OWASP's 2021 Liste wird neu gemischt: Ein neuer Schlachtplan und ein neuer Hauptfeind
OWASP's 2021 Liste wird neu gemischt: Ein neuer Schlachtplan und ein neuer Hauptfeind
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/63e39c3a5c93e09a9463fd9b_615b8273a2f20ff520692fed_gr-stocks-Iq9SaJezkOE-unsplash.webp)
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/63e39c3a5c93e036da63fd9c_615b8273a2f20ff520692fed_gr-stocks-Iq9SaJezkOE-unsplash.webp)
In dieser zunehmend chaotischen Welt gab es schon immer ein paar Konstanten, auf die man sich zuverlässig verlassen konnte: Die Sonne wird morgens aufgehen und abends wieder untergehen, Mario wird immer cooler sein als Sonic the Hedgehog, und Injektionsangriffe werden immer den ersten Platz auf der Liste des Open Web Application Security Project (OWASP) der zehn häufigsten und gefährlichsten Schwachstellen einnehmen, die Angreifer aktiv ausnutzen.
Nun, die Sonne wird morgen aufgehen, und Mario hat immer noch einen Vorsprung vor Sonic, aber Injektionsangriffe sind auf der berüchtigten OWASP-Liste, die 2021 aktualisiert wird, vom ersten Platz gefallen. Injektionsschwachstellen, eine der ältesten Angriffsformen, gibt es schon fast so lange wie Computernetzwerke. Die pauschale Schwachstelle ist für ein breites Spektrum von Angriffen verantwortlich, das von traditionellen SQL-Injektionen bis zu Exploits gegen Object Graph Navigation Libraries (OGNL) reicht. Sie umfasst sogar direkte Angriffe auf Server unter Verwendung von OS-Befehlsinjektionstechniken. Die Vielseitigkeit der Injektionsschwachstellen für Angreifer - ganz zu schweigen von der Anzahl der potenziell angreifbaren Stellen - hat dazu geführt, dass diese Kategorie seit vielen Jahren an der Spitze steht.
Aber der Injektionskönig ist gefallen. Lang lebe der König.
Bedeutet das, dass wir das Problem der Injektionsschwachstellen endlich gelöst haben? Keineswegs. Es ist nicht weit von seiner Position als Sicherheitsfeind Nummer eins entfernt und nur auf Platz drei der OWASP-Liste abgerutscht. Es wäre ein Fehler, die anhaltende Gefahr von Injektionsangriffen zu unterschätzen, aber die Tatsache, dass eine andere Schwachstellenkategorie sie übertreffen konnte, ist bedeutsam, denn sie zeigt, wie weit verbreitet der neue OWASP-Platzhirsch tatsächlich ist, und warum Entwickler ihm in Zukunft große Aufmerksamkeit schenken müssen.
Das vielleicht Interessanteste ist jedoch, dass die OWASP Top 10 2021 eine deutliche Überarbeitung erfahren haben, mit brandneuen Kategorien, die ihr Debüt feiern: Unsicheres Design, Software- und Datenintegritätsfehler und ein Eintrag, der auf den Ergebnissen einer Community-Umfrage basiert: Server-Side Request Forgery. Dies deutet darauf hin, dass der Schwerpunkt zunehmend auf architektonischen Schwachstellen liegt und der Maßstab für die Softwaresicherheit nicht mehr nur auf Oberflächenfehlern beruht.
Kaputte Zugangskontrolle setzt sich die Krone auf (und zeigt einen Trend)
Die unzureichende Zugriffskontrolle hat sich vom fünften Platz der OWASP-Liste der zehn größten Schwachstellen bis auf den ersten Platz hochgearbeitet. Wie bei Injection und neuen Einträgen wie Insecure Design umfasst die Sicherheitslücke "Broken Access" ein breites Spektrum an Programmierfehlern, was zu ihrer zweifelhaften Popularität beiträgt, da sie zusammengenommen Schaden an mehreren Fronten verursachen können. Die Kategorie umfasst alle Fälle, in denen Zugriffskontrollrichtlinien verletzt werden können, so dass Benutzer außerhalb ihrer vorgesehenen Berechtigungen handeln können.
