OWASP's 2021 Liste wird neu gemischt: Ein neuer Schlachtplan und ein neuer Hauptfeind

Veröffentlicht Okt 05, 2021
von Matias Madou, Ph.D.
FALLSTUDIE

OWASP's 2021 Liste wird neu gemischt: Ein neuer Schlachtplan und ein neuer Hauptfeind

Veröffentlicht Okt 05, 2021
von Matias Madou, Ph.D.
Ressource anzeigen
Ressource anzeigen

In dieser zunehmend chaotischen Welt gab es schon immer ein paar Konstanten, auf die man sich zuverlässig verlassen konnte: Die Sonne wird morgens aufgehen und abends wieder untergehen, Mario wird immer cooler sein als Sonic the Hedgehog, und Injektionsangriffe werden immer den ersten Platz auf der Liste des Open Web Application Security Project (OWASP) der zehn häufigsten und gefährlichsten Schwachstellen einnehmen, die Angreifer aktiv ausnutzen.

Nun, die Sonne wird morgen aufgehen, und Mario hat immer noch einen Vorsprung vor Sonic, aber Injektionsangriffe sind auf der berüchtigten OWASP-Liste, die 2021 aktualisiert wird, vom ersten Platz gefallen. Injektionsschwachstellen, eine der ältesten Angriffsformen, gibt es schon fast so lange wie Computernetzwerke. Die pauschale Schwachstelle ist für ein breites Spektrum von Angriffen verantwortlich, das von traditionellen SQL-Injektionen bis zu Exploits gegen Object Graph Navigation Libraries (OGNL) reicht. Sie umfasst sogar direkte Angriffe auf Server unter Verwendung von OS-Befehlsinjektionstechniken. Die Vielseitigkeit der Injektionsschwachstellen für Angreifer - ganz zu schweigen von der Anzahl der potenziell angreifbaren Stellen - hat dazu geführt, dass diese Kategorie seit vielen Jahren an der Spitze steht.

Aber der Injektionskönig ist gefallen. Lang lebe der König. 

Bedeutet das, dass wir das Problem der Injektionsschwachstellen endlich gelöst haben? Keineswegs. Es ist nicht weit von seiner Position als Sicherheitsfeind Nummer eins entfernt und nur auf Platz drei der OWASP-Liste abgerutscht. Es wäre ein Fehler, die anhaltende Gefahr von Injektionsangriffen zu unterschätzen, aber die Tatsache, dass eine andere Schwachstellenkategorie sie übertreffen konnte, ist bedeutsam, denn sie zeigt, wie weit verbreitet der neue OWASP-Platzhirsch tatsächlich ist, und warum Entwickler ihm in Zukunft große Aufmerksamkeit schenken müssen.

Das vielleicht Interessanteste ist jedoch, dass die OWASP Top 10 2021 eine deutliche Überarbeitung erfahren haben, mit brandneuen Kategorien, die ihr Debüt feiern: Unsicheres Design, Software- und Datenintegritätsfehler und ein Eintrag, der auf den Ergebnissen einer Community-Umfrage basiert: Server-Side Request Forgery. Dies deutet darauf hin, dass der Schwerpunkt zunehmend auf architektonischen Schwachstellen liegt und der Maßstab für die Softwaresicherheit nicht mehr nur auf Oberflächenfehlern beruht.

Kaputte Zugangskontrolle setzt sich die Krone auf (und zeigt einen Trend)

Die unzureichende Zugriffskontrolle hat sich vom fünften Platz der OWASP-Liste der zehn größten Schwachstellen bis auf den ersten Platz hochgearbeitet. Wie bei Injection und neuen Einträgen wie Insecure Design umfasst die Sicherheitslücke "Broken Access" ein breites Spektrum an Programmierfehlern, was zu ihrer zweifelhaften Popularität beiträgt, da sie zusammengenommen Schaden an mehreren Fronten verursachen können. Die Kategorie umfasst alle Fälle, in denen Zugriffskontrollrichtlinien verletzt werden können, so dass Benutzer außerhalb ihrer vorgesehenen Berechtigungen handeln können. 

Zu den von OWASP angeführten Beispielen für eine lückenhafte Zugriffskontrolle, die die Familie der Schwachstellen auf den ersten Platz heben, gehören solche, die es Angreifern ermöglichen, eine URL, den internen Status einer Anwendung oder einen Teil einer HTML-Seite zu ändern. Sie können es Benutzern auch ermöglichen, ihren primären Zugriffsschlüssel zu ändern, so dass eine Anwendung, Website oder API glaubt, sie seien jemand anderes, z. B. ein Administrator mit höheren Berechtigungen. Es gibt sogar Schwachstellen, bei denen Angreifer nicht auf die Änderung von Metadaten beschränkt sind, so dass sie Dinge wie JSON-Web-Token, Cookies oder Zugriffskontroll-Token ändern können.

