OWASP „Top 10“-Liste

Das Open Web Application Security Project (OWASP) veröffentlicht in dreijährigen Abständen auf der Basis von Branchendaten und Ergebnissen unabhängiger Forschung die sogenannten OWASP Top 10-Listen. Darin werden die am häufigsten auftretenden – und am häufigsten ausgenutzten – Sicherheitslücken aufgeführt und erläutert. Entwickler und Anbieter verwenden diese „Top 10“-Listen bei der Entwicklung oder Bereitstellung von Webanwendungen zur Minimierung der benannten Sicherheitsrisiken.

OWASP ist eine weltweit tätige gemeinnützige Organisation, die mit dem Ziel gegründet wurde, die Sicherheit von Software-Anwendungen durch Schaffung von Transparenz und Bereitstellung entsprechender Daten und Tools global zu verbessern.

OWASP erstellt „Top 10“-Listen für unterschiedliche Kategorien. Die wohl bekannteste davon ist die Liste der 10 kritischsten Sicherheitsrisiken für Webanwendungen. In der aktuellen Fassung von 2017 werden folgende Schwachstellen behandelt:

• A1. Injection
• A2. Fehler in der Authentifizierung
• A3. Verlust der Vertraulichkeit sensibler Daten
• A4. XML External Entities (XXE)
• A5. Fehler in der Zugriffskontrolle
• A6. Sicherheitsrelevante Fehlkonfiguration
• A7. Cross-Site Scripting (XSS)
• A8. Insecure Deserialization
• A9. Nutzung von Komponenten mit bekannten Schwachstellen
• A10. Unzureichendes Logging & Monitoring

Sie sollten jedoch bedenken, dass die „OWASP Top 10“-Liste keinen Anspruch auf Vollständigkeit erhebt, sondern lediglich die am häufigsten auftretenden Sicherheitsrisiken dokumentiert. Bei der Verwendung der OWASP-Liste zur Planung von Entwicklungs- oder Bereitstellungstests ist daher Vorsicht geboten.

Der erste Schritt zur Vermeidung der in der „Top 10“-Liste aufgeführten Sicherheitsrisiken besteht darin, diese Risiken zu verstehen und bei der Webseiten-Programmierung auf Techniken und Tools zu verzichten, die Ihr Unternehmen anfällig für Bedrohungen machen. Hier empfiehlt sich insbesondere die Verwendung von Coding-Frameworks mit integrierten Abwehrmechanismen gegen die gängige Bedrohungen.

Trotz aller Sorgfalt bei der Programmierung können durch menschliches Versagen, Code-Änderungen, Software von Fremdanbietern und neuartige Bedrohungen Sicherheitslücken entstehen. Daher sollten Sie den Schutz Ihrer Webseite unbedingt mit einer Web Application Firewall (WAF) automatisieren.

Der kostenlose Vulnerability Manager von Barracuda überprüft Ihre Webseite automatisch auf die in den „OWASP Top 10“ verzeichneten und Hunderte weitere bekannte Sicherheitslücken. Das kostenlose Tool erstellt einen Bericht, in dem alle gefundenen Probleme mitsamt den zu ihrer Lösung erforderlichen Korrekturmaßnahmen aufgeführt sind. Dieser Bericht kann dann in die Barracuda Web Application Firewall hochgeladen werden, die daraus Richtlinien zur automatischen Behebung der meisten Probleme erstellt.

Barracuda Web Application Firewall schützt Ihre Webseite kontinuierlich vor aktuellen Bedrohungen. Sie setzt leistungsstarke, cloudbasierte Scan-Technologien zur Überprüfung von Online-Anwendungen ein – einschließlich solcher, die sich noch in der Entwicklungsphase befinden. Nicht gepatchte Schwachstellen werden identifiziert und automatisch behoben. Dies betrifft sowohl Sicherheitslücken, die in der „OWASP Top 10“-Liste aufgeführt sind, als auch viele andere wie z. B. DoS-Angriffe und Zero-Day-Bedrohungen.

Mit der Barracuda Web Application Firewall stellen Sie sicher, dass Ihre Online-Apps nicht als Einfallstore für Bedrohungen missbraucht werden. Durch die Automatisierung einer entscheidenden Phase im Entwicklungsprozess wird zudem der gesamte DevOps-Zyklus beschleunigt. So können Sie sichere Anwendungen bereitstellen, ohne den herkömmlichen Prozess einer manuellen Sicherheitsüberprüfung zu durchlaufen, der sowohl zeitaufwendig als auch unzuverlässig sein kann.

Auf Anfrage geben wir Ihnen gerne weitere Tipps zum Schutz Ihres Unternehmens vor den „OWASP Top 10“ und Hunderten weiteren Bedrohungen. Zudem können Sie die Barracuda Web Application Firewall kostenlos testen und Ihre Webseite mit einem kostenlos Scan auf Schwachstellen überprüfen.