OWASP Top 10 Schulung

Einführung

• Überblick über OWASP, seinen Zweck und seine Bedeutung für die Web-Sicherheit
• Erläuterung der OWASP-Top-10-Liste
  • A01:2021-Broken Access Control rückt von der fünften Position vor; 94 % der Anwendungen wurden auf irgendeine Form von lückenhafter Zugriffskontrolle getestet. Die 34 Common Weakness Enumerations (CWEs), die der gebrochenen Access-Kontrolle zugeordnet sind, kamen in mehr Anwendungen vor als jede andere Kategorie.
  • A02:2021-Cryptographic Failures (Verschlüsselungsfehler) rückt um eine Position nach oben auf Platz 2, früher bekannt als Sensitive Data Exposure (Gefährdung sensibler Daten), die eher ein Symptom als eine Ursache darstellte. Der neue Schwerpunkt liegt hier auf Fehlern im Zusammenhang mit der Kryptografie, die häufig zur Gefährdung sensibler Daten oder zur Systemkompromittierung führen.
  • A03:2021-Injection rutscht auf den dritten Platz ab. 94 % der Anwendungen wurden auf irgendeine Form der Injektion getestet, und die 33 CWEs, die dieser Kategorie zugeordnet sind, kommen am zweithäufigsten in Anwendungen vor. Cross-Site Scripting ist in dieser Ausgabe nun Teil dieser Kategorie.
  • A04:2021-Insecure Design ist eine neue Kategorie für 2021, die sich auf Risiken im Zusammenhang mit Designfehlern konzentriert. Wenn wir uns als Branche wirklich nach links bewegen wollen, müssen wir verstärkt Bedrohungsmodelle, sichere Designmuster und -prinzipien sowie Referenzarchitekturen einsetzen.
  • A05:2021-Security Misconfiguration steigt von Platz 6 in der vorherigen Ausgabe auf; 90 % der Anwendungen wurden auf irgendeine Form von Fehlkonfiguration getestet. Angesichts der zunehmenden Umstellung auf hochgradig konfigurierbare Software ist es nicht überraschend, dass diese Kategorie aufsteigt. Die frühere Kategorie für XML Externe Entitäten (XXE) ist nun Teil dieser Kategorie.
  • A06:2021 - Anfällige und veraltete Komponenten hieß früher "Verwendung von Komponenten mit bekannten Schwachstellen" und liegt in der Top-10-Community-Umfrage auf Platz 2, hatte aber auch genügend Daten, um es per Datenanalyse in die Top 10 zu schaffen. Diese Kategorie ist von Platz 9 im Jahr 2017 aufgestiegen und ist ein bekanntes Problem, das wir nur schwer testen und das Risiko bewerten können. Sie ist die einzige Kategorie, in der keine CVEs (Common Vulnerability and Exposures - Gemeinsame Schwachstellen und Gefährdungen) mit den enthaltenen CWEs verknüpft sind, so dass eine standardmäßige Exploit- und Auswirkungsgewichtung von 5,0 in ihre Bewertung einfließt.
  • A07:2021-Identifizierungs- und Authentifizierungsfehler war früher Broken Authentication und rutscht von der zweiten Position herunter und umfasst nun CWEs, die mehr mit Identifizierungsfehlern zu tun haben. Diese Kategorie ist immer noch ein fester Bestandteil der Top 10, aber die zunehmende Verfügbarkeit von standardisierten Frameworks scheint zu helfen.
  • A08:2021 - Fehler bei der Software- und Datenintegrität ist eine neue Kategorie für 2021, die sich auf Annahmen im Zusammenhang mit Software-Updates, kritischen Daten und CI/CD-Pipelines konzentriert, ohne die Integrität zu überprüfen. Eine der am höchsten gewichteten Auswirkungen von Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) Daten wurde den 10 CWEs in dieser Kategorie zugeordnet. Die unsichere Deserialisierung aus dem Jahr 2017 ist nun Teil dieser größeren Kategorie.
  • A09:2021 - Fehler bei der Sicherheitsprotokollierung und -überwachung war zuvor Unzureichende Protokollierung und Überwachung und wurde aus der Branchenumfrage (Nr. 3) hinzugefügt, womit sie von zuvor Nr. 10 aufstieg. Diese Kategorie wurde erweitert, um mehr Arten von Fehlern zu erfassen, ist schwierig zu testen und ist in den CVE/CVSS-Daten nicht gut vertreten. Fehler in dieser Kategorie können sich jedoch direkt auf die Sichtbarkeit, die Alarmierung bei Vorfällen und die Forensik auswirken.
  • A10:2021-Server-Side Request Forgery wurde aus der Top-10-Community-Umfrage hinzugefügt (#1). Die Daten zeigen eine relativ niedrige Inzidenzrate mit einer überdurchschnittlichen Testabdeckung sowie überdurchschnittliche Bewertungen für das Exploit- und Impact-Potenzial. Diese Kategorie repräsentiert das Szenario, bei dem die Mitglieder der Sicherheits-Community uns sagen, dass es wichtig ist, auch wenn es in den Daten zu diesem Zeitpunkt nicht abgebildet ist.

