22. April 2010
Am Montag ist die neue Version der "OWASP Top 10 Web Application Security Risks" erschienen. Die aktualisierte Liste benennt erstmals keine konkreten Schwachstellen in Applikationen, sondern Risiken von Web-Anwendungen, gewichtet nach ihrer Relevanz für die Unternehmenssicherheit. Dave Wichers, Mitglied des OWASP-Vorstands und COO von Aspect Security, erläuterte: "Dieses Jahr haben wir die Top 10 umgestaltet, um klar zu machen, dass wir von Risiken sprechen, nicht nur von Schwachstellen. Es ist letztlich sinnlos, Schwachstellen priorisieren zu wollen, ohne den Kontext zu betrachten. Man kann keine sachgerechten Entscheidungen fällen, ohne die dahinter steckende Bedrohung und die Auswirkungen auf das eigene Geschäft zu kennen."
Neben einer neuen Gewichtung verschiedener bekannter Schwachstellenkategorien wie Injections, Cross-Site-Scripting oder unsicherem Session-Management sind zwei Bedrohungen neu hinzugekommen: sicherheitsrelevante Fehlkonfigurationen und ungeprüfte Um- oder Weiterleitungen. Die priorisierte OWASP-Top-10-Liste lautet somit nun:
Alexander Meisel, CTO und Geschäftsführer von art of defence, erinnert daran, dass sich durch das Top-10-Update auch der Payment-Card-Industrie-(PCI)-Sicherheitsstandard ändert: Der PCI-DSS gilt für Internet-Shops und alle anderen Web-Anwendungen, die Kreditkarteninformationen verarbeiten, und verweist in Kapitel 6.5 auf die jeweils aktuelle Version der OWASP-Liste.