Zu den von OWASP angeführten Beispielen für eine lückenhafte Zugriffskontrolle, die die Familie der Schwachstellen auf den ersten Platz heben, gehören solche, die es Angreifern ermöglichen, eine URL, den internen Status einer Anwendung oder einen Teil einer HTML-Seite zu ändern. Sie können es Benutzern auch ermöglichen, ihren primären Zugriffsschlüssel zu ändern, so dass eine Anwendung, Website oder API glaubt, sie seien jemand anderes, z. B. ein Administrator mit höheren Berechtigungen. Es gibt sogar Schwachstellen, bei denen Angreifer nicht auf die Änderung von Metadaten beschränkt sind, so dass sie Dinge wie JSON-Web-Token, Cookies oder Zugriffskontroll-Token ändern können.
Einmal ausgenutzt, kann diese Familie von Schwachstellen von Angreifern genutzt werden, um Datei- oder Objektautorisierungen zu umgehen, was ihnen ermöglicht, Daten zu stehlen oder sogar zerstörerische Funktionen auf Administratorebene wie das Löschen von Datenbanken durchzuführen. Dies macht eine unterbrochene Zugriffskontrolle nicht nur immer häufiger, sondern auch besonders gefährlich.
Es ist ziemlich überzeugend - und doch nicht überraschend -, dass Schwachstellen in der Authentifizierung und Zugangskontrolle für Angreifer zum fruchtbarsten Boden werden, den sie ausnutzen können. Der jüngste Data Breach Investigations Report von Verizon zeigt, dass Probleme bei der Zugangskontrolle in fast allen Branchen, insbesondere im IT- und Gesundheitswesen, weit verbreitet sind und dass bei satten 85 % aller Sicherheitsverletzungen ein menschliches Element eine Rolle spielt. Der Begriff "menschliches Element" umfasst Vorfälle wie Phishing-Angriffe, die kein technisches Problem darstellen, aber 3 % der Sicherheitsverletzungen betrafen ausnutzbare Schwachstellen und waren dem Bericht zufolge überwiegend ältere Schwachstellen und auf menschliches Versagen zurückzuführen, wie z. B. falsche Sicherheitskonfiguration.
Während diese altersschwachen Sicherheitsprobleme wie XSS und SQL-Injection den Entwicklern nach wie vor zu schaffen machen, wird zunehmend deutlich, dass das grundlegende Sicherheitsdesign versagt und architektonischen Schwachstellen Platz macht, die für Bedrohungsakteure sehr vorteilhaft sein können, vor allem wenn sie nicht behoben werden, nachdem die Sicherheitslücke in einer bestimmten Version einer Anwendung bekannt gemacht wurde.
Das Problem ist, dass nur wenige Ingenieure eine Ausbildung und Kompetenzentwicklung erhalten, die über die Grundlagen hinausgeht, und noch weniger erhalten ihr Wissen und ihre praktische Anwendung über lokalisierte Fehler auf Code-Ebene hinaus, die in der Regel von den Entwicklern selbst verursacht werden.
Verhinderung von Fehlern, die Roboter selten finden
Die neu gruppierte Familie der Sicherheitslücken in der Zugangskontrolle ist ziemlich vielfältig. Auf unserem YouTube-Kanal und in unserem Blog finden Sie einige konkrete Beispiele für Schwachstellen in der Zugriffskontrolle und wie man sie beheben kann.
Ich denke jedoch, dass es wichtig ist, diese neue OWASP Top 10 zu feiern; sie ist in der Tat vielfältiger und umfasst ein breiteres Spektrum an Angriffsvektoren, darunter auch solche, die von Scannern nicht unbedingt erkannt werden. Für jede gefundene Schwachstelle auf Code-Ebene werden komplexere Architekturfehler von den meisten Sicherheitstechnologien unbemerkt bleiben, egal wie viele automatische Schutzschilde und Waffen im Arsenal vorhanden sind. Während der Löwenanteil der OWASP Top 10-Liste nach wie vor auf der Grundlage von Scandaten erstellt wird, zeigen die neuen Einträge, die unter anderem unsicheres Design und Datenintegritätsfehler abdecken, dass der Schulungshorizont für Entwickler schnell erweitert werden muss, um zu erreichen, was Roboter nicht können.
