Gehen Sie einen schnelleren, intelligenteren Weg zur KI-gestützten C/C++-Testautomatisierung. Erfahren Sie mehr >>
OWASP-Compliance ist entscheidend für die Aufrechterhaltung sicherer Software in der heutigen digitalen Landschaft. Zuletzt aktualisiert im Jahr 2021, enthält die OWASP Top 10-Liste jetzt mehr kuratierte Kategorien, die viele verschiedene Arten von Sicherheitslücken für alle Arten von Code und Webanwendungen abdecken.
Die gemeinnützige Gruppe Open Web Application Security Project® (OWASP) versucht, die Softwaresicherheit zu verbessern. Entwicklungsteams auf der ganzen Welt und in allen Branchen wenden sich an die OWASP Foundation, um Tools, Ressourcen und Schulungen zum Schutz ihrer Webanwendungen vor Cyberangriffen zu erhalten. Projekte mit Community-getriebenen Initiativen stehen jedem zur Teilnahme offen.
Bauen Sie Sicherheit in Ihre DevOps-Strategie ein
OWASP veröffentlicht in regelmäßigen Abständen eine Liste der dringendsten Probleme für die Entwicklergemeinschaft insgesamt. Diese Probleme wirken sich auf die Gesamtsicherheit von Projekten aus, und die Liste beleuchtet die größten Bedrohungen.
Die OWASP Top 10 führt einige neue Probleme ein und ordnet frühere Einträge in ihre neuen Kategorien ein. Basierend auf einer Vielzahl von Quellen, darunter Entwickler-Feedback, Ratschläge von Sicherheitsanbietern, Bug Bounties und Community-Beiträge, hat OWASP seine neueste Top-10-Liste erstellt, wobei Nr. 1 das häufigste und bedrohlichste Problem ist. Nach Schweregrad und Häufigkeit geordnet, repräsentiert jedes Element mehrere Common Weakness Enumerations (CWEs).
Die OWASP Top 10 hilft Teams, sich auf die kritischsten und wahrscheinlichsten Probleme zu konzentrieren, bevor sie sich anderen Problemen zuwenden.
Alle diese potenziellen Schwachstellen stellen eine erhebliche Bedrohung für jedes Entwicklungsteam dar, aber denken Sie daran, dass dies keine vollständige Liste aller Fehler ist, die während der Entwicklung schief gehen können. Die Top 10 sind zwar keine umfassende Strategie oder die einzige Methode zum Identifizieren von Schwachstellen, aber sie sind ein hervorragender Einstieg.
Der beste Weg, die Top 10 zu nutzen, besteht darin, Ihre Entwickler zu schulen, damit sie sicheren Code erstellen. Verwenden Sie es außerdem für Validierungstests, um zu überprüfen, ob Entwickler wirklich sicheren Code geschrieben haben, und fangen Sie, wenn dies nicht der Fall ist.
Mit der zunehmenden Entwicklung von APIs hat OWASP auch ein spezielles Projekt, das sich ausschließlich auf die API-Sicherheit und ihre Top Ten in Bezug auf Schwachstellen konzentriert. Der OWASP API-Sicherheit Top 10 wurde 2019 eingeführt und 2023 aktualisiert.
Fehlerhafte Zugriffskontrolle kletterte von Platz 5 in den vorherigen Top 10 auf Platz 1. Das bedeutet, dass sie das größte Problem für Entwicklerteams im Hinblick auf Sicherheitslücken darstellt. Laut OWASP wiesen 94 % der getesteten Anwendungen dieses Problem auf. Die wichtigsten CWEs (Critical Workplace Errors) im Zusammenhang mit dieser Schwachstelle sind:
Diese Sicherheitslücke ermöglicht den Zugriff auf private Ressourcen für nicht autorisierte Benutzer. Angreifer können alle vorhandenen Sicherheitsprotokolle umgehen, um auf sensible Systeme und Informationen zuzugreifen.
