Open Worldwide Application Security Project (OWASP)
OWASP 10 häufigsten Website-Schwachstellen
Was ist OWASP?
Das Open Worldwide Application Security Project oder www.owasp.org ist eine internationale Non-Profit-Organisation, die sich der Sicherheit von Webanwendungen widmet. Eines der Grundprinzipien von OWASP ist, dass alle Materialien frei verfügbar und auf ihrer Website leicht zugänglich sind, sodass jeder die Sicherheit seiner eigenen Webanwendungen verbessern kann. Sie bieten Materialien wie Dokumentationen, Tools, Videos und Foren an. Ihr wohl bekanntestes Projekt sind die OWASP Top 10.
Die gefährlichsten Webanwendungsschwachstellen im Überblick
Open Worldwide Application Security Project
Was ist die OWASP-Risikobewertungsmethode?
Die OWASP-Risikobewertungsmethode ist nicht direkt als eigenständige Methode innerhalb der OWASP-Initiativen bekannt. Jedoch hat OWASP eine umfangreiche Arbeit im Bereich der Sicherheitsrisiken von Webanwendungen geleistet, insbesondere mit dem OWASP Top Ten Projekt, welches die zehn kritischsten Webanwendungssicherheitsrisiken auflistet.
Was sind die OWASP Top 10?
Das OWASP Top Ten Projekt ist ein regelmäßig aktualisiertes Referenzdokument, das von Sicherheitsexperten aus der ganzen Welt erstellt wurde und die häufigsten und gefährlichsten Webanwendungssicherheitsrisiken beschreibt.
Dieses Dokument dient als Ausgangspunkt für Organisationen, die ihre Webanwendungssicherheitsrisiken priorisieren und mindern möchten.
Die Risiken im OWASP Top Ten werden anhand ihrer potenziellen Auswirkungen und der Wahrscheinlichkeit ihres Auftretens bewertet. Die Methode zur Ermittlung dieser Risiken basiert auf Daten von verschiedenen Sicherheitsorganisationen und der Community.
OWASP ist eine neue Art von Organisation. Die Unabhängigkeit von kommerziellen Zwängen ermöglicht es, unvoreingenommene, praktische und kosteneffektive Informationen über die Anwendungssicherheit bereitzustellen.
OWASP ist mit keinem Technologieunternehmen verbunden, obwohl sie die informierte Nutzung von kommerzieller Sicherheitstechnologie unterstützen. Ähnlich wie viele Open-Source-Softwareprojekte produziert OWASP viele Arten von Materialien auf kollaborative und offene Weise.
Die OWASP Foundation ist eine gemeinnützige Einrichtung, die den langfristigen Erfolg des Projekts sicherstellt.
Die OWASP Foundation wurde am 1. Dezember 2001 ins Leben gerufen und am 21. April 2004 in den USA als gemeinnützige Organisation gegründet, um die fortlaufende Verfügbarkeit und Unterstützung für die Arbeit bei OWASP sicherzustellen.
OWASP ist eine internationale Organisation und die OWASP Foundation unterstützt die OWASP-Bemühungen weltweit. OWASP ist eine offene Gemeinschaft, die sich dafür einsetzt, Organisationen zu ermöglichen, Anwendungen zu konzipieren, zu entwickeln, zu erwerben, zu betreiben und zu warten, denen vertraut werden kann.
Alle OWASP-Werkzeuge, Dokumente, Foren und Kapitel sind kostenlos und für jeden zugänglich, der sich für die Verbesserung der Anwendungssicherheit interessiert. Sie finden OWASP unter www.owasp.org
OWASP Top 10 Website-Schwachstellen 2023
API1:2023
Mangelhafte Objektebene-Autorisierung
APIs neigen dazu, Endpunkte auszusetzen, die Objekt-Identifikatoren verarbeiten, wodurch eine große Angriffsfläche für Objektebene-Zugriffskontrollprobleme entsteht. Objektebene-Autorisierungsprüfungen sollten in jeder Funktion berücksichtigt werden, die auf eine Datenquelle mit einer vom Benutzer bereitgestellten ID zugreift.
API2:2023
Mangelhafte Authentifizierung
Authentifizierungsmechanismen werden oft falsch implementiert, was es Angreifern ermöglicht, Authentifizierungstoken zu kompromittieren oder Implementierungsfehler auszunutzen, um vorübergehend oder dauerhaft die Identität anderer Benutzer anzunehmen. Die Kompromittierung der Fähigkeit eines Systems, den Client/Benutzer zu identifizieren, beeinträchtigt die API-Sicherheit insgesamt.
