In der Cybersicherheit ist die OWASP Top Ten ein wichtiges Framework, das Organisationen hilft, die häufigsten aktuellen Schwachstellen von Webanwendungen zu verstehen.
Lesen Sie unseren Leitfaden, um mehr über die Probleme zu erfahren, auf die Sie achten sollten, und wie Sie das Risiko von Angriffen auf Webanwendungen reduzieren können.
Was sind die OWASP Top 10?
Die OWASP Top Ten, die von Entwicklern und Sicherheitsexperten auf der ganzen Welt anerkannt sind, zeigen die wichtigsten Schwachstellen auf, die die Sicherheit von Webanwendungen betreffen. Sie wurde vom Open Web Application Security Project (OWASP) erstellt, einer gemeinnützigen Stiftung, die Organisationen dabei unterstützt, die Sicherheit ihrer Webanwendungen zu verbessern. Die OWASP Top 10 wurde erstmals 2003 veröffentlicht und wird alle drei Jahre aktualisiert. Derzeit nimmt OWASP Einsendungen entgegen, die bei der Erstellung der nächsten Version des Frameworks helfen sollen.
Die OWASP Top 10 bietet eine klare Hierarchie der häufigsten Sicherheitsprobleme von Webanwendungen, die es Unternehmen ermöglicht, diese nach Häufigkeit, potenzieller Auswirkung, Methode der Ausnutzung durch Angreifer und Leichtigkeit bzw. Schwierigkeit der Erkennung zu identifizieren und zu adressieren. Die Top Ten der von OWASP identifizierten Sicherheitsrisiken für Webanwendungen sind im Folgenden aufgeführt.
Injektionsfehler
Injektionsfehler wie SQL-, NoSQL-, OS- und LDAP-Injektionen treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an ein Programm gesendet werden. Auf diese Weise können feindliche Daten eines Angreifers das Programm dazu bringen, unbeabsichtigte Befehle auszuführen, z. B. den Zugriff auf Daten ohne entsprechende Berechtigung zu gewähren.
Da sie leicht zu erlernen und auszuführen sind, gehören SQL-Injektionen zu den am häufigsten verwendeten Techniken für Angriffe auf Webanwendungen. Jüngste Untersuchungen haben ergeben, dass SQL-Injection-Angriffe mehr als 65 % der webbasierten Angriffe ausmachen.
Ein aktuelles Beispiel für die Ausnutzung einer Injection-Schwachstelle ist der Angriff auf das Mobile-Banking-Unternehmen Dave, bei dem die Daten von rund 7,5 Millionen Kunden ins Dark Web hochgeladen wurden.
Waydev, eine Analyseplattform, die mit dem Unternehmen zusammenarbeitete, verwendete kompromittierte GitHub- und GitLab-OAuth-Tokens. Es wird vermutet, dass Hacker in die Plattform von Waydev eingebrochen sind und die Token aus einer internen Datenbank über eine blinde SQL-Injection-Schwachstelle gestohlen haben. Die Hacker nutzten dann die Token, um sich Zugang zu Dave und anderen Unternehmen zu verschaffen.
Broken authentication
Broken authentication ist jedes Sicherheitsproblem, das den Log-in-Mechanismus einer Anwendung betrifft. Gebrochene Authentifizierung gibt Angreifern die Möglichkeit, Benutzerpasswörter und Sitzungs-Tokens zu kompromittieren oder Implementierungsfehler auszunutzen. Sie kann Systeme anfällig für Brute-Force-Angriffe machen, bei denen Angreifer automatisierte Tools verwenden, um Passwörter für Benutzerkonten zu knacken.
Sensitive Daten werden offengelegt
Daten, wie z. B. Kreditkarteninformationen und Sitzungs-Tokens, werden häufig in Webanwendungen und APIs offengelegt, so dass Angreifer sie stehlen können, um Identitätsdiebstahl und andere Verbrechen zu begehen. Um die Offenlegung dieser und anderer sensibler Daten zu verhindern, ist es wichtig, sie durch Verschlüsselung zu schützen (sowohl bei der Übertragung als auch im Ruhezustand) und sicherzustellen, dass es keine Fehler in der Anwendungslogik gibt, die einen unbefugten Zugriff ermöglichen könnten.
Im Jahr 2016 stahlen Hacker die persönlichen Daten von 57 Millionen Uber-Kunden und -Fahrern, indem sie eine Sicherheitslücke ausnutzten, die es ihnen ermöglichte, die Zwei-Faktor-Authentifizierung zu umgehen. Das Unternehmen vertuschte die Sicherheitslücke über ein Jahr lang und zahlte den Angreifern heimlich 75.000 Pfund, um die kompromittierten Daten zu löschen.
