Was sind die OWASP Top 10?

In der ersten Folge dieser Blogreihe rund um den Schutz privater Unternehmensanwendungen geht es um die OWASP Top 10, eine in der IT-Branche weithin anerkannte Kategorisierung der kritischsten aktuellen Sicherheitsrisiken für webbasierte Anwendungen. In den kommenden Wochen folgen weitere Beiträge, in denen wir im Detail auf die Tools und Techniken eingehen, die Sie zum Schutz Ihrer Anwendungen vor diesen Risiken einsetzen können.

OWASP (Open Web Application Security Project) ist eine gemeinnützige internationale Organisation, die sich für die Verbesserung der Softwaresicherheit durch Open-Source-Initiativen und Aufklärung der User-Community engagiert. Zu den Grundprinzipien des OWASP zählt die Verpflichtung, Projekte, Tools und Dokumente kostenlos und unkompliziert zugänglich zu machen, um alle Anwender bei der Entwicklung von sicherem Code und vertrauenswürdigen Anwendungen zu unterstützen.

Was sind die OWASP Top 10?

OWASP Top 10 ist ein Report zur aktuellen Bedrohungslage, in dem die kritischsten Sicherheitsrisiken für webbasierte Anwendungen aufgezeigt werden. Seit der erstmaligen Veröffentlichung 2003 gilt das OWASP-Ranking als Branchenstandard zum Thema Anwendungssicherheit. Die 2021 veröffentlichte Ausgabe basiert auf der Analyse von über 500.000 Anwendungen und liefert damit einen umfassenden Einblick in den aktuellen Stand der Anwendungssicherheit. 

Im Ranking der OWASP Top 10 für Web-Anwendungen 2021 werden folgende Sicherheitsrisiken aufgeführt:

Quelle: OWASP Foundation

Nachstehend werden die einzelnen Risiken genauer beleuchtet:

1. Defekte Zugriffskontrollen sind bei heutigen Webanwendungen ein häufiges Problem und werden von Angreifern regelmäßig ausgenutzt, um User zu kompromittieren und Zugriff auf Ressourcen zu erhalten. Fehler bei der Authentifizierung und Autorisierung können zur Exposition vertraulicher Daten oder zur unbeabsichtigten Codeausführung führen. Zu den häufigsten Sicherheitsrisiken bei der Zugriffskontrolle gehören die Nichtdurchsetzung des Prinzips der minimalen Rechtevergabe, die Umgehung von Zugriffskontrollprüfungen und die Rechteerhöhung (wenn z. B. eine als User eingeloggte Person sich Administrator-Berechtigungen aneignet).

2. Kryptografische Fehler führen zur Exposition vertraulicher Daten wie Passwörter, Kreditkartennummern, Patientenakten usw. Die Mehrzahl der Fehler entsteht dadurch, dass die Verschlüsselung nicht ordnungsgemäß oder überhaupt nicht implementiert wird. Beispielsweise werden Daten im Klartext übertragen, veraltete oder schwache kryptografische Algorithmen verwendet oder Protokolle wie HTTP, SMTP oder FTP beim Transport vertraulicher Daten nicht durchgesetzt.

3. Injektion bezeichnet eine Reihe von Sicherheitsrisiken, die Angreifern ermöglichen, schädliche bzw. nicht vertrauenswürdige Daten über eine Formulareingabe oder eine andere Datenübermittlung an eine Anwendung weiterzugeben, wodurch der Code-Interpreter dazu verleitet wird, unbeabsichtigte Befehle auszuführen oder Daten ohne entsprechende Autorisierung abzurufen. Zu den am häufigsten ausgenutzten Schwachstellen gehören SQL-, Betriebssystembefehls- und LDAP-Injektionen.

4. Unsicheres Design bezieht sich auf Risiken, die mit Mängeln in Design und Architektur der Anwendungen verbunden sind. Zur Behebung dieser Risiken empfiehlt sich die stärkere Berücksichtigung von Sicherheitsaspekten bereits in der Vorphase der Programmierung gemäß den „Secure by Design“-Grundsätzen. 

5. Sicherheitsfehlkonfigurationen entstehen durch die unsichere oder falsche Konfiguration von Anwendungskomponenten unter Nichtberücksichtigung der entsprechenden Best Practices. Diese Schwachstellen können auf sämtlichen Ebenen des Anwendungs-Stacks auftreten und Netzwerkservices ebenso betreffen wie Web-Server, Anwendungsserver oder Datenbanken. Bei Sicherheitsfehlkonfigurationen kann es sich um unnötige Funktionen (z. B. unnötige Ports, Konten oder Berechtigungen), Standardkonten und -passwörter oder auch um Maßnahmen zur Fehlerbehebung handeln, die unnötige Informationen über die jeweilige Anwendung offenlegen.

