Thema der Woche

22. April 2010

Top-10-Risiken für Web-Applikationen aktualisiert

Am Montag ist die neue Version der "OWASP Top 10 Web Application Security Risks" erschienen. Die aktualisierte Liste benennt erstmals keine konkreten Schwachstellen in Applikationen, sondern Risiken von Web-Anwendungen, gewichtet nach ihrer Relevanz für die Unternehmenssicherheit. Dave Wichers, Mitglied des OWASP-Vorstands und COO von Aspect Security, erläuterte: "Dieses Jahr haben wir die Top 10 umgestaltet, um klar zu machen, dass wir von Risiken sprechen, nicht nur von Schwachstellen. Es ist letztlich sinnlos, Schwachstellen priorisieren zu wollen, ohne den Kontext zu betrachten. Man kann keine sachgerechten Entscheidungen fällen, ohne die dahinter steckende Bedrohung und die Auswirkungen auf das eigene Geschäft zu kennen."

Neben einer neuen Gewichtung verschiedener bekannter Schwachstellenkategorien wie Injections, Cross-Site-Scripting oder unsicherem Session-Management sind zwei Bedrohungen neu hinzugekommen: sicherheitsrelevante Fehlkonfigurationen und ungeprüfte Um- oder Weiterleitungen. Die priorisierte OWASP-Top-10-Liste lautet somit nun:

Injection
Cross-Site Scripting (XSS)
Broken Authentication and Session Management
Insecure Direct Object References
Cross-Site Request Forgery (CSRF)
Security Misconfiguration
Insecure Cryptographic Storage
Failure to Restrict URL Access
Insufficient Transport Layer Protection
Unvalidated Redirects and Forwards

Alexander Meisel, CTO und Geschäftsführer von art of defence, erinnert daran, dass sich durch das Top-10-Update auch der Payment-Card-Industrie-(PCI)-Sicherheitsstandard ändert: Der [externer Link] PCI-DSS gilt für Internet-Shops und alle anderen Web-Anwendungen, die Kreditkarteninformationen verarbeiten, und verweist in Kapitel 6.5 auf die jeweils aktuelle Version der OWASP-Liste.