Einmal ausgenutzt, kann diese Familie von Schwachstellen von Angreifern genutzt werden, um Datei- oder Objektautorisierungen zu umgehen, was ihnen ermöglicht, Daten zu stehlen oder sogar zerstörerische Funktionen auf Administratorebene wie das Löschen von Datenbanken durchzuführen. Dies macht eine unterbrochene Zugriffskontrolle nicht nur immer häufiger, sondern auch besonders gefährlich.

Es ist ziemlich überzeugend - und doch nicht überraschend -, dass Schwachstellen in der Authentifizierung und Zugangskontrolle für Angreifer zum fruchtbarsten Boden werden, den sie ausnutzen können. Der jüngste Data Breach Investigations Report von Verizon zeigt, dass Probleme bei der Zugangskontrolle in fast allen Branchen, insbesondere im IT- und Gesundheitswesen, weit verbreitet sind und dass bei satten 85 % aller Sicherheitsverletzungen ein menschliches Element eine Rolle spielt. Der Begriff "menschliches Element" umfasst Vorfälle wie Phishing-Angriffe, die kein technisches Problem darstellen, aber 3 % der Sicherheitsverletzungen betrafen ausnutzbare Schwachstellen und waren dem Bericht zufolge überwiegend ältere Schwachstellen und auf menschliches Versagen zurückzuführen, wie z. B. falsche Sicherheitskonfiguration.

Während diese altersschwachen Sicherheitsprobleme wie XSS und SQL-Injection den Entwicklern nach wie vor zu schaffen machen, wird zunehmend deutlich, dass das grundlegende Sicherheitsdesign versagt und architektonischen Schwachstellen Platz macht, die für Bedrohungsakteure sehr vorteilhaft sein können, vor allem wenn sie nicht behoben werden, nachdem die Sicherheitslücke in einer bestimmten Version einer Anwendung bekannt gemacht wurde. 

Das Problem ist, dass nur wenige Ingenieure eine Ausbildung und Kompetenzentwicklung erhalten, die über die Grundlagen hinausgeht, und noch weniger erhalten ihr Wissen und ihre praktische Anwendung über lokalisierte Fehler auf Code-Ebene hinaus, die in der Regel von den Entwicklern selbst verursacht werden.

Verhinderung von Fehlern, die Roboter selten finden

Die neu gruppierte Familie der Sicherheitslücken in der Zugangskontrolle ist ziemlich vielfältig. Auf unserem YouTube-Kanal und in unserem Blog finden Sie einige konkrete Beispiele für Schwachstellen in der Zugriffskontrolle und wie man sie beheben kann.

Ich denke jedoch, dass es wichtig ist, diese neue OWASP Top 10 zu feiern; sie ist in der Tat vielfältiger und umfasst ein breiteres Spektrum an Angriffsvektoren, darunter auch solche, die von Scannern nicht unbedingt erkannt werden. Für jede gefundene Schwachstelle auf Code-Ebene werden komplexere Architekturfehler von den meisten Sicherheitstechnologien unbemerkt bleiben, egal wie viele automatische Schutzschilde und Waffen im Arsenal vorhanden sind. Während der Löwenanteil der OWASP Top 10-Liste nach wie vor auf der Grundlage von Scandaten erstellt wird, zeigen die neuen Einträge, die unter anderem unsicheres Design und Datenintegritätsfehler abdecken, dass der Schulungshorizont für Entwickler schnell erweitert werden muss, um zu erreichen, was Roboter nicht können.

Einfach ausgedrückt: Sicherheitsscanner sind keine großartigen Bedrohungsmodellierer, aber ein Team von sicherheitskompetenten Entwicklern kann dem AppSec-Team unermesslich helfen, indem es seinen Sicherheits-IQ in Übereinstimmung mit den Best Practices und den Anforderungen des Unternehmens steigert. Dies muss in einem guten Sicherheitsprogramm berücksichtigt werden, wobei man sich darüber im Klaren sein muss, dass die OWASP Top 10 zwar eine hervorragende Grundlage darstellen, die Bedrohungslandschaft aber so schnelllebig ist (ganz zu schweigen von den Anforderungen interner Entwicklungsziele), dass es einen Plan geben muss, um die Weiterbildung der Entwickler im Bereich Sicherheit zu vertiefen und zu präzisieren. Andernfalls werden unweigerlich Gelegenheiten zur frühzeitigen Behebung von Sicherheitslücken verpasst und ein erfolgreicher, ganzheitlicher Ansatz zur präventiven, von Menschen geleiteten Cybersicherheit wird behindert.

Wir sind bereit für die OWASP Top 10 2021, und das ist erst der Anfang! Bringen Sie Ihre Entwickler auf einen erweiterten Sicherheitsfähigkeiten noch heute.

