Menü
iX Magazin

OWASP veröffentlicht Handbuch zum Schutz gegen automatisierte Angriffe

Als Hilfe für das Absichern von Webanwendungen hat die Non-Profit-Organisation OWASP ein Handbuch für Entwickler herausgebracht, das bislang wenig beachtete Angriffe beschreibt.

vorlesen Drucken Kommentare lesen 1 Beitrag
Hacker-Angriff

(Bild: dpa, Frank Rumpenhorst/Archiv)

Die Non-Profit-Organisation OWASP (Open Web Application Security Project) hat ein Handbuch herausgebracht, das Software-Entwicklern, -Architekten, -Testern und anderen im Kampf gegen eine wenig beachtete Kategorie von Schwachstellen helfen soll: den relevanten automatisierbaren Bedrohungen im Zusammenhang mit dem Missbrauch gültiger Funktionen. Das 72-seitige "OWASP Automated Threat Handbook Web Applications" steht in Version 1.0 kostenlos als PDF zum Download bereit.

Das OWASP-Handbuch beschreibt und klassifiziert automatisiert durchführbare Angriffe.

(Bild: Handbuch OWASP)

Im Wesentlichen geht es um Angriffe, die häufig gar nicht erst als diejenigen erkannt werden, die sie sind, und demzufolge in keiner Statistik und keinem Security-Report auftauchen. Sie werden etwa irrtümlich als Denial-of-Service-Angriff interpretiert, während dieser in Wirklichkeit lediglich ein Nebeneffekt ist. Der eigentliche Angriff, beispielsweise Blog- oder Kommentar-Spam, das Anlegen von Fake-Accounts oder Password Cracking, den Betreiber von Webanwendungen regelmäßig erleben, ist in keiner Schwachstellen-Hitliste verzeichnet. Daraus resultiert eine mangelnde Sichtbarkeit sowie Inkonsistenz der Bezeichnungen, die im Kampf gegen solche Angriffe hinderlich ist.

Bei Webanwendungen sind die wichtigsten Typen von Schwachstellen hinreichend bekannt und es herrscht bei Sicherheitsexperten Konsens über ihre Bezeichnung und Identifizierung. Dafür haben in den vergangenen Jahren unter anderem die zum Quasi-Standard gewordenen "OWASP Top Ten - Die 10 häufigsten Sicherheitsrisiken für Webanwendungen" des Open Web Application Security Project (OWASP) gesorgt.

Daher bestand das erste Ziel des OWASP-Projekt "Automated Threats Handbook Web Applications" darin, ebenfalls eine gemeinsame Sprache für Entwickler, Sicherheitsexperten und alle Betroffenen zu etablieren. Das Projekt hat zahlreiche Quellen von Sicherheits-Reports über akademische Arbeiten oder Schwachstellenauflistungen untersucht, um solche Angriffsszenarien zu aufzuspüren, Bezeichnungen zu finden und sie zu klassifizieren. Weitere Ziele sind das Erkennen solcher Angriffe, der Informationsaustausch mit CERTs und anderen Sicherheitsexperten sowie das Entwickeln von Sicherheitstests und Gegenmaßnahmen. Alle Informationsmaterialien sind frei und unter Open-Source-Lizenz auf der OWASP-Webseite publiziert. Ein zweiseitige Zusammenfassung beschreibt die bis dato wichtigsten Ergebnisse. Darin laden die Autoren überdies alle mit dem Thema Webanwendungen Befassten oder Verantwortlichen ausdrücklich zur Beteiligung ein. (ur)