OWASP veröffentlicht Handbuch zum Schutz gegen automatisierte Angriffe
Als Hilfe fĂĽr das Absichern von Webanwendungen hat die Non-Profit-Organisation OWASP ein Handbuch fĂĽr Entwickler herausgebracht, das bislang wenig beachtete Angriffe beschreibt.
(Bild: dpa, Frank Rumpenhorst/Archiv)
Die Non-Profit-Organisation OWASP (Open Web Application Security Project) hat ein Handbuch herausgebracht, das Software-Entwicklern, -Architekten, -Testern und anderen im Kampf gegen eine wenig beachtete Kategorie von Schwachstellen helfen soll: den relevanten automatisierbaren Bedrohungen im Zusammenhang mit dem Missbrauch gĂĽltiger Funktionen. Das 72-seitige "OWASP Automated Threat Handbook Web Applications" steht in Version 1.0 kostenlos als PDF zum Download bereit.
(Bild:Â Handbuch OWASP)
Im Wesentlichen geht es um Angriffe, die häufig gar nicht erst als diejenigen erkannt werden, die sie sind, und demzufolge in keiner Statistik und keinem Security-Report auftauchen. Sie werden etwa irrtümlich als Denial-of-Service-Angriff interpretiert, während dieser in Wirklichkeit lediglich ein Nebeneffekt ist. Der eigentliche Angriff, beispielsweise Blog- oder Kommentar-Spam, das Anlegen von Fake-Accounts oder Password Cracking, den Betreiber von Webanwendungen regelmäßig erleben, ist in keiner Schwachstellen-Hitliste verzeichnet. Daraus resultiert eine mangelnde Sichtbarkeit sowie Inkonsistenz der Bezeichnungen, die im Kampf gegen solche Angriffe hinderlich ist.
Gemeinsame Bezeichnung der Angriffe
Bei Webanwendungen sind die wichtigsten Typen von Schwachstellen hinreichend bekannt und es herrscht bei Sicherheitsexperten Konsens über ihre Bezeichnung und Identifizierung. Dafür haben in den vergangenen Jahren unter anderem die zum Quasi-Standard gewordenen "OWASP Top Ten - Die 10 häufigsten Sicherheitsrisiken für Webanwendungen" des Open Web Application Security Project (OWASP) gesorgt.
Daher bestand das erste Ziel des OWASP-Projekt "Automated Threats Handbook Web Applications" darin, ebenfalls eine gemeinsame Sprache fĂĽr Entwickler, Sicherheitsexperten und alle Betroffenen zu etablieren. Das Projekt hat zahlreiche Quellen von Sicherheits-Reports ĂĽber akademische Arbeiten oder Schwachstellenauflistungen untersucht, um solche Angriffsszenarien zu aufzuspĂĽren, Bezeichnungen zu finden und sie zu klassifizieren. Weitere Ziele sind das Erkennen solcher Angriffe, der Informationsaustausch mit CERTs und anderen Sicherheitsexperten sowie das Entwickeln von Sicherheitstests und GegenmaĂźnahmen. Alle Informationsmaterialien sind frei und unter Open-Source-Lizenz auf der OWASP-Webseite publiziert. Ein zweiseitige Zusammenfassung beschreibt die bis dato wichtigsten Ergebnisse. Darin laden die Autoren ĂĽberdies alle mit dem Thema Webanwendungen Befassten oder Verantwortlichen ausdrĂĽcklich zur Beteiligung ein. (ur)
