OWASP Top 10 2013: Die größten Bedrohungen für IT-Systeme!

OWASP ist die weltweite Organisation, die Ressourcen, Artikel und Materialien zur Verbesserung der Sicherheit von Websoftware erstellt, und hat in diesem Jahr eine neue Top 10 der wichtigsten Bedrohungen für die Sicherheit von IT-Systemen veröffentlicht.

In den letzten zehn Jahren sind Sicherheitsprobleme komplexer geworden, und es ist für Organisationen immer schwieriger geworden, Anwendungen sicher zu machen. Deshalb versucht OWASP, das Bewusstsein für Cyberbedrohungen zu verbreiten und deren gutes Management zu fördern.

Sehen wir uns kurz die Punkte dieser Klassifikation an:

1. Injection – Besser bekannt als SQL Injection, tritt auf, wenn ein Angreifer eine beliebige Query an die Datenbank senden kann. Es betrifft vor allem DBMS-Datenbanken, die zur Speicherung und Verwaltung der Daten einer Webanwendung genutzt werden. Wenn Queries nicht angemessen gefiltert werden, kann der Angreifer gespeicherte Informationen erhalten, ändern oder neue hinzufügen. Folgen: Zugriff auf sensible Daten und Passwörter, dynamische Webseiten, die Schadcode zur Attacke auf Nutzer erzeugen, Diebstahl von Kreditkarten, unbefugter Zugriff auf Administrationsbereiche.
2. Broken Authentication and Session Management – Tritt auf, wenn Sitzungen nicht korrekt verwaltet werden, etwa durch fehlenden Schutz von Zugangsdaten sowie Session-Tokens oder Cookies.
3. Cross Site Scripting (XSS) – Wenn Eingabedaten nicht kontrolliert werden, kann ein böswilliger Angreifer gefährliche Skripte an den Browser des Nutzers senden. So kann er Zugangsdaten und sensible Daten stehlen und das Opfer zum Download von Malware zwingen.
4. Insecure Direct Object Reference – Ein Entwickler kann direkte Verweise auf Dateien, Verzeichnisse, Datenbankeinträge und andere Ressourcen verwenden. Ohne Kontrollen über diese Verweise könnte ein Angreifer Ressourcen der Webanwendung manipulieren oder unkontrolliert darauf zugreifen.
5. Security Misconfiguration – Diese Schwachstelle betrifft die Serverseite und die darauf installierte Software. Jede Anwendung muss stets aktualisiert und korrekt konfiguriert sein.
6. Sensitive date exposure – Wer eine Webanwendung entwirft, muss den fehlenden Schutz sensibler Nutzerdaten vermeiden, etwa von Kreditkartencodes.
7. Missing Function Level Access Control – Wenn wir das Konto einer Website nutzen, bei der wir registriert sind, können wir bestimmte Funktionen verwenden. Es ist sehr wichtig, die Berechtigungen jeder einzelnen in der Webanwendung implementierten Funktion zu kontrollieren, damit ein Nutzer nur auf Funktionen zugreifen kann, für die er autorisiert ist.
8. Cross Site Request Forgery – Ein Angriff, der einen Nutzer dazu zwingt, ungewollte Operationen auf einer Website auszuführen, auf der er angemeldet ist, ohne es zu wissen. Dazu nutzt der Angreifer Social Engineering wie E-Mail oder Chat.
9. Using Components with Known Vulnerabilities – Eine offensichtlich gefährliche Wahl. Komponenten mit Schwachstellen zu verwenden ist sehr riskant, weil diese zur Manipulation des Systems ausgenutzt werden können.
10. Unvalidated Redirects and Forwards – Tritt auf, wenn die Anwendung erlaubt, den Browser des Nutzers auf andere Websites umzuleiten. Wenn diese Praxis nicht kontrolliert wird, könnte ein Angreifer den Nutzer auf Seiten mit Malware oder für Phishing-Kampagnen führen, auch mit einer Grafik, die der ursprünglichen Anwendung oder Website sehr ähnlich ist.

OWASP hat mit der Top 10 der Bedrohungen für Web-IT-Systeme sicherlich dazu beigetragen, Entwickler, IT-Fachleute, Nutzer und Führungskräfte zu informieren.

Heute können Sie sich an Fachleute zu erschwinglichen Kosten wenden, um zu prüfen, ob Ihr Portal, geschützter Bereich, Ihre Website oder Anwendung von diesen Problemen betroffen ist. EasyAudit ist die beste Wahl, um Unternehmen beim Schutz von Unternehmensnetzwerken und Webanwendungen zu helfen. Alles zertifiziert mit dem Siegel EasyAudit Checked, einer Garantie für Ihre Kunden!