Julian Totzek-Hallhuber

ist Solution Architect bei Veracode

OWASP 2017: Die Zweite

Welche Web-Risiken sind neu, welche sind noch die gleichen wie vor vier Jahren? Und wo das Problem dabei liegt erklärt Julian Totzek-Hallhuber, Solution Architect beim Anwendungssicherheitsexperten Veracode.

Zum ersten Mal seit 2013 hat das Open Web Application Security Project (OWASP) neue Bedrohungen in die bekannte Top-10-Liste der größten Risiken für Web-Anwendungen aufgenommen. Nach dem Release Candidate von April diesen Jahres folgte nun die Veröffentlichung der endgültigen Fassung. Für nicht wenige Unternehmen dient diese Liste als strategische Orientierungshilfe hinsichtlich ihrer Anwendungssicherheit. Allerdings sollte man sie nicht überbewerten, gedacht ist sie lediglich, um auf Gefahren aufmerksam zu machen.

Was ist neu in OWASP 2017?

Im Vergleich zu 2013 wartet die 2017er Liste mit drei neuen Einträgen auf: XML External Entity (XXE), Insecure Deserialization und Insufficient Logging & Monitoring haben es erstmals in die Top 10 geschafft. Beim Risiko XXE, der Nummer vier auf der diesjährigen Liste, handelt es sich um schlecht konfigurierte XML-Prozessoren, die externe Entitätsverweise in XML-Dokumenten bewerten. Angreifer können externe Entitäten nutzen, um Attacken zu starten, die Remote-Code-Ausführung beinhalten und interne Dateien sowie SMB-File-Shares zugänglich machen. Static Application Security Testing (SAST) kann diese Gefahren aufdecken, indem es Abhängigkeiten und Konfigurationen untersucht.

owasp_1024

Insecure Deserialization findet sich auf Platz acht des Rankings. Durch diesen Fehler können Hacker aus der Ferne Code in einer Anwendung ausführen, serialisierte Daten verändern oder löschen. Dadurch lassen sich sogar Injection-Angriffe durchführen und Privilegien vergeben. Application Security Tools können Deserialisierungsfehler erkennen, aber häufig sind Penetrationstests nötig, um das Problem zu bestätigen.

Ausgewähltes Whitepaper

EU-Datenschutzgrundverordnung: Warum Insellösungen keine Lösung sind

Ende Mai 2018 endet die Übergangsfrist für die EU-Datenschutzgrundverordnung (EU-DSGVO). Dann greifen in Europa die neuen, strengen Datenschutzregelungen. Firmen, die dagegen verstoßen, drohen Strafen bis zu 20 Millionen Euro oder 4 Prozent ihres Jahresumsatzes. Vor dem Hintergrund ist eine umfassende Gesamtstrategie gefragt.

Der letzte neue Eintrag ist Insufficient Logging & Monitoring auf Platz zehn. Unzureichendes Logging und ineffiziente Integration in Security-Incident-Response-Systeme erlauben es Hackern, in weitere Systeme vorzudringen, und so über Wochen eine konstante Bedrohung aufrechtzuerhalten. Da Cyber-Kriminelle immer auf der Suche nach neuen Schwachstellen sind, sind Logging und Monitoring auch für die Bekämpfung der neun anderen Risiken relevant.

Die Punkte A1: Injection und A2: Broken Authentification and Session Management sind allerdings immer noch dieselben wie vor vier Jahren. Das sind keine guten Nachrichten, zeigt es doch, dass es in diesem Zeitraum nicht gelungen ist, diese Bedrohungen auszumerzen. Offenbar wird in diesen Bereichen auch heute noch unsicher programmiert.

OWASP-Empfehlungen für sichere Web-Anwendungen

OWASP hat eine Reihe von Empfehlungen veröffentlicht, wie die nächsten Schritte auf dem Weg zu sicheren Anwendungen aussehen sollten.

Entwickler sollten wiederholbare Sicherheitsprozesse sowie -maßnahmen einführen und nutzen. Sicherheitsaspekte sollten von Beginn an bedacht und Anwendungssicherheitspraktiken eingeführt werden.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Continous Application Security Testing bringt mehr Sicherheit. Das Testing sollte zudem mit dem Software Development Lifecycle (SDLC) kompatibel sein. Zunächst sollte man sich auf das Wichtigste konzentrieren, bevor das Programm mit der Zeit ausgebaut wird. Außerdem ist es wichtig, gefundene Sicherheitsprobleme effektiv zu kommunizieren.

Unternehmen sollten, sofern nicht schon geschehen, so schnell wie möglich ein Anwendungssicherheits-Programm ins Leben rufen. Dabei sollten sie einen risikobasierten Portfolio-Ansatz wählen. Richtlinien, Fortbildungen und Unterstützung für Entwickler und Projektteams geben den Mitarbeitern mehr Sicherheit. Das Testing sollte sich außerdem nahtlos in existierende Prozesse einfügen.

Immer am Ball bleiben

Anwendungssicherheit ist ein äußerst komplexes Thema, für das es keine Patentlösung gibt. Sichere Anwendungen erhält man nur durch das Zusammenspiel von Menschen, Prozessen und Technologie. Heute kann es sich niemand mehr leisten, Sicherheit als Randthema zu behandeln. Vielmehr muss sie von Beginn an integraler Bestandteil des Software Development Lifecycle sein. Listen, wie OWASP, leisten einen guten Dienst, indem sie auf Bedrohungen aufmerksam machen. Als einziges Relevanzkriterium für zukünftige Sicherheitskonzepte sollten sie aber natürlich nicht dienen, dafür brauchen Unternehmen viel genauere und stets aktuelle Informationen.