Fehlerhafte Zugriffskontrolle ist die häufigste Schwachstelle in der OWASP Top 10-Liste 2021. Schwache Autorisierungs- und Authentifizierungsmethoden ermöglichen dieses Sicherheitsrisiko. Fehlerhafte Zugriffskontrolle lässt sich in 34 CWEs (Critical Workplace Errors) unterteilen. Sie ist in der OWASP-Studie für mehr Probleme verantwortlich als jede andere Kategorie.
Kryptografische Fehler rangieren nun an zweiter Stelle – zuvor an dritter. Dieses Problem wurde früher als „Offenlegung sensibler Daten“ bezeichnet. Die neue Bezeichnung betont die eigentlichen Ursachen und nicht nur die Symptome.
Fehler in der Kryptographie führen häufig zu Datenschutzverletzungen. Beispiele hierfür sind fehlende HTTP-Header, schwache Algorithmen, die Übertragung von Daten im Klartext oder mangelhaftes Schlüsselmanagement.
Sie können zu Datenschutzverletzungen und anderen Sicherheitslücken führen. Ein bekanntes Beispiel ist der Datendiebstahl beim Roten Kreuz im Januar 2022. Um dies zu verhindern, sind ein durchdachtes Design, sicherer Code, gründliche Tests und die Integration von Sicherheitsmaßnahmen in die Arbeitsabläufe erforderlich.
Das Thema Injection, das zuvor auf Platz 7 rangierte, belegt nun Platz 3. Dazu gehören auch Probleme wie Cross-Site-Scripting.
Sie treten auf, wenn Angreifer speziell präparierte Daten senden, die eine Anwendung dazu zwingen, unbeabsichtigte Befehle auszuführen. Beispielsweise kann SQL-Injection ganze Datenbanken extrahieren oder verändern.
Dies war jahrelang das Hauptproblem bei OWASP. In Tests wurden 274,000 Injection-Schwachstellen gefunden. Diese lassen sich durch eine ordnungsgemäße Eingabevalidierung und eine sicherere Abfrageverarbeitung weitgehend vermeiden.
Beispiele für Spritzgussfehler:
Eine neue Kategorie, die auf die Risiken von Designfehlern hinweist. Sie betont sicheres Design und DevSecOps – Sicherheit, die in den gesamten Entwicklungslebenszyklus integriert ist.
Dies geschieht, wenn Teams Bedrohungen nicht vorhersehen. Im Gegensatz zu einer unsicheren Implementierung spiegelt es umfassendere Design- und Architekturrisiken wider.
Unsicheres Design macht Anwendungen angreifbar, selbst wenn die Implementierungen sicher erscheinen.
Beispiele:
Dieses Problem, das auf Platz 5 rangiert, umfasst falsch konfigurierte Software und Systeme.
Eine Fehlkonfiguration der Sicherheitseinstellungen liegt vor, wenn wichtige Sicherheitseinstellungen fehlen, falsch sind oder auf den Standardwerten belassen werden. Beispiel: Das Standardpasswort wird nicht zurückgesetzt.
Das Problem ist weit verbreitet – es liegt beispielsweise an veralteter Software, fehlenden Sicherheitsvorkehrungen und unnötigen Funktionen. Ein bemerkenswertes Beispiel: der Ausfall der FAA-NOTAMs im Jahr 2023, der auf eine Fehlkonfiguration zurückzuführen war.
Dieses Thema, das zuvor „Verwendung von Komponenten mit bekannten Sicherheitslücken“ hieß, belegt nun Platz 6.
Risiken entstehen durch die Verwendung von nicht unterstützter, veralteter oder schlecht gewarteter Software, Bibliotheken oder Abhängigkeiten von Drittanbietern.
Angreifer nutzen diese Schwachstellen häufig aus. Daher ist es unerlässlich, Abhängigkeiten stets auf dem neuesten Stand zu halten.
Beispiel: die Log4j-Zero-Day-Schwachstelle im Jahr 2021, die Auswirkungen auf Cloudflare, Steam, iCloud und andere hatte.
Diese Kategorie, die früher unter dem Titel „Fehlerhafte Authentifizierung“ bekannt war, steht jetzt an siebter Stelle. Zuvor war sie an zweiter Stelle.
