OWASP plant Veröffentlichung einer Top 10 für Serverless-Apps

Bereits jetzt analysiert ein erster Entwurf des Sicherheitsprojekts die zehn größten Schwachstellen herkömmlicher Applikationen auch in der Serverless-Welt.

In Pocket speichern vorlesen Druckansicht
OWASP plant Veröffentlichung einer Top-10 für Serverless-Apps

(Bild: TheDigitalWay, Pixabay)

Lesezeit: 2 Min.
Von
  • Björn Bohn

Das Open Web Application Security Project (OWASP) hat einen ersten Entwurf für die Top-10-Sicherheitsrisiken bei Serverless-Applikationen vorgestellt. Auch wenn OWASP ein offizielles Release der Top 10 erst für das zweite Quartal 2019 plant, hat der derzeitige Draft die übliche OWASP-Top-10 in Bezug auf Serverless-Anwendungen analysiert:

  1. Injection
  2. Broken Authentication
  3. Sensitive Data Exposure
  4. XML External Entities (XXE)
  5. Broken Access Control
  6. Security Misconfiguration
  7. Cross-site Scripting (XSS)
  8. Insecure Deserialization
  9. Using Components with Known Vulnerabilities
  10. Insufficient Logging and Monitoring

Das Erstellen der "serverlosen" Apps eliminiert für Entwickler das Aufsetzen eines eigenen Servers, da der Cloud-Dienstleister die Aufgabe übernimmt. Dennoch können Sicherheitsrisiken durch unsicheren Code entstehen – denn er wird immer noch ausgeführt, nur eben auf den Servern der in der Regel vertrauenswürdigen Anbieter. Die 35-seitige Analyse beleuchtet demnach die aktuelle OWASP Top 10 bei Serverless-Anwendungen.

Laut dem Dokument fällt kein Punkt der Top 10 bei Serverless-Apps gänzlich weg. Lediglich die XXE-Angriffe scheinen deutlich weniger gefährlich zu sein: Das liegt an den häufig verwendeten geschlossenen Umgebungen (zum Beispiel VPC, VNet) im Zusammenspiel mit den SDKs der Anbieter. Obacht ist lediglich beim Verwenden von XML Parsing geboten.

Neben den bereits bekannten Risiken haben Serverless-Anwendungen laut OWASP aber auch mit neuen zu kämpfen. Dazu gehören Denial of Service (DoS), Denial of Wallet (DoW), unsicheres Secret-Management, unsicherer Shared Space sowie die Manipulation von Business-Logik/Flow. Die Analyse schätzt vor allem DoW und eine Manipulation der Business-Logik als große Gefahren ein. Bei ersterem Zielen Angreifer darauf ab, mit Aufrufen einen vom Nutzer zur Sicherheit konfigurierten finanziellen Schwellwert zu erreichen, nach dem keine neuen Aufrufe mehr durchführbar sind. Das hat eine DoS zur Folge, die eigentlich zum Schutz des Nutzers dienen sollte. Zweitere sollen besonders schwierig aufzudecken sein und können hohen Schaden anrichten.

Die Website zum Projekt stellt weitere Details vor. Das erste offizielle Release ist für den 1. April 2019 geplant. (bbo)