Kaputte Access Kontrolle

• Praktische Beispiele für defekte Zugriffskontrollen
• Sichere Zugangskontrollen und bewährte Verfahren

Kryptografische Ausfälle

• Detaillierte Analyse von kryptografischen Fehlern wie schwache Verschlüsselungsalgorithmen oder unsachgemäße Schlüsselverwaltung
• Bedeutung starker kryptografischer Mechanismen, sicherer Protokolle (SSL/TLS) und Beispiele für moderne Kryptografie in der Web-Sicherheit

Injektionsangriffe

• Detaillierte Aufschlüsselung von SQL, NoSQL, OS und LDAP Injection
• Entschärfungstechniken unter Verwendung von vorbereiteten Anweisungen, parametrisierten Abfragen und Escaping-Eingaben

Unsicheres Design

• Untersuchung von Designfehlern, die zu Schwachstellen führen können, wie z. B. unsachgemäße Eingabevalidierung
• Strategien für eine sichere Architektur und sichere Entwurfsprinzipien

Fehlkonfiguration der Sicherheit

• Beispiele aus der Praxis für Fehlkonfigurationen
• Schritte zur Vermeidung von Fehlkonfigurationen, einschließlich Konfigurationsmanagement und Automatisierungswerkzeuge

Anfällige und veraltete Komponenten

• Identifizierung von Risiken bei der Verwendung anfälliger Bibliotheken und Frameworks
• Bewährte Verfahren für die Verwaltung von Abhängigkeiten und Aktualisierungen

Identifizierungs- und Authentifizierungsmängel

• Häufige Authentifizierungsprobleme
• Sichere Authentifizierungsstrategien, wie Multi-Faktor-Authentifizierung und ordnungsgemäße Sitzungsverwaltung

Fehlerhafte Software und Datenintegrität

• Konzentration auf Probleme wie nicht vertrauenswürdige Software-Updates und Datenmanipulationen
• Sichere Aktualisierungsmechanismen und Datenintegritätsprüfungen

Fehler bei der Sicherheitsprotokollierung und -überwachung

• Bedeutung der Protokollierung sicherheitsrelevanter Informationen und Überwachung verdächtiger Aktivitäten
• Tools und Praktiken für eine ordnungsgemäße Protokollierung und Echtzeitüberwachung zur frühzeitigen Erkennung von Sicherheitsverletzungen

Server-Side Request Forgery (SSRF)

• Erläuterung, wie Angreifer SSRF-Schwachstellen ausnutzen, um auf interne Systeme zuzugreifen
• Abhilfetaktiken, einschließlich ordnungsgemäßer Eingabevalidierung und Firewall-Konfigurationen

Bewährte Praktiken und sichere Kodierung

• Umfassende Diskussion über Best Practices für sichere Kodierung
• Tools zur Erkennung von Sicherheitslücken

Zusammenfassung und nächste Schritte