XML External Entities (XXE)
Eine XML External Entity-Schwachstelle ist eine Schwachstelle in der Art und Weise, wie eine Anwendung XML-Eingaben parst. Sie tritt auf, wenn ein Angreifer XML einspeist, das einen Verweis auf eine nicht autorisierte externe Entität enthält, und die Eingabe von einem schwach konfigurierten XML-Parser verarbeitet wird.
XXE-Schwachstellen werden von Angreifern oft dazu genutzt, zusätzliche technische Informationen über eine Anwendung zu erhalten – Informationen, die zur Durchführung von Denial-of-Service- und anderen Arten von Angriffen verwendet werden. Ein Milliarden-Lach-Angriff, auch bekannt als XML-Bombe, ist ein bekanntes Beispiel für eine Art von Denial-of-Service-Angriff, der XXE-Schwachstellen ausnutzt.
Broken access controls
Zugriffsverwaltung bezieht sich auf den Prozess, durch den eine Anwendung den Zugriff auf Daten oder Funktionen einschränkt. Schwachstellen in der Zugriffskontrolle (Broken Access Control, BAC) treten auf, wenn Beschränkungen, was Benutzer tun dürfen, nicht ordnungsgemäß durchgesetzt werden, z. B. wenn ein Benutzer mit eingeschränkten Rechten auf Daten zugreifen kann, auf die nur ein Benutzer mit hohen Rechten zugreifen können sollte.
Auch wenn BAC-Schwachstellen nicht unbedingt von einem böswilligen Angreifer ausgenutzt werden, können sie zu einem schwerwiegenden Verstoß gegen die DSGVO führen, wenn die Daten eines Benutzers unbeabsichtigt einem anderen Benutzer zugänglich gemacht werden.
Fehlkonfiguration der Sicherheit
Fehlkonfiguration der Sicherheit ist eine sehr häufige Art von Schwachstelle in Webanwendungen. Sie wird verwendet, um unsichere Standardkonfigurationen, unvollständige Konfigurationen und offene Cloud-Speicher zu beschreiben. Selbst eine geringfügige Fehlkonfiguration, wie die Anzeige von zu vielen Informationen in Fehlermeldungen, kann problematisch sein.
Cloud-Sicherheitsfehlkonfigurationen wie unsichere Datenbanken und offene Amazon S3-Buckets sind weit verbreitet. Untersuchungen zeigen, dass Cloud-Fehlkonfigurationen in den Jahren 2018 und 2019 zur Offenlegung von 33,4 Milliarden Datensätzen in Unternehmen auf der ganzen Welt führten, wobei die Kosten auf bis zu 3,85 Milliarden Pfund geschätzt werden.
Cross-Site-Scripting (XSS)
Cross-Site-Scripting (XSS)-Fehler treten immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten ohne ordnungsgemäße Validierung in eine Webseite einfügt oder wenn eine Anwendung eine Webseite mit vom Benutzer bereitgestellten Daten über eine Browser-API aktualisiert, die HTML oder JavaScript erstellen kann. XXS-Schwachstellen ermöglichen es Angreifern, Skripte auszuführen, die dazu verwendet werden können, Benutzersitzungen zu kapern, Webseiten zu verunstalten oder Benutzer auf bösartige Webseiten umzuleiten.
Cross-Site-Scripting war früher ein viel größeres Problem, ist aber jetzt in der OWASP Top 10 Liste weiter unten zu finden, da viele App-Frameworks integrierte Schutzmechanismen bieten. Eine kritische, aber inzwischen gepatchte Schwachstelle im Anmeldeprozess der Videokonferenz-Plattform Zoom wurde kürzlich identifiziert, die es Angreifern ermöglicht, eine XSS-Attacke auszuführen.
Das liegt daran, dass die Web-Plattform von Zoom, Zoom.us, den Namen des Benutzers im föderierten Anmeldefluss nicht bereinigt, was es Angreifern ermöglicht, beliebiges JavaScript im Browser eines Opfers auszuführen. Der Empfänger wurde so manipuliert, dass er auf einen bösartigen Link klickte, der über eine Phishing-E-Mail verschickt wurde, wodurch die Angreifer die gleichen Befugnisse wie das Opfer erhielten, um auf die Benutzereinstellungen zuzugreifen und diese zu ändern.
Sichere Deserialisierung
In der Programmierung bedeutet Serialisierung, dass ein Objekt in einen Strom von Bytes umgewandelt wird, um es im Speicher, einer Datei oder einer Datenbank zu speichern oder zu übertragen. Die Deserialisierung ist die Umkehrung dieses Prozesses, bei der die Bytes wieder in ein Objekt umgewandelt werden, damit es verschoben oder übertragen werden kann. Diese Art von Schwachstelle kann auftreten, wenn Anwendungen eine Deserialisierung mit Daten durchführen, die nicht vertrauenswürdig sind, einschließlich Daten, die von einem Angreifer an eine Anwendung gesendet werden.
