Laut des Open Web Application Security Project (OWASP), einer Non-Profit-Organisation von Web-Entwicklern, die sich des Kampfes gegen Sicherheitslücken im Netz verschrieben hat, sind ungenügende Zugangsbeschränkungen aktuell die größte Gefahr für Web-Applikationen. Das geht aus einem Entwurf für die OWASP Top 10 für 2021 hervor, der interessierten Entwicklern des Projektes nun vorgelegt wurde. Die letzte OWASP Top 10 stammt aus dem Jahr 2017 – damals standen (wie auch schon 2013) Injection-Lücken ganz oben auf der Liste. Fehlerhafte Zugangsbeschränkungen standen in den Jahren 2017 und 2013 bereits jeweils auf Platz 2.

Das OWASP gilt unter Web-Entwicklern und Software-Projektmanagern als gute Quelle für Informationen zu Sicherheits-Problemen in Web-Apps und zu deren Vermeidung. Das Projekt hat es sich auf die Fahnen geschrieben, das Verständnis von Sicherheitslücken bei den Entwicklern zu verbessern und somit die grundsätzliche Qualität von Software im Internet zu heben. Die Daten, die als Grundlage für die Top-10-Liste dienen, stammen aus Informationen zu Sicherheitslücken, die in öffentlicher Web-Software gefunden und über einschlägige Branchenkanäle gemeldet wurden. Das OWASP führt außerdem regelmäßige Befragungen von Experten durch, die sich direkt mit solchen Lücken auseinandersetzen müssen. Die Organisation betont regelmäßig, dass ihre Informationen hauptsächlich auf Problemen beruhen, die sich mit automatisierten Prozessen finden lassen – was wiederum bedeutet, dass die Top 10 in der Regel den neuesten Infosec-Trends einige Zeit hinterherhinkt.

Krypto-Fails auf Platz 2

Interessant ist, dass Injection-Lücken – lange Zeit Brot und Butter aller, die sich mit dem Absichern von Web-Apps beschäftigen – in der neuen Liste auf Platz 3 abgerutscht sind und sowohl von fehlerhaften Zugangsbeschränkungen als auch von