API3:2023
Mangelhafte Objekteigenschaften-Autorisierung
Diese Kategorie kombiniert API3:2019 Übermäßige Datenexposition und API6:2019 – Massenzuweisung, wobei der Schwerpunkt auf der Ursache liegt: dem Fehlen oder der unsachgemäßen Autorisierungsvalidierung auf der Objekteigenschaftenebene. Dies führt zu Informations- oder Manipulationsexposition durch unbefugte Parteien.
API4:2023
Unbeschränkter Ressourcenverbrauch
Die Erfüllung von API-Anfragen erfordert Ressourcen wie Netzwerkbandbreite, CPU, Speicher und Speicherplatz. Andere Ressourcen wie E-Mails/SMS/Telefonanrufe oder biometrische Validierung werden von Dienstleistern über API-Integrationen zur Verfügung gestellt und pro Anfrage bezahlt. Erfolgreiche Angriffe können zu Dienstverweigerung oder einer Erhöhung der Betriebskosten führen.
API5:2023
Mangelhafte Funktionsebene-Autorisierung
Komplexe Zugriffskontrollrichtlinien mit verschiedenen Hierarchien, Gruppen und Rollen und eine unklare Trennung zwischen administrativen und regulären Funktionen führen oft zu Autorisierungsfehlern. Durch die Ausnutzung dieser Probleme können Angreifer auf die Ressourcen und/oder administrativen Funktionen anderer Benutzer zugreifen.
API6:2023
Unbeschränkter Zugriff auf sensible Geschäftsabläufe
APIs, die für dieses Risiko anfällig sind, setzen einen Geschäftsablauf frei – wie z.B. den Kauf eines Tickets oder das Posten eines Kommentars – ohne zu berücksichtigen, wie die Funktionalität dem Geschäft schaden könnte, wenn sie übermäßig in einer automatisierten Weise verwendet wird. Dies kommt nicht unbedingt von Implementierungsfehlern.
API7:2023
Serverseitige Anforderungsfälschung
Serverseitige Anforderungsfälschung (SSRF) Schwachstellen können auftreten, wenn eine API eine entfernte Ressource abruft, ohne die vom Benutzer bereitgestellte URI zu validieren. Dies ermöglicht es einem Angreifer, die Anwendung zu zwingen, eine manipulierte Anfrage an ein unerwartetes Ziel zu senden, auch wenn sie durch eine Firewall oder ein VPN geschützt ist.
API8:2023
Sicherheitsfehlkonfiguration
APIs und die sie unterstützenden Systeme enthalten typischerweise komplexe Konfigurationen, die dazu dienen, die APIs anpassbarer zu machen. Software- und DevOps-Ingenieure können diese Konfigurationen übersehen oder nicht den Sicherheitsbestpraktiken folgen, wenn es um die Konfiguration geht, und so die Tür für verschiedene Arten von Angriffen öffnen.
API9:2023
Mangelhaftes Bestandsmanagement
APIs neigen dazu, mehr Endpunkte als traditionelle Webanwendungen auszusetzen, was eine ordnungsgemäße und aktualisierte Dokumentation sehr wichtig macht. Ein ordnungsgemäßes Inventar von Hosts und bereitgestellten API-Versionen ist ebenfalls wichtig, um Probleme wie veraltete API-Versionen und freigelegte Debug-Endpunkte zu mildern.
API10:2023
Unsichere Verwendung von APIs
Entwickler neigen dazu, Daten, die von Drittanbieter-APIs empfangen werden, mehr zu vertrauen als Benutzereingaben, und neigen daher dazu, schwächere Sicherheitsstandards anzunehmen. Um APIs zu kompromittieren, gehen Angreifer nach integrierten Drittanbieter-Diensten, anstatt zu versuchen, die Ziel-API direkt zu kompromittieren.
WordPress–TuneUp
Auslesen von Benutzernamen verhindern
Inhaltsicherheitsrichtlinie (CSP)
SQL-Injections und XSS-Absicherung
HTTP-Sicherheits-Header
Normalerweise 145,-
Zeitlich befristetes Angebot zum Sonderpreis für nur
Preis versteht sich als Nettopreis zuzüglich Mehrwertsteuer.