Diese Fehler treten auf, wenn Anmeldeinformationen, Sitzungs-IDs oder Berechtigungen nicht sicher behandelt werden – beispielsweise durch die Speicherung von Passwörtern im Klartext.
Sie zählen zu den am häufigsten ausgenutzten Sicherheitslücken. Techniken wie „Credential Stuffing“ nutzen gestohlene Passwörter, um in Systeme einzudringen. Multifaktor-Authentifizierung und strengere Passwortrichtlinien können die Risiken mindern.
Diese Kategorie, die 2021 neu eingeführt wurde, umfasst unsichere Deserialisierung und Integritätsrisiken in CI/CD-Pipelines oder Aktualisierungsmechanismen.
Beispiele hierfür sind unsichere Software-Updates, ungeschützte CI/CD-Pipelines und nicht validierte automatische Updates.
Sie öffnen Angreifern die Tür, Schadcode einzuschleusen. Zu den wichtigsten Bedenken zählen unsichere Deserialisierung, ein häufiger Weg für Denial-of-Service-Angriffe und die Ausführung von Schadcode aus der Ferne.
Früher unter dem Titel „Unzureichende Protokollierung und Überwachung“ bekannt, belegt es nun Platz 9.
Diese Fehler treten auf, wenn Systeme Bedrohungen nicht ordnungsgemäß erkennen oder darauf nicht reagieren. Beispielsweise werden wiederholte Anmeldeversuche aufgrund fehlerhafter Protokollierung zugelassen.
Ohne angemessene Überwachung bleiben Sicherheitsvorfälle unentdeckt und führen zu Datenschutzverletzungen. Vorschriften wie HIPAA und PCI-DSS schreiben eine ordnungsgemäße Protokollierung vor. Mangelhafte Überwachung kann zudem andere Schwachstellen, wie beispielsweise fehlerhafte Zugriffskontrollen, gefährlicher machen.
Platz 10, wird aber als äußerst schwerwiegend eingestuft.
Dies geschieht, wenn Anwendungen entfernte Ressourcen abrufen, ohne die vom Benutzer angegebenen URLs zu validieren, wodurch Angreifer Server zu unerwartetem Verhalten verleiten können.
Diese Angriffe sind einfach durchzuführen und können schwerwiegende Folgen haben, darunter das Umgehen von VPNs und Firewalls.
Beispiel: Angreifer hosten bösartige Seiten, um anfällige Anwendungen zu kontrollieren.
OWASP stellt fest, dass der Aufstieg von SSRF mit Folgendem zusammenhängt:
Die umfassende Unterstützung von Parasoft für OWASP hilft Benutzern, DevSecOps zu erreichen, indem sicherheitsorientierte Entwicklungspraktiken von Beginn der Projektentwicklung an durchgesetzt werden. Mit der Parasoft-Lösung erhalten Sie:
Vorkonfigurierte Richtlinien-/Testkonfigurationen, die vollständig konfigurierbar sind.
Standardnative Berichterstattung basierend auf OWASP- oder CWE-ID-Nummern.
Anleitung zum Beheben von Schwachstellen mit unterstützter Dokumentation und Schulungsinhalten.
Einzigartiges Echtzeit-Feedback, das den Nutzern einen kontinuierlichen Überblick über die Einhaltung der OWASP-Richtlinien und Unterstützung bei der Behebung von Sicherheitslücken bietet, um Bedrohungsvektoren besser zu identifizieren und zu beseitigen.
Ausführung innerhalb der IDE und über den CI / CD-Prozess, um die Sicherheitsanfälligkeit früher im SDLC schnell zu lokalisieren.
Interaktive Berichte und anpassbare Dashboards, die Informationen zur Ausnutzbarkeit, zur Verbreitung im Feld, zur Erkennbarkeit und zu den Auswirkungen von Fehlern enthalten, mit KI-gestützter Automatisierung, um den Benutzern zu helfen, Prioritäten zu setzen und die manuelle Triage zu minimieren.
