Data Exposure" wurden "Insecure Cryptographic Storage" (2010 an 7. Stelle) und "Insufficient Transport Layer Protection" (2010: 9. Rang) zusammengefasst. "Missing Function Level Access Control" entspricht "Failure to Restrict URL Access" von 2010, allerdings erweitert auf sämtliche Arten der Zugriffsteuerung und nicht mehr nur auf die URL eingeschränkt.

"Using Known Vulnerable Components" auf Rang 9 war vor drei Jahren noch ein Unterpunkt von "Security Misconfiguration". Die Autoren heben es nun hervor, weil das Aufkommen der komponentenbasierten Entwicklung das Risiko erhöht habe, dass Entwickler Bibliotheken, Frameworks und Module mit ihnen unbekannten Sicherheitslücken verwenden.

OWASP ist offene Community mit dem Ziel, Know-how im Bereich der Websicherheit aufzubauen. Im Vordergrund stehen Best Practices, Werkzeuge und Konzepte für die sichere Entwicklung sowie Test und Schutz von Webanwendungen. Die OWASP Top 10, die im dreijährigen Turnus erscheint, wendet sich an Entwickler, Sicherheitsberater, Projektmanager, Sicherheitsbeauftragte von Unternehmen und Organisationen. Wie schon im Jahr 2010 liegt der Schwerpunkt auf den Risiken und nicht mehr wie zuvor auf potenzielle Schwachstellen. Schließlich muss eine große Schwachstelle nicht zwangsläufig ein erhebliches technisches Risiko darstellen. (ane)