Alle paar Jahre veröffentlich OWASP eine Liste mit den häufigst vorkommenden Schwachstellen in Webanwendungen. Nun wurde ein neuer Entwurf veröffentlicht, der einige Änderungen mit sich bringt, im Gegensatz zu der OWASP Top 10 Liste aus dem Jahr 2017.
Jetzt unser Whitepaper zur Active Directory Härtung kostenfrei herunterladen!
Das Active Directory ist die Achillesferse der IT-Infrastruktur.
Wir geben Ihnen 7 Hinweise, Empfehlungen sowie Tipps zur Härtung des Systems.
Was ist eigentlich OWASP und die Top 10?
OWASP steht für Open Web Application Security Project und ist eine Non-Profit Organisation, an der Firmen, Bildungseinrichtungen und Einzelpersonen aus aller Welt beteiligt sind. Ihr Ziel ist, die Sicherheit im World Wide Web zu verbessern. Hierzu veröffentlicht OWASP seit 2003 alle drei bis vier Jahre eine Top 10 Liste der am häufigsten auftretenden Schwachstellen in Webanwendungen.
Sie soll als Hilfsmittel für Richtlinien zur Anwendungssicherheit dienen. Die hierfür verwendeten Informationen stammen aus Datenzulieferungen von Firmen, welche auf Anwendungssicherheit spezialisiert sind, und aus einer Befragung von Sicherheitsexperten. Die aktuelle OWASP Top 10 Liste ist aus dem Jahr 2017. Nun wurde allerdings ein Entwurf der kommenden OWASP Top 10 2021 veröffentlicht und dabei hat sich einiges geändert.
OWASP Top 10 2021 – Was hat sich geändert?
Die Top 10 der Schwachstellen in Webanwendungen für das Jahr 2021 hat Änderungen in der Reihenfolge als auch ein paar Neuzugänge. So kam es dazu, dass die Injection als Schwachstelle auf Platz 1 im Jahr 2017 von fehlerhafter Zugriffskontrolle (ehemals Platz 5) verdrängt wurde. Fehler in der Zugriffskontrolle (Broken Access Control) treten auf, wenn Benutzer außerhalb ihrer vorhergesehenen Berechtigungen handeln können. Die Zugriffskontrollprüfung kann zum Beispiel durch Änderung der URL oder der HTML-Seite umgangen werden. Dadurch kann der Benutzer seine Rechte erweitern.
Laut dem Entwurf der OWASP Top 10 2021 wurden 94 % der Anwendungen auf irgendeine Form von fehlerhafter Zugriffskontrolle getestet. Auf Platz 2 liegt nun die Schwachstelle der kryptografischen Fehler, welche früher als Verlust der Vertraulichkeit sensibler Daten (Sensitive Data Exposure) bekannt war. Der Namenswechsel liegt an einem neuen Fokus auf Fehler im Zusammenhang mit der Kryptografie, die oft zu einer Offenlegung sensibler Daten führt.
2021 und 2017 im Vergleich
| Rang | OWASP Top 10 2021 | OWASP Top 10 2017 |
| A01 | Broken Access Control | A05 |
| A02 | Cryptographic Failures | A03 (ehemals Sensitive Data Exposure) |
| A03 | Injection | A01 |
| A04 | Insecure Design | Neuzugang |
| A05 | Security Misconfiguration | A06 |
| A06 | Vulnerable and Outdated Components | A09 |
| A07 | Identification and Authentication Failures | A02 |
| A08 | Software and Data Integrity Failures | A08 (ehemals Insecure Deserialization) |
| A09 | Security Logging and Monitoring Failures | A10 |
| A10 | Server-Side Request Forgery | Neuzugang |
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Und was ist neu?
Als Neuzugänge sind „Unsicheres Design“ (Platz 4) und „Server-Side Request Forgery“ (Platz 10) in der Top 10 Liste dazugekommen. Man spricht von unsicherem Design, wenn Code nicht robust entworfen und auch nicht ausreichend getestet wurde. Sicheres Design ist also eine Methodik, die Bedrohungen ständig bewertet um bekannte Angriffsmethoden zu verhindern.
Server-Side Request Forgery (SSRF) kann man mit serverseitigen Anforderungsfälschung übersetzen. Solch ein Fehler tritt auf, wenn eine Webanwendung eine Remote-Ressource abruft, ohne die vom Benutzer angegebene URL zu überprüfen. Somit hat ein potenzieller Angreifer die Möglichkeit, die Anwendung zu zwingen, eine vorgefertigte Anfrage an ein unerwartetes Ziel zu senden.
Durch diese Neuzugänge werden die Schwachstellen XML External Entities (XXE) und Cross-Site Scripting (XSS) nicht mehr als alleinstehende Schwachstellen aufgeführt, sondern gehören in der neuen OWASP Top 10 zu anderen Sicherheitslücken dazu. XXE wurde zu sicherheitsrelevanten Fehlkonfigurationen (Platz 5) hinzugefügt und XSS wurde mit Injection (Platz 3) zusammengefasst. Auch wir bei der AWARE7 GmbH orientieren uns beim Penetration Testing an den OWASP Top 10, um ein möglichst großes Spektrum an Schwachstellen zu erfassen und somit ist für uns eine Änderung dieser Liste auch sehr interessant und wichtig, da wir dadurch neue Angriffsszenarien in Betracht ziehen müssen.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