6. Anfällige und veraltete Komponenten umfassen Software-Komponenten, die Sicherheitslücken aufweisen, weil sie entweder nicht mehr unterstützt werden, veraltet sind oder für bekannte Exploits anfällig sind. Eine komponentenlastige Entwicklung kann dazu führen, dass Entwicklungsteams nicht unbedingt wissen oder verstehen, welche Komponenten sie in ihren Anwendungen verwenden.

7. Sicherheitslücken bei der Identitätsprüfung und Authentifizierung treten auf, wenn Funktionen im Zusammenhang mit der Identitätsprüfung, Authentifizierung oder Sitzungsverwaltung nicht korrekt implementiert oder angemessen geschützt werden, sodass Angreifer sich unbefugten Zugriff verschaffen und die Identität eines Users annehmen können. 

8. Fehler in der Software- und Datenintegrität beziehen sich auf Schwachstellen in Programmcode und Infrastruktur, die keinen ausreichenden Schutz vor Integritätsverletzungen bieten. Der Einsatz von Software-Plugins, Bibliotheken oder Modulen aus nicht vertrauenswürdigen Quellen, Repositorys und Content Delivery Networks (CDNs) kann das Risiko erhöhen, dass Angreifer sich unbefugten Zugriff verschaffen, Schadcode einschleusen und/oder das System kompromittieren. Dies betrifft u. a. nicht signierte Firmware, unsichere Update-Mechanismen oder unsichere Deserialisierung.

9. Fehler bei der Sicherheitsprotokollierung und -überwachung liegen fast allen größeren Vorfällen zugrunde. Angreifer nutzen unzureichende Überwachungsmechanismen und lange Reaktionszeiten aus, um sich auf längere Zeit unerkannt in Ihren Anwendungen einzunisten. Im Durchschnitt vergehen 287 Tage, bis eine neue Sicherheitsverletzung erkannt und erfolgreich eingedämmt wird, sodass Angreifer reichlich Zeit haben, Störungen und Schäden anzurichten.  

10. Serverseitige Anforderungsfälschung tritt auf, wenn eine Webanwendung die vom User angeforderte URL beim Abrufen einer Remote-Ressource nicht validiert. Dadurch kann ein Angreifer die Anwendung dazu zwingen, eine manipulierte Anfrage an ein schädliches Ziel zu senden, selbst wenn die Anwendung durch eine Firewall, ein VPN oder eine andere Art von Access Control List (ACL) geschützt ist.  

Hinweise zum Schutz Ihrer Anwendungen vor kritischen Sicherheitsrisiken

Das „Top 10“-Ranking des OWASP eignet sich hervorragend als Leitfaden zum Verständnis der kritischsten Sicherheitsrisiken für webbasierte Anwendungen. Die Behebung dieser Risiken und Gewährleistung zuverlässiger Anwendungssicherheit stellt jedoch angesichts der zunehmenden Komplexität der Unternehmenssysteme eine beträchtliche Herausforderung dar, zumal Cyberkriminelle zunehmend die Anwendungsschicht ins Visier nehmen. Zero Trust schafft hier Abhilfe und unterstützt Sie beim Schutz Ihrer Webanwendungen vor gezielten Angriffen auf kritische Schwachstellen. 

Zscaler Private Access ist unsere branchenführende ZTNA-Lösung (Zero Trust Network Access) zum Schutz privater Unternehmensanwendungen vor den gängigsten Layer-7-Webangriffen mit lückenloser Abdeckung der OWASP Top 10 sowie kompletter Unterstützung benutzerdefinierter Signaturen für das virtuelle Patching von Zero-Day-Schwachstellen. Die inbegriffenen Funktionen zur Inline-Überprüfung und Angriffsprävention ermöglichen die automatische Erkennung und Blockierung aktiver schädlicher Inhalte, die im User-Traffic zu Ihren privaten Unternehmensanwendungen eingebettet sind. Zuverlässiger Schutz für private Unternehmensanwendungen zählt ebenso zu den unverzichtbaren Komponenten einer ZTNA-Komplettlösung wie Funktionen zur Erkennung von Anwendungen, Mikrosegmentierung einzelner Verbindungen zwischen Usern und Anwendungen sowie agentenloser Zugriff.  

Wenn Sie sich ausführlicher über das Thema informieren und aktuelle Innovationen im Bereich Zero Trust Network Access kennenlernen wollen, sollten Sie sich die einschlägige Expertenrunde am 22. März auf keinen Fall entgehen lassen. Melden Sie sich am besten noch heute zur Zero Trust Live an.

Sie wollen jetzt schon mehr erfahren? Dann können Sie mit dieser Demo von Zscaler Private Access: AppProtection die Benutzeroberfläche und Administratoren-Konfiguration für verschiedene Anwendungsfälle erleben – vom Schutz vor kritischen Sicherheitsrisiken über Transparenz auf Anwendungsebene bis hin zum virtuellen Patching gegen Zero-Day-Bedrohungen und CVEs.