Einfach ausgedrückt: Sicherheitsscanner sind keine großartigen Bedrohungsmodellierer, aber ein Team von sicherheitskompetenten Entwicklern kann dem AppSec-Team unermesslich helfen, indem es seinen Sicherheits-IQ in Übereinstimmung mit den Best Practices und den Anforderungen des Unternehmens steigert. Dies muss in einem guten Sicherheitsprogramm berücksichtigt werden, wobei man sich darüber im Klaren sein muss, dass die OWASP Top 10 zwar eine hervorragende Grundlage darstellen, die Bedrohungslandschaft aber so schnelllebig ist (ganz zu schweigen von den Anforderungen interner Entwicklungsziele), dass es einen Plan geben muss, um die Weiterbildung der Entwickler im Bereich Sicherheit zu vertiefen und zu präzisieren. Andernfalls werden unweigerlich Gelegenheiten zur frühzeitigen Behebung von Sicherheitslücken verpasst und ein erfolgreicher, ganzheitlicher Ansatz zur präventiven, von Menschen geleiteten Cybersicherheit wird behindert.
Wir sind bereit für die OWASP Top 10 2021, und das ist erst der Anfang! Bringen Sie Ihre Entwickler auf einen erweiterten Sicherheitsfähigkeiten noch heute.
Ressourcen für den Einstieg
Vertrauensperson von Secure Code Warrior
Entdecken Sie den SCW Trust Agent, eine innovative Lösung, die die Sicherheit erhöht, indem sie die Kenntnisse und Fähigkeiten von Entwicklern in Bezug auf sicheren Code mit der von ihnen übertragenen Arbeit in Einklang bringt. Er bietet umfassende Transparenz und Kontrolle über das gesamte Code-Repository eines Unternehmens, indem er jeden Commit mit den sicheren Code-Profilen der Entwickler abgleicht. Mit SCW Trust Agent können Unternehmen ihre Sicherheitslage verbessern, die Entwicklungszyklen optimieren und die entwicklergesteuerte Sicherheit skalieren.
Trust Score von Secure Code Warrior
Entdecken Sie den SCW Trust Score, ein branchenweit einzigartiges Benchmarking zur Messung der Effektivität Ihres Sicherheitsprogramms. Vergleichen Sie sich mit Branchenkollegen, optimieren Sie Ihre Sicherheitslage und treffen Sie datengestützte Entscheidungen für eine verbesserte Software-Sicherheit.
Ressourcen für den Einstieg
Frauen in der Sicherheitsbranche sind auf dem Vormarsch: Wie die AWSN eine neue Generation von Superfrauen im Sicherheitsbereich hervorbringt
Secure-by-Design ist die neueste Initiative, die in aller Munde ist, und die australische Regierung, die mit der CISA auf den höchsten Ebenen der Global Governance zusammenarbeitet, fordert von den Anbietern einen höheren Standard für Softwarequalität und -sicherheit.
Frauen in der Sicherheitsbranche sind auf dem Vormarsch: Wie die AWSN eine neue Generation von Superfrauen im Sicherheitsbereich hervorbringt
Secure-by-Design ist die neueste Initiative, die in aller Munde ist, und die australische Regierung, die mit der CISA auf den höchsten Ebenen der Global Governance zusammenarbeitet, fordert von den Anbietern einen höheren Standard für Softwarequalität und -sicherheit.