Anfang des Jahres musste der Netzwerk-Hardwarehersteller Cisco schnell einen Fix für eine kritische Remote Code Execution (RCE) Schwachstelle in seiner Customer Interaction Management Lösung, Unified Contact Center Express (CCX), entwickeln. Diese Schwachstelle wurde durch die Java-Remote-Management-Schnittstelle des Produkts verursacht, die eine unsichere Deserialisierung der vom Benutzer bereitgestellten Inhalte aufwies. Dies bedeutete, dass ein Angreifer ein bösartiges serialisiertes Java-Objekt an einen bestimmten Benutzer auf einem betroffenen System senden konnte. Bei erfolgreicher Ausführung könnte dies dazu führen, dass ein Angreifer beliebigen Code als Root-Benutzer auf einem betroffenen Gerät ausführt.
Verwendung von Komponenten mit bekannten Schwachstellen
Anwendungen und APIs, die Komponenten mit bekannten Schwachstellen verwenden, können die Anwendungsabwehr untergraben und Angreifern einen Einstiegspunkt bieten. Um sich gegen solche Schwachstellen zu schützen, müssen alle von Webanwendungen verwendeten Komponenten auf dem neuesten Stand gehalten werden. Dies sollte das Betriebssystem eines Webservers und die Bibliotheken von Drittanbietern einschließen, die als Teil der Code-Basis einer Anwendung verwendet werden.
Ein Beispiel für die Ausnutzung dieser Schwachstelle ist die Citrix Netscaler-Schwachstelle CVE-2020-19781, die es Angreifern ermöglicht, das Gerät zu übernehmen und auf das interne Netzwerk einer Organisation zu schwenken. Diese Schwachstelle hat zu vielen Ransomware-Vorfällen geführt und ermöglichte es Kartellen, Millionen von Dollar von den Opfern zu erpressen.
Unzureichende Protokollierung & Überwachung
Unzureichende Protokollierung und Überwachung, kombiniert mit fehlender oder ineffektiver Reaktion auf Vorfälle, ist ein weiteres potenziell schwerwiegendes Risiko, das dazu führen kann, dass schwerwiegende Verstöße übersehen werden oder Maßnahmen zu spät ergriffen werden. Die unbekannte Ausnutzung von Schwachstellen kann es Angreifern ermöglichen, die Persistenz aufrechtzuerhalten, auf andere Systeme überzugehen und Daten zu manipulieren, zu extrahieren und zu zerstören.
Um das Sicherheitsrisiko zu minimieren, wird empfohlen, die Daten von Webanwendungen, einschließlich der Telemetrie von Webanwendungs-Firewalls, mit der neuesten Netzwerk- und Endpunktüberwachungstechnologie zentral zu überwachen. Formalisierte Verfahren zur Reaktion auf Vorfälle, einschließlich der Automatisierung von Playbooks, sind ebenfalls sehr empfehlenswert, um die Reaktionszeit auf Angriffe zu verkürzen.
Sicherheitsrisiken von Webanwendungen adressieren
Wie die OWASP Top Ten zeigt, sind Webanwendungen potenziell anfällig für eine Vielzahl von Schwachstellen. Die Überprüfung auf jede einzelne Schwachstelle während des Entwicklungsprozesses ist von entscheidender Bedeutung.
Die Sicherheit von Webanwendungen kann bereits zu Beginn der Entwicklung durch einen Security-by-Design-Ansatz adressiert werden. Unternehmen wird außerdem empfohlen, regelmäßig formelle, unabhängige Penetrationstests für Webanwendungen in Auftrag zu geben, um neue Schwachstellen, die möglicherweise übersehen wurden, zu identifizieren und zu beheben.
OWASP-Penetrationstests von Redscan
Webanwendungstests gehören zu den vielen Dienstleistungen zur Sicherheitsbewertung, die wir bei Redscan anbieten. Unsere ethischen Hacker testen umfassend auf Schwachstellen in Webanwendungen, einschließlich derer, die in den aktuellen Top 10 der OWASP aufgelistet sind, und unterstützen Sie dabei, diese schnell und effektiv zu beheben.
Am Ende jedes OWASP-Pen-Tests stellen wir einen detaillierten Bericht zur Verfügung, der das Ausmaß der Risiken und die erforderlichen Abhilfemaßnahmen beschreibt, um diese schnell und effektiv zu beheben.
Unsere Pen-Tester arbeiten eng mit Ihnen zusammen, um Ihre Softwareanwendung zu verstehen und Ihre Anforderungen zu erfassen. Unser CREST-akkreditierter Pen-Test-Prozess wird nach den höchsten rechtlichen, ethischen und technischen Standards durchgeführt und folgt Best Practices in Schlüsselbereichen wie Vorbereitung & Scoping, Auftragsdurchführung, technische Nachbereitung und Datenschutz.
Erhalten Sie ein schnelles Angebot