Neue Ausgabe der OWASP Top 10 berücksichtigt Cloud- und API-Entwicklung

Im Juni ist es vier Jahre her, dass eine letzte Ausgabe der OWASP Top 10 erschienen ist. Derzeit arbeitet das Open Web Application Security Project an einer neuen Auflage, die voraussichtlich im Juli oder August 2017 finalisiert sein soll. Der letzte Woche vorgelegte Release Candidate gibt derweil einen Überblick, was sich vermutlich ändern wird.

Das Update erfolgt in einer Zeit, die infolge wichtiger werdender Techniken wie Cloud, Anwendungs-Containern und APIs im schnellen Wandel begriffen ist. Damit gehen die Beschleunigung und Automatisierung von Softwareentwicklungsprozessen durch agile Methoden und DevOps, die starke Zunahme von Drittbibliotheken und Frameworks, aber auch Fortschritte bei den Angreifern einher. Diesen Trends will die neue Auflage Rechnung tragen.

Die Reihenfolge ergibt sich zurzeit wie folgt (in Klammern das Ergebnis von 2013)

1. Injection (1)
   
2. Broken Authentication and Session Management (2)
   
3. Cross-Site Scripting (XSS) (3)
   
4. Broken Access Control (4/7)
5. Security Misconfiguration (5)
   
6. Sensitive Data Exposure (6)
   
7. Insufficient Attack Protection (neu)
8. Cross-Site Request Forgery (CSRF) (8)
   
9. Using Components with Known Vulnerabilities (9)
   
10. Underprotected APIs (neu)

Was hat sich geändert?

Das an Position 4 liegende "Broken Access Control" ist ein Zusammenschluss aus "Insecure Direct Object References" und "Missing Function Level Access Control". 2007 war "Broken Access Control" in diese zwei Kategorien aufgespalten worden, um jeder der beiden mehr Aufmerksamkeit zuteil werden zu lassen. Dafür sehen die Autoren der OWASP Top 10 nun keine Notwendigkeit mehr, weswegen sie beide jetzt unter dem alten Schlagwort zusammengefügt haben.

Neu sind "Insufficient Attack Protection" und "Underprotected APIs", die eine konkrete Reaktion auf die jüngsten Entwicklungen sind. Denn die Autoren sind der Meinung, dass der Mehrheit der Anwendungen und APIs grundlegende Fähigkeiten fehle, um sowohl manuelle als auch automatisierte Angriffe zu erkennen, zu verhindern und darauf zu reagieren. Applikations- und API-Anbieter müssten demzufolge in der Lage sein, Patches schnell zum Schutz vor Angriffen bereitzustellen. Darüber hinaus umfassen zeitgemäße Anwendungen und APIs oft umfangreiche Clientanwendungen wie JavaScript im Browser und mobile Apps, auf die über eine API (mit SOAP/XML, REST/JSON, RPC, GWT usw.) zugegriffen werde. Diese APIs seien oft ungeschützt und enthielten zahlreiche Schwachstellen.

Aus den Top 10 herausgeflogen ist "Unvalidated Redirects and Forwards". 2010 aufgenommen, dann zweimal auf Position 10 gelandet, hat es bei dieser Kategorie offensichtlich den Anschein, dass das damit einhergehende Problem nicht so verbreitet ist wie erwartet. Deswegen musste die Kategorie den neuen als wichtiger erachteten Problemen weichen.

Renommee der OWASP Top 10

Die erstmals 2003 veröffentlichte Rangliste der zehn schwerwiegendsten Sicherheitsschwachstellen von Webanwendungen genießt unter Sicherheitsexperten und Webentwicklern einen hohen Stellenwert. OWASP ist eine offene Community mit dem Ziel, Know-how im Bereich der Websicherheit aufzubauen. Im Vordergrund stehen Best Practices, Werkzeuge und Konzepte für die sichere Entwicklung sowie Test und Schutz von Webanwendungen. Die OWASP Top 10 wendet sich an Entwickler, Sicherheitsberater, Projektmanager, Sicherheitsbeauftragte von Unternehmen und Organisationen. (ane)