SCW Trust Agent - Sichtbarkeit und Kontrolle zur Skalierung der entwicklergesteuerten Sicherheit
Der von Secure Code Warrior vorgestellte SCW Trust Agent bietet Sicherheitsverantwortlichen die Transparenz und Kontrolle, die sie für die Skalierung der entwicklergesteuerten Sicherheit in Unternehmen benötigen. Durch die Verbindung mit Code-Repositories wertet er Code-Commit-Metadaten aus, prüft Entwickler, verwendete Programmiersprachen und Zeitstempel für den Versand, um das Sicherheitswissen der Entwickler zu ermitteln.
Ist Ihr Sicherheitsprogramm bereit für den CISA-Strategieplan für Cybersicherheit?
Der Strategische Plan für Cybersicherheit sieht weitreichende Änderungen in der Art und Weise vor, wie die meisten Unternehmen an die Cybersicherheit herangehen, und Entwickler befinden sich in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
OWASP's 2021 Liste wird neu gemischt: Ein neuer Schlachtplan und ein neuer Hauptfeind
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/63e39c3a5c93e09a9463fd9b_615b8273a2f20ff520692fed_gr-stocks-Iq9SaJezkOE-unsplash.webp)
In dieser zunehmend chaotischen Welt gab es schon immer ein paar Konstanten, auf die man sich zuverlässig verlassen konnte: Die Sonne wird morgens aufgehen und abends wieder untergehen, Mario wird immer cooler sein als Sonic the Hedgehog, und Injektionsangriffe werden immer den ersten Platz auf der Liste des Open Web Application Security Project (OWASP) der zehn häufigsten und gefährlichsten Schwachstellen einnehmen, die Angreifer aktiv ausnutzen.
Nun, die Sonne wird morgen aufgehen, und Mario hat immer noch einen Vorsprung vor Sonic, aber Injektionsangriffe sind auf der berüchtigten OWASP-Liste, die 2021 aktualisiert wird, vom ersten Platz gefallen. Injektionsschwachstellen, eine der ältesten Angriffsformen, gibt es schon fast so lange wie Computernetzwerke. Die pauschale Schwachstelle ist für ein breites Spektrum von Angriffen verantwortlich, das von traditionellen SQL-Injektionen bis zu Exploits gegen Object Graph Navigation Libraries (OGNL) reicht. Sie umfasst sogar direkte Angriffe auf Server unter Verwendung von OS-Befehlsinjektionstechniken. Die Vielseitigkeit der Injektionsschwachstellen für Angreifer - ganz zu schweigen von der Anzahl der potenziell angreifbaren Stellen - hat dazu geführt, dass diese Kategorie seit vielen Jahren an der Spitze steht.
Aber der Injektionskönig ist gefallen. Lang lebe der König.
Bedeutet das, dass wir das Problem der Injektionsschwachstellen endlich gelöst haben? Keineswegs. Es ist nicht weit von seiner Position als Sicherheitsfeind Nummer eins entfernt und nur auf Platz drei der OWASP-Liste abgerutscht. Es wäre ein Fehler, die anhaltende Gefahr von Injektionsangriffen zu unterschätzen, aber die Tatsache, dass eine andere Schwachstellenkategorie sie übertreffen konnte, ist bedeutsam, denn sie zeigt, wie weit verbreitet der neue OWASP-Platzhirsch tatsächlich ist, und warum Entwickler ihm in Zukunft große Aufmerksamkeit schenken müssen.
Das vielleicht Interessanteste ist jedoch, dass die OWASP Top 10 2021 eine deutliche Überarbeitung erfahren haben, mit brandneuen Kategorien, die ihr Debüt feiern: Unsicheres Design, Software- und Datenintegritätsfehler und ein Eintrag, der auf den Ergebnissen einer Community-Umfrage basiert: Server-Side Request Forgery. Dies deutet darauf hin, dass der Schwerpunkt zunehmend auf architektonischen Schwachstellen liegt und der Maßstab für die Softwaresicherheit nicht mehr nur auf Oberflächenfehlern beruht.
