Schwachstellen in Webanwendungen: OWASP Top 10 ist 2017 stärker von der Community geprägt
Die aktuelle Ausgabe der bekannten Rangliste, die die schlimmsten Schwachstellen von Webanwendungen aufzeigt, berücksichtigt zudem den Trend zu Microservices und Single Page Applications.
Sieben Monate nach dem Release Candidate ist nun die fertige Version der OWASP Top 10 2017 erschienen. Die vorherige Ausgabe des vom Open Web Application Security Project herausgegebenen Rankings stammt aus dem Jahr 2013. Die Macher des Reports sehen ihn explizit nicht als Compliance-Richtlinie oder Vorlage für Pentests, sondern es geht Ihnen darum, die Aufmerksamkeit auf die Schwachstellen zu lenken. Die OWASP Top 10 ist vor allem für Softwareentwickler und -architekten sowie Sicherheitsexperten und Projektmanager relevant.
Die Veränderungen der letzten vier Jahre haben die Macher berücksichtigt. So hebt der Report den Trend zu Microservices hervor, die häufig in Node.js und Spring Boot erstellt sind. Außerdem erstellen Entwickler verstärkt Single Page Applications (SPAs) mit JavaScript-Frameworks wie Angular und React. Dass JavaScript auch aus OWASP-Sicht die vorherrschende Sprache im Web ist, überrascht wenig. Serverseitig steht demnach Node.js im Mittelpunkt, und für die Client-Entwicklung kommen typischerweise Webframeworks wie Bootstrap, Electron, Angular und React zum Einsatz.
Mehr Community und umfangreiche Daten
Um die Veränderungen der vergangenen vier Jahre möglichst gut berücksichtigen zu können, setzte das OWASP verstärkt auf das Einbeziehen der Community, die mit ihrer Rückmeldung die beiden Neuzugänge "Insecure Deserialization" und "Insufficient Logging & Monitoring" eingebracht hat. Ansonsten basiert die OWASP Top 10 2017 in erster Linie auf den gut 40 eingebrachten Datensätzen von Unternehmen, die sich auf Applikationssicherheit spezialisiert haben, und auf einer Umfrage in der Industrie, die gut 500 Einzelpersonen einbezogen hat. Laut dem Bericht umspannt die Liste damit über 100.000 Anwendungen und APIs aus dem alltäglichen Einsatz.
Um die Transparenz weiter zu verbessern, hat die ohnehin offene OWASP-Community den Report auf GitHub unter den Augen der Öffentlichkeit erstellt. Auf die Weise lässt sich besser nachvollziehen, woher die gesammelten Daten stammen. Die Rohdaten stehen der Öffentlichkeit zur Verfügung, sodass grundsätzlich jeder eine eigene Analyse auf Basis eines Forks des OWASP-Repository durchführen kann.
Alte Bekannte und Neuzugänge
Ein Blick auf die Liste zeigt keine Veränderung bei den beiden Spitzenplätzen "Injection" und "Broken Authentication". Cross-Site Scripting (XSS) hat an Bedeutung verloren, dafür hat der Zugang zu sensitiven Daten den dritten Platz in der Liste eingenommen. Neu hinzugekommen sind neben den genannten Community-Eingaben "XML External Entities (XXE)", die vor allem XML-basierte Webservices betreffen.
Rang |
OWASP Top 10 2017 |
2013 |
1 | Injection | 1 |
2 | Broken Authentication | 2 |
3 | Sensitive Data Exposure | 6 |
4 | XML External Entities (XXE) | (Neuzugang) |
5 | Broken Access Control | 4 & 7 |
6 | Security Misconfiguration | 5 |
7 | Cross-Site Scripting (XSS) | 3 |
8 | Insecure Deserialization | (Neuzugang) |
9 | Using Components with Known Vulnerabilities | 9 |
10 | Insufficient Logging & Monitoring | (Neuzugang) |
Die zwei Punkte "Insecure Direct Object References" und "Missing Function Level Access Control" aus der vorherigen Liste sind im neuen Ranking zu "Broken Access Control" verschmolzen. Sowohl Cross-Site Request Forgery (CSRF) als auch "Unvalidated Redirects and Forwards" haben seit 2013 genügend an Bedeutung verloren, um aus der aktuellen Top 10 herauszufallen.
Weitere Details lassen sich dem vollständigen Report und dem Blogbeitrag zur Fertigstellung der aktuellen Top 10 entnehmen. Die Daten sind über das GitHub-Repository verfügbar. (rme)