Die neuen OWASP Top Ten: Sicherheitslücken in Webapplikationen

Es geht wieder ein Raunen durch die Reihen der Infosec-Community – ein erster Blick auf die OWASP Top 10 für das Jahr 2021 ist jetzt möglich.

Das OWASP, kurz für Open Web Application Security Project, ist eine gemeinnützige Organisation, die es sich zur Aufgabe gemacht hat, die Sicherheit von Webapplikationen zu verbessern. An diesem Projekt sind Firmen, Bildungseinrichtungen und Einzelpersonen aus aller Welt beteiligt.

Die OWASP Top 10 stellen die zehn häufigsten Sicherheitslücken in Webanwendungen dar und sind mittlerweile ein wichtiges Instrument bei der Prävention dieser.
Auch wenn es sich, wie in großen Buchstaben auf der ersten Seite steht, noch um einen Entwurf handelt, lassen sich schon die ersten Änderungen erkennen.
Dazu gehört die Einführung von drei neuen Kategorien und die Änderung von vier Kategorien.

Die einzelnen Kategorien lauten wie folgt:

A01:2021 – Broken Access Control

Die am häufigsten aufgefundene Schwachstelle beschreibt die Möglichkeit, Aktionen ohne angemessene Berechtigung ausführen zu können. Dabei kommt es laut OWASP beispielsweise zu Information Disclosure, der Modifikation oder Zerstörung von Datensätzen und Privilegienerweiterung.

A02:2021 – Cryptographic Failures

Zuvor war dies als „Sensitive Data Exposure“ benannt, wobei nun der Fokus mehr auf der Kryptographie liegt. Schwachstellen dieser Kategorie führen ebenfalls zur Offenlegung oder Manipulation von sensiblen Daten.

A03:2021 – Injection

2017 noch die Nummer eins, rücken Injections in diesem Jahr auf den dritten Rang. Integriert in diese Kategorie wurden unter anderem Cross-Site-Scripting und (SQL) Injection, die in vorangegangenen Versionen separat gehandhabt wurden.

A04:2021 – Insecure Design

Diese neue Kategorie setzt ihren Fokus auf Fehler im Design oder der Architektur. Beispiele dafür sind Fehlermeldungen mit sensiblen Informationen oder ungesicherte Spericherung von Anmeldeinformationen. Als Beispiel nennt das OWASP die Passwortwiederherstellung mittels Fragen wie „Was war der Mädchenname Ihrer Mutter?“

A05:2021 – Security Misconfiguration

Integriert in diese Kategorie wurde die „XML External Entities“-Schwachstelle, doch auch Standardkonten oder unnötig geöffnete Ports/Features fallen hier hinein.

A06:2021 – Vulnerable and Outdated Components

Wie auch schon 2017 findet sich hier die Nutzung von Komponenten mit bekannten Schwachstellen wieder. Das beschreibt die Schwachstelle bereits ziemlich gut, wobei das OWASP in ihren Beispielen noch fehlende Kompatibilitätstests von Softwarebibliotheken und fehlende Schwachstellenscans mit aufzeigt.

A07:2021 – Identification and Authentication Failures

Ursprünglich als „Broken Authentication“ betitelt, beinhaltet diese Kategorie nun insbesondere Fehler in der Nutzeridentifikation. Dazu gehören die Möglichkeit „Brute-force“-Angriffe auf Login-Seiten zu durchzuführen, schwache Passwort-Policies oder ineffektive Zwei-Faktor-Authentifizierung.

A08:2021 – Software and Data Integrity Failures

Ebenfalls als neue Kategorie eingeführt, beschreibt sie unter anderem den Download von von Code ohne Integritätsüberprüfung (bei der geprüft wird, ob der Code tatsächlich von der angegebenen Quelle stammt und keine ungewollten Veränderungen enthält). Integriert wurde auch die 2017 als „Insecure Deserialization“ bezeichnete Kategorie.

A09:2021 – Security Logging and Monitoring Failures

Dabei geht es primär um fehlendes und falsches Logging von Angriffen oder die Abstinenz von hilfreichem Monitoring der Infrastruktur. Darunter fallen lokal gespeicherte Logs, fehlende Warnungen während eines Angriffs oder falsches Monitoring selbiger Logs.

A10:2021 – Server Side Request Forgery

Bei der letzten, ebenfalls neuen, Kategorie handelt es sich um die Möglichkeit eines Angreifers, manipulierte Anfragen vom Server zu senden. Dabei sind meist interne Resourcen von Interesse, da die Firewall die Anfragen des Applikationsservers passieren lässt. Dadurch lassen sich beispielsweise interne Netzwerke kartographieren oder sensible Daten aus lokalen Dateien abgreifen. Die bekannte im März veröffentlichte Exchange-Schwachstelle nutzte eine SSRF – dies wird auch zur Entscheidung des OWASP beigetragen haben.

Da es sich noch um einen Entwurf handelt, ist es möglich, dass die Kategorien in der endgültigen Version noch angepasst werden.

Die endgültigen OWASP Top 10 2021 sollen am 24. bzw. 25. September erscheinen, pünktlich zum 20. Jahrestag des OWASP.