Kaputte Zugangskontrolle setzt sich die Krone auf (und zeigt einen Trend)
Die unzureichende Zugriffskontrolle hat sich vom fünften Platz der OWASP-Liste der zehn größten Schwachstellen bis auf den ersten Platz hochgearbeitet. Wie bei Injection und neuen Einträgen wie Insecure Design umfasst die Sicherheitslücke "Broken Access" ein breites Spektrum an Programmierfehlern, was zu ihrer zweifelhaften Popularität beiträgt, da sie zusammengenommen Schaden an mehreren Fronten verursachen können. Die Kategorie umfasst alle Fälle, in denen Zugriffskontrollrichtlinien verletzt werden können, so dass Benutzer außerhalb ihrer vorgesehenen Berechtigungen handeln können.
Zu den von OWASP angeführten Beispielen für eine lückenhafte Zugriffskontrolle, die die Familie der Schwachstellen auf den ersten Platz heben, gehören solche, die es Angreifern ermöglichen, eine URL, den internen Status einer Anwendung oder einen Teil einer HTML-Seite zu ändern. Sie können es Benutzern auch ermöglichen, ihren primären Zugriffsschlüssel zu ändern, so dass eine Anwendung, Website oder API glaubt, sie seien jemand anderes, z. B. ein Administrator mit höheren Berechtigungen. Es gibt sogar Schwachstellen, bei denen Angreifer nicht auf die Änderung von Metadaten beschränkt sind, so dass sie Dinge wie JSON-Web-Token, Cookies oder Zugriffskontroll-Token ändern können.
Einmal ausgenutzt, kann diese Familie von Schwachstellen von Angreifern genutzt werden, um Datei- oder Objektautorisierungen zu umgehen, was ihnen ermöglicht, Daten zu stehlen oder sogar zerstörerische Funktionen auf Administratorebene wie das Löschen von Datenbanken durchzuführen. Dies macht eine unterbrochene Zugriffskontrolle nicht nur immer häufiger, sondern auch besonders gefährlich.
Es ist ziemlich überzeugend - und doch nicht überraschend -, dass Schwachstellen in der Authentifizierung und Zugangskontrolle für Angreifer zum fruchtbarsten Boden werden, den sie ausnutzen können. Der jüngste Data Breach Investigations Report von Verizon zeigt, dass Probleme bei der Zugangskontrolle in fast allen Branchen, insbesondere im IT- und Gesundheitswesen, weit verbreitet sind und dass bei satten 85 % aller Sicherheitsverletzungen ein menschliches Element eine Rolle spielt. Der Begriff "menschliches Element" umfasst Vorfälle wie Phishing-Angriffe, die kein technisches Problem darstellen, aber 3 % der Sicherheitsverletzungen betrafen ausnutzbare Schwachstellen und waren dem Bericht zufolge überwiegend ältere Schwachstellen und auf menschliches Versagen zurückzuführen, wie z. B. falsche Sicherheitskonfiguration.
Während diese altersschwachen Sicherheitsprobleme wie XSS und SQL-Injection den Entwicklern nach wie vor zu schaffen machen, wird zunehmend deutlich, dass das grundlegende Sicherheitsdesign versagt und architektonischen Schwachstellen Platz macht, die für Bedrohungsakteure sehr vorteilhaft sein können, vor allem wenn sie nicht behoben werden, nachdem die Sicherheitslücke in einer bestimmten Version einer Anwendung bekannt gemacht wurde.
Das Problem ist, dass nur wenige Ingenieure eine Ausbildung und Kompetenzentwicklung erhalten, die über die Grundlagen hinausgeht, und noch weniger erhalten ihr Wissen und ihre praktische Anwendung über lokalisierte Fehler auf Code-Ebene hinaus, die in der Regel von den Entwicklern selbst verursacht werden.
Verhinderung von Fehlern, die Roboter selten finden
Die neu gruppierte Familie der Sicherheitslücken in der Zugangskontrolle ist ziemlich vielfältig. Auf unserem YouTube-Kanal und in unserem Blog finden Sie einige konkrete Beispiele für Schwachstellen in der Zugriffskontrolle und wie man sie beheben kann.
