Die 10 größten Risiken für Webanwendungen des Open Web Application Security Project

Fazit

Kritik

2007 noch auf Platz 6, nun weggefallen, ist der Punkt "Information Leakage and Improper Error Handling". Typischerweise versteht man darunter jedwede Art von nicht abgefangenen Fehlermeldungen der Datenbank oder PHP-Fehlermeldungen. Auch HTTP 403 statt 404 gehört dazu, da dies als Informationen für eine weitere Vorgehensweise für Hacker dient. Vermeiden lassen sich derartige Gesprächigkeiten durch eine saubere Fehlerbehandungsroutine. Das Phänomen stellt laut den Verfassern der Top 10 keine unmittelbare Gefahr dar.

Ebenso nicht mehr vertreten ist "Malicious File Execution". Kritik an der diesjährigen Liste gab es deswegen von Ryan Barnett (bekannt durch das Apache-Modul mod_security): Der komplette Wegfall des PHP-intrinsischen Punkts sei nicht gerechtfertigt, da Statistiken immer noch zeigen, dass Remote File Inclusion (RFI) trotz sicherer Default-Installation ein erhebliches Problem im Netz darstellen. Letzteres untermauern die diesjährigen Q1-Statistiken von Zone-H.

Blick über den Tellerrand

Das Open Web Application Security Project ist nicht die einzige Institution, die sich um Websicherheit bemüht. Weniger der Allgemeinheit, wohl aber der Websicherheits-Szene bekannt ist das Web Application Security Consortium (WASC). Es ist wie das OWASP Initiator unterschiedlicher Projekte, darunter die im Januar 2010 erschienene "Threat Classification V2". Die Zuordnung "ihrer" Bedrohungen zu denen des OWASP zeigt Jeremiah Grossman (Gründer von WASC und CTO von WhiteHat Security) schön in einem Blog-Eintrag.

Sicherheitsberatern ist die Klassifizierung des WASC hinsichtlich der Benennung der Schwachstellen und Attacken mehr auf den Punkt gebracht. Während die Zusammenfassung aller Injection-Risiken verständlich ist, hätte man sich bei anderen der OWASP-Risiken etwas mehr Abgrenzung gewünscht: Zum Beispiel ist auf den ersten Blick nicht klar, warum das Umgehen einer Authentifizierung nun zu "Failure to Restrict URL Access" gehört und nicht zu "Insecure Direct Object References". Da sind die WASC-Termini eindeutiger. Aufgrund des feinen Unterschieds zwischen Ursache und Wirkung hält der Autor schwache SSL-Chiffren und die Verwendung der Version 2 für ein Konfigurationsproblem. Dave Wichers entgegnete dem auf der OWASP AppSec, dass es Überschneidungen dieser Art nicht auszuschließen sind.

SANS – "SysAdmin, Audit, Networking, and Security" – hat in Zusammenarbeit mit MITRE fast zeitgleich mit den Top 10 des OWASP eine ähnliche Liste herausgegeben, die "Top 25 Most Dangerous Programming Errors". Die Zielgruppe liegt, wie der Name nahelegt, eher bei den Programmierern. Auch von SANS gibt es ein "Mapping" zu den Top 10 des OWASPs. Die SANS Top 25 sind gut strukturiert. Das Schema hat MITRE mit CWE vorgegeben. Vom Umfang her haben SANS und MITRE einen guten Kompromiss zwischen Übersichtlichkeit und Menge an Informationen getroffen.

Fazit

Die neuen Top 10 stellen einen weiteren Schritt nach vorne dar. Es ist ein Werk, das trotz der erwähnten kleinen Wermutstropfen sicherlich seinem Anspruch gerecht wird, für ein gesteigertes Sicherheitsbewusstsein zu sorgen und die Softwaresicherheit im Netz ein weiteres Stückchen voranzubringen. Für die Sensibilisierung hierzulande wichtig: Eine deutsche Übersetzung ist in Arbeit und wird auf der Projektseite im Laufe des Sommers veröffentlicht.

Allerdings ersetzen die Top 10 weder ein Sicherheitskonzept noch -audits und schon gar nicht Sicherheitsprozesse in Firmen. Den drei Klientelen Entwicklern, Auditoren und Managern ist daher im Anhang der Top 10 noch jeweils eine Seite mit weiterführenden Hinweisen gewidmet, viele zu weiteren Projekten des OWASP.

Es bleibt nur zu hoffen, dass viele die Top 10 auch lesen und befolgen, getreu dem Motto: Reichlich Informationen sind da, nutze sie! (ane)

Dirk Wetter
ist Berater und Pentester im Websicherheitsumfeld.