Ressource anzeigen
Ressource anzeigen

Autor

Matias Madou, Ph.D.

Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.

Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

OWASP's 2021 Liste wird neu gemischt: Ein neuer Schlachtplan und ein neuer Hauptfeind

Veröffentlicht Okt 05, 2021
Von Matias Madou, Ph.D.

In dieser zunehmend chaotischen Welt gab es schon immer ein paar Konstanten, auf die man sich zuverlässig verlassen konnte: Die Sonne wird morgens aufgehen und abends wieder untergehen, Mario wird immer cooler sein als Sonic the Hedgehog, und Injektionsangriffe werden immer den ersten Platz auf der Liste des Open Web Application Security Project (OWASP) der zehn häufigsten und gefährlichsten Schwachstellen einnehmen, die Angreifer aktiv ausnutzen.

Nun, die Sonne wird morgen aufgehen, und Mario hat immer noch einen Vorsprung vor Sonic, aber Injektionsangriffe sind auf der berüchtigten OWASP-Liste, die 2021 aktualisiert wird, vom ersten Platz gefallen. Injektionsschwachstellen, eine der ältesten Angriffsformen, gibt es schon fast so lange wie Computernetzwerke. Die pauschale Schwachstelle ist für ein breites Spektrum von Angriffen verantwortlich, das von traditionellen SQL-Injektionen bis zu Exploits gegen Object Graph Navigation Libraries (OGNL) reicht. Sie umfasst sogar direkte Angriffe auf Server unter Verwendung von OS-Befehlsinjektionstechniken. Die Vielseitigkeit der Injektionsschwachstellen für Angreifer - ganz zu schweigen von der Anzahl der potenziell angreifbaren Stellen - hat dazu geführt, dass diese Kategorie seit vielen Jahren an der Spitze steht.

Aber der Injektionskönig ist gefallen. Lang lebe der König. 

Bedeutet das, dass wir das Problem der Injektionsschwachstellen endlich gelöst haben? Keineswegs. Es ist nicht weit von seiner Position als Sicherheitsfeind Nummer eins entfernt und nur auf Platz drei der OWASP-Liste abgerutscht. Es wäre ein Fehler, die anhaltende Gefahr von Injektionsangriffen zu unterschätzen, aber die Tatsache, dass eine andere Schwachstellenkategorie sie übertreffen konnte, ist bedeutsam, denn sie zeigt, wie weit verbreitet der neue OWASP-Platzhirsch tatsächlich ist, und warum Entwickler ihm in Zukunft große Aufmerksamkeit schenken müssen.

Das vielleicht Interessanteste ist jedoch, dass die OWASP Top 10 2021 eine deutliche Überarbeitung erfahren haben, mit brandneuen Kategorien, die ihr Debüt feiern: Unsicheres Design, Software- und Datenintegritätsfehler und ein Eintrag, der auf den Ergebnissen einer Community-Umfrage basiert: Server-Side Request Forgery. Dies deutet darauf hin, dass der Schwerpunkt zunehmend auf architektonischen Schwachstellen liegt und der Maßstab für die Softwaresicherheit nicht mehr nur auf Oberflächenfehlern beruht.

Kaputte Zugangskontrolle setzt sich die Krone auf (und zeigt einen Trend)

Die unzureichende Zugriffskontrolle hat sich vom fünften Platz der OWASP-Liste der zehn größten Schwachstellen bis auf den ersten Platz hochgearbeitet. Wie bei Injection und neuen Einträgen wie Insecure Design umfasst die Sicherheitslücke "Broken Access" ein breites Spektrum an Programmierfehlern, was zu ihrer zweifelhaften Popularität beiträgt, da sie zusammengenommen Schaden an mehreren Fronten verursachen können. Die Kategorie umfasst alle Fälle, in denen Zugriffskontrollrichtlinien verletzt werden können, so dass Benutzer außerhalb ihrer vorgesehenen Berechtigungen handeln können. 

Zu den von OWASP angeführten Beispielen für eine lückenhafte Zugriffskontrolle, die die Familie der Schwachstellen auf den ersten Platz heben, gehören solche, die es Angreifern ermöglichen, eine URL, den internen Status einer Anwendung oder einen Teil einer HTML-Seite zu ändern. Sie können es Benutzern auch ermöglichen, ihren primären Zugriffsschlüssel zu ändern, so dass eine Anwendung, Website oder API glaubt, sie seien jemand anderes, z. B. ein Administrator mit höheren Berechtigungen. Es gibt sogar Schwachstellen, bei denen Angreifer nicht auf die Änderung von Metadaten beschränkt sind, so dass sie Dinge wie JSON-Web-Token, Cookies oder Zugriffskontroll-Token ändern können.

Einmal ausgenutzt, kann diese Familie von Schwachstellen von Angreifern genutzt werden, um Datei- oder Objektautorisierungen zu umgehen, was ihnen ermöglicht, Daten zu stehlen oder sogar zerstörerische Funktionen auf Administratorebene wie das Löschen von Datenbanken durchzuführen. Dies macht eine unterbrochene Zugriffskontrolle nicht nur immer häufiger, sondern auch besonders gefährlich.

Es ist ziemlich überzeugend - und doch nicht überraschend -, dass Schwachstellen in der Authentifizierung und Zugangskontrolle für Angreifer zum fruchtbarsten Boden werden, den sie ausnutzen können. Der jüngste Data Breach Investigations Report von Verizon zeigt, dass Probleme bei der Zugangskontrolle in fast allen Branchen, insbesondere im IT- und Gesundheitswesen, weit verbreitet sind und dass bei satten 85 % aller Sicherheitsverletzungen ein menschliches Element eine Rolle spielt. Der Begriff "menschliches Element" umfasst Vorfälle wie Phishing-Angriffe, die kein technisches Problem darstellen, aber 3 % der Sicherheitsverletzungen betrafen ausnutzbare Schwachstellen und waren dem Bericht zufolge überwiegend ältere Schwachstellen und auf menschliches Versagen zurückzuführen, wie z. B. falsche Sicherheitskonfiguration.

Während diese altersschwachen Sicherheitsprobleme wie XSS und SQL-Injection den Entwicklern nach wie vor zu schaffen machen, wird zunehmend deutlich, dass das grundlegende Sicherheitsdesign versagt und architektonischen Schwachstellen Platz macht, die für Bedrohungsakteure sehr vorteilhaft sein können, vor allem wenn sie nicht behoben werden, nachdem die Sicherheitslücke in einer bestimmten Version einer Anwendung bekannt gemacht wurde. 

Das Problem ist, dass nur wenige Ingenieure eine Ausbildung und Kompetenzentwicklung erhalten, die über die Grundlagen hinausgeht, und noch weniger erhalten ihr Wissen und ihre praktische Anwendung über lokalisierte Fehler auf Code-Ebene hinaus, die in der Regel von den Entwicklern selbst verursacht werden.

Verhinderung von Fehlern, die Roboter selten finden

Die neu gruppierte Familie der Sicherheitslücken in der Zugangskontrolle ist ziemlich vielfältig. Auf unserem YouTube-Kanal und in unserem Blog finden Sie einige konkrete Beispiele für Schwachstellen in der Zugriffskontrolle und wie man sie beheben kann.

Ich denke jedoch, dass es wichtig ist, diese neue OWASP Top 10 zu feiern; sie ist in der Tat vielfältiger und umfasst ein breiteres Spektrum an Angriffsvektoren, darunter auch solche, die von Scannern nicht unbedingt erkannt werden. Für jede gefundene Schwachstelle auf Code-Ebene werden komplexere Architekturfehler von den meisten Sicherheitstechnologien unbemerkt bleiben, egal wie viele automatische Schutzschilde und Waffen im Arsenal vorhanden sind. Während der Löwenanteil der OWASP Top 10-Liste nach wie vor auf der Grundlage von Scandaten erstellt wird, zeigen die neuen Einträge, die unter anderem unsicheres Design und Datenintegritätsfehler abdecken, dass der Schulungshorizont für Entwickler schnell erweitert werden muss, um zu erreichen, was Roboter nicht können.

Einfach ausgedrückt: Sicherheitsscanner sind keine großartigen Bedrohungsmodellierer, aber ein Team von sicherheitskompetenten Entwicklern kann dem AppSec-Team unermesslich helfen, indem es seinen Sicherheits-IQ in Übereinstimmung mit den Best Practices und den Anforderungen des Unternehmens steigert. Dies muss in einem guten Sicherheitsprogramm berücksichtigt werden, wobei man sich darüber im Klaren sein muss, dass die OWASP Top 10 zwar eine hervorragende Grundlage darstellen, die Bedrohungslandschaft aber so schnelllebig ist (ganz zu schweigen von den Anforderungen interner Entwicklungsziele), dass es einen Plan geben muss, um die Weiterbildung der Entwickler im Bereich Sicherheit zu vertiefen und zu präzisieren. Andernfalls werden unweigerlich Gelegenheiten zur frühzeitigen Behebung von Sicherheitslücken verpasst und ein erfolgreicher, ganzheitlicher Ansatz zur präventiven, von Menschen geleiteten Cybersicherheit wird behindert.

Wir sind bereit für die OWASP Top 10 2021, und das ist erst der Anfang! Bringen Sie Ihre Entwickler auf einen erweiterten Sicherheitsfähigkeiten noch heute.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.