Ich denke jedoch, dass es wichtig ist, diese neue OWASP Top 10 zu feiern; sie ist in der Tat vielfältiger und umfasst ein breiteres Spektrum an Angriffsvektoren, darunter auch solche, die von Scannern nicht unbedingt erkannt werden. Für jede gefundene Schwachstelle auf Code-Ebene werden komplexere Architekturfehler von den meisten Sicherheitstechnologien unbemerkt bleiben, egal wie viele automatische Schutzschilde und Waffen im Arsenal vorhanden sind. Während der Löwenanteil der OWASP Top 10-Liste nach wie vor auf der Grundlage von Scandaten erstellt wird, zeigen die neuen Einträge, die unter anderem unsicheres Design und Datenintegritätsfehler abdecken, dass der Schulungshorizont für Entwickler schnell erweitert werden muss, um zu erreichen, was Roboter nicht können.
Einfach ausgedrückt: Sicherheitsscanner sind keine großartigen Bedrohungsmodellierer, aber ein Team von sicherheitskompetenten Entwicklern kann dem AppSec-Team unermesslich helfen, indem es seinen Sicherheits-IQ in Übereinstimmung mit den Best Practices und den Anforderungen des Unternehmens steigert. Dies muss in einem guten Sicherheitsprogramm berücksichtigt werden, wobei man sich darüber im Klaren sein muss, dass die OWASP Top 10 zwar eine hervorragende Grundlage darstellen, die Bedrohungslandschaft aber so schnelllebig ist (ganz zu schweigen von den Anforderungen interner Entwicklungsziele), dass es einen Plan geben muss, um die Weiterbildung der Entwickler im Bereich Sicherheit zu vertiefen und zu präzisieren. Andernfalls werden unweigerlich Gelegenheiten zur frühzeitigen Behebung von Sicherheitslücken verpasst und ein erfolgreicher, ganzheitlicher Ansatz zur präventiven, von Menschen geleiteten Cybersicherheit wird behindert.
Wir sind bereit für die OWASP Top 10 2021, und das ist erst der Anfang! Bringen Sie Ihre Entwickler auf einen erweiterten Sicherheitsfähigkeiten noch heute.
Ressourcen für den Einstieg
Frauen in der Sicherheitsbranche sind auf dem Vormarsch: Wie die AWSN eine neue Generation von Superfrauen im Sicherheitsbereich hervorbringt
Secure-by-Design ist die neueste Initiative, die in aller Munde ist, und die australische Regierung, die mit der CISA auf den höchsten Ebenen der Global Governance zusammenarbeitet, fordert von den Anbietern einen höheren Standard für Softwarequalität und -sicherheit.
SCW Trust Agent - Sichtbarkeit und Kontrolle zur Skalierung der entwicklergesteuerten Sicherheit
Der von Secure Code Warrior vorgestellte SCW Trust Agent bietet Sicherheitsverantwortlichen die Transparenz und Kontrolle, die sie für die Skalierung der entwicklergesteuerten Sicherheit in Unternehmen benötigen. Durch die Verbindung mit Code-Repositories wertet er Code-Commit-Metadaten aus, prüft Entwickler, verwendete Programmiersprachen und Zeitstempel für den Versand, um das Sicherheitswissen der Entwickler zu ermitteln.
Vertrauensperson von Secure Code Warrior
Entdecken Sie den SCW Trust Agent, eine innovative Lösung, die die Sicherheit erhöht, indem sie die Kenntnisse und Fähigkeiten von Entwicklern in Bezug auf sicheren Code mit der von ihnen übertragenen Arbeit in Einklang bringt. Er bietet umfassende Transparenz und Kontrolle über das gesamte Code-Repository eines Unternehmens, indem er jeden Commit mit den sicheren Code-Profilen der Entwickler abgleicht. Mit SCW Trust Agent können Unternehmen ihre Sicherheitslage verbessern, die Entwicklungszyklen optimieren und die entwicklergesteuerte Sicherheit skalieren.