OWASP Top Ten 2017 (de)

Neuerungen

Languages: en [de]
Was hat sich von Version 2013 zu 2017 verändert?
Die Veränderungen haben in den letzten vier Jahren zugenommen, folglich wurden auch die OWASP Top 10 aktualisiert. Wir haben sie vollständig umgestaltet: die Methodik und den Prozess der Datenerhebung erneuert, mit der Community vollständig transparent zusammengearbeitet, die Risiken neu priorisiert, die Beschreibung der Risiken jeweils runderneuert und die Referenzen zu aktuellen Frameworks und Programmiersprachen angepasst. In den letzten Jahren hat sich die eingesetzte Technologie und Architektur von Anwendungen signifikant geändert:
* Microservices, die in node.js und Spring Boot geschrieben werden, ersetzen traditionelle monolithische Anwendungen. Micro-services bringen neue Herausforderungen an die IT-Sicherheit mit, wie z.B. Vertrauensbeziehungen zwischen Microservices, Containern und das Management der Anmeldedaten. Alter Code, der nie dafür geschrieben wurde, aus dem Internet erreichbar zu sein, wird nun via APIs oder RESTful Web-Service nach außen geöffnet, z.B. mittels Single-Page-Anwendungen (SPA) oder für mobile Apps. Architekturelle Annahmen für den Code, wie z.B. vertrauenswürdige Nutzer, sind nicht mehr gültig.
* Single-Page-Anwendungen, die in JavaScript-Frameworks, wie z.B. Angular oder React geschrieben wurden, unterstützen die Entwicklung von sehr modularen Clients mit einem großen Funktionsumfang. Das Verlagern von Funktionen auf den Client, die traditionell auf dem Server lagen, erzeugt weitere Herausforderungen für die IT-Sicherheit.
* JavaScript ist inzwischen die meistgenutzte Sprache im Web, mit node.js auf den Servern und modernen Web-Frameworks wie Bootstrap, Electron, Angular oder React auf dem Client. 

Neue Risiken, auf Basis der Datenerhebung:
* A4:2017-XML External Entities (XXE) ist eine neue Kategorie, die hauptsächlich per Source-Code-Analyse-Sicherheits-Test-Tools (SAST) gefunden wurde.

Neue Risiken, auf Basis der Expertenumfrage in der Community:
Wir haben die Community gebeten, zwei Risiken zu wählen, die zukünftig von größerer Bedeutung sein werden. Aufgrund der Ergebnisse der Expertenumfrage mit über 500 Einsendungen wurden nach dem Streichen von Risiken, die bereits aufgrund der Datenerhebung enthalten waren (z.B. Verlust der Vertraulichkeit sensibler Daten und XXE), folgende Risiken aufgenommen:
* A8:2017-Unsichere Deserialisierung, die ein externes Ausführen von beliebigem Code und die Manipulation von sensiblen Daten-Objekten auf betroffenen Plattformen ermöglicht.
* A10:2017-Unzureichendes Logging & Monitoring, das zum Übersehen oder zu beträchtlichen Verzögerungen beim Erkennen von bösartigen Aktivitäten oder digitalen Einbrüchen und dem Bearbeiten der Sicherheitsvorfälle sowie der digitalen Forensik führen kann.

Zusammengeführt oder aus den Top 10 ausgeschieden, jedoch nicht vergessen:
* A4-Unsichere direkte Objektreferenzen und A7-Fehlerhafte Autorisierung auf Anwendungsebene zusammengeführt (=vereint) zu A5:2017-Fehler in der Zugriffskontrolle.
* A8-Cross-Site Request Forgery (CSRF), da viele Frameworks Maßnahmen gegen CSRF beinhalten, wurde diese Kategorie nur noch in 5% der Anwendungen gefunden.
* A10-Ungeprüfte Um- und Weiterleitungen, das noch in ca. 8% der Anwendungen auftrat, wurde insbes. durch XXE verdrängt.
OWASP Top 10 - 2013 OWASP Top 10 - 2017
A1-Injection A1:2017-Injection
A2-Fehler in Authentifizierung und Session-Management A2:2017-Fehler in der Authentifizierung
A3-Cross-Site Scripting (XSS) A3:2017-Verlust der Vertraulichkeit sensibler Daten
A4-Unsichere direkte Objektreferenzen [mit A7] A4:2017-XML External Entities (XXE) [NEU]
A5-Sicherheitsrelevante Fehlkonfiguration A5:2017-Fehler in der Zugriffskontrolle [vereint]
A6-Verlust der Vertraulichkeit sensibler Daten A6:2017-Sicherheitsrelevante Fehlkonfiguration
A7-Fehlerhafte Autorisierung auf Anwendungsebene [mit A4] A7:2017-Cross-Site Scripting (XSS)
A8-Cross-Site Request Forgery (CSRF) A8:2017-Unsichere Deserialisierung [NEU, Community]
A9-Nutzung von Komponenten mit bekannten Schwachstellen A9:2017-Nutzung von Komponenten mit bekannten Schwachstellen
A10-Ungeprüfte Um- und Weiterleitungen A10:2017-Unzureichendes Logging & Monitoring [NEU, Community]