Webanwendungen sind in der heutigen digitalisierten Welt ein entscheidender Bestandteil von Unternehmen. Ihre Funktionalität und Vielseitigkeit machen sie zu einem attraktiven Ziel für Angreifer und erfordern daher robuste Sicherheitsmaßnahmen. Eine dieser Maßnahmen ist das „ Anwendungssicherheitstesting “, das sicherstellt, dass Webanwendungen vor Bedrohungen geschützt sind. Diese Rolle hat mit dem Erscheinen der OWASP Top Ten (Open Web Application Security Project) – einem Dokument, das die schwerwiegendsten Sicherheitsrisiken für Webanwendungen aufzeigt – noch an Bedeutung gewonnen. Um die volle Wichtigkeit von Anwendungssicherheitstests zu verstehen, ist es hilfreich, diese Risiken zu kennen.
A1:2017-Einspritzung
Injection-Schwachstellen entstehen, wenn nicht vertrauenswürdige Daten als Teil eines Befehls an einen Interpreter gesendet werden. Angreifer können dies ausnutzen, um den Interpreter zu manipulieren und ihn zur Ausführung unbeabsichtigter Befehle zu veranlassen. Injection-Schwachstellen lassen sich verhindern, indem Daten von Befehlen und Abfragen getrennt gehalten werden.
A2:2017 – Fehlerhafte Authentifizierung
Anwendungsfunktionen im Zusammenhang mit Authentifizierung und Sitzungsverwaltung werden häufig fehlerhaft implementiert, wodurch Hacker Passwörter, Schlüssel, Sitzungscookies usw. kompromittieren können. Multifaktor-Authentifizierung, die Einschränkung fehlgeschlagener Anmeldeversuche und die Verwendung von Authentifizierungsframeworks können dazu beitragen, fehlerhafte Authentifizierungen zu minimieren.
A3:2017 – Offenlegung sensibler Daten
Viele Webanwendungen schützen sensible Daten wie Steueridentifikationsnummern, Zugangsdaten und persönliche Informationen unzureichend. Angreifer können solche schwach geschützten Daten stehlen oder verändern. Verschlüsselung, ordnungsgemäßes Schlüsselmanagement und das Deaktivieren des Antwort-Cachings können vor dem Verlust sensibler Daten schützen.
A4:2017-XML External Entity (XXE)
Veraltete oder fehlerhaft konfigurierte XML-Prozessoren werten XML External Entity-Referenzen innerhalb von XML-Dokumenten aus. Angreifer können dies ausnutzen, um interne Dateien offenzulegen, interne Portscans durchzuführen, Code aus der Ferne auszuführen und DoS-Angriffe zu initiieren. Zu den Schutzmaßnahmen gehören das Patchen von XML-Prozessoren und -Bibliotheken, das Deaktivieren der XML External Entity- und DTD-Verarbeitung in allen XML-Parsern der Anwendung oder das Prüfen des eingehenden XML und das Verwerfen aller ungewöhnlichen Werte.
A5:2017 – Defekte Zugangskontrolle
Die Beschränkungen für authentifizierte Benutzer werden häufig nicht ausreichend durchgesetzt. Angreifer können diese Schwachstellen ausnutzen, um unberechtigt auf Funktionen und/oder Daten zuzugreifen, beispielsweise auf die Konten anderer Benutzer oder sensible Dateien. Es sollten daher wirksame Kontrollmaßnahmen implementiert werden, wie etwa die standardmäßige Zugriffsverweigerung und die Durchsetzung von Zugriffskontrollen auf Serverseite.
A6:2017 – Sicherheitsfehlkonfigurationen
Sicherheitsfehlkonfigurationen können auf jeder Ebene eines Anwendungs-Stacks auftreten. Dies umfasst Cloud-Speicher, Datenbanken, Anwendungsserver, Plattformen, Frameworks usw. Solche Fehlkonfigurationen können unbefugten Zugriff auf Informationen und Funktionen ermöglichen. Um dies zu vermeiden, sollte das Prinzip der minimalen Berechtigungen angewendet, unnötige Funktionen deaktiviert und ein systematisches Konfigurationsänderungsmanagement durchgeführt werden.
A7:2017-Cross-Site-Scripting (XSS)
XSS-Schwachstellen entstehen, wenn eine Anwendung nicht vertrauenswürdige Daten ohne ausreichende Validierung oder Maskierung in eine neue Webseite einbindet. XSS ermöglicht Angreifern, Skripte im Browser des Opfers auszuführen, um Benutzersitzungen zu übernehmen, Webseiten zu verfälschen oder den Benutzer auf schädliche Seiten umzuleiten. Die Kodierung nicht vertrauenswürdiger HTTP-Anfragedaten kann dies verhindern.
A8:2017 – Unsichere Deserialisierung
Unsichere Deserialisierung führt häufig zur Ausführung von Code aus der Ferne. Selbst ohne Codeausführung können die durchgesickerten Details für Wiederholungsangriffe missbraucht werden. Die Implementierung von Integritätsprüfungen, wie beispielsweise digitalen Signaturen für serialisierte Objekte, kann unsichere Deserialisierung verhindern.
A9:2017 – Verwendung von Komponenten mit bekannten Sicherheitslücken
Anwendungen und APIs, die Komponenten mit bekannten Sicherheitslücken verwenden, öffnen Angriffen Tür und Tor, da sie die Sicherheitsvorkehrungen der Anwendung schwächen. Es empfiehlt sich, nicht benötigte Komponenten zu entfernen und sicherzustellen, dass alle Komponenten auf dem neuesten Stand sind.
A10:2017 – Unzureichende Protokollierung und Überwachung
Unzureichende Protokollierung und Überwachung in Verbindung mit fehlender oder ineffektiver Integration in die Reaktion auf Sicherheitsvorfälle ermöglichen es Angreifern, ihre Angriffe fortzusetzen. Angemessene Protokollierung, Überwachung und Reaktionsplanung können dazu beitragen, Bedrohungen in Echtzeit zu erkennen und zu stoppen.
Abschluss
Zusammenfassend verdeutlichen die OWASP Top Ten die kritischen Sicherheitsrisiken für Webanwendungen. Das Verständnis dieser Risiken ist für die Anwendungssicherheitsprüfung von zentraler Bedeutung und ermöglicht die Entwicklung robuster Mechanismen zur Abwehr dieser Bedrohungen. Indem wir uns über diese Risiken auf dem Laufenden halten, können wir die Sicherheit von Webanwendungen gewährleisten, die Daten der Nutzer schützen und die Widerstandsfähigkeit unserer Systeme gegen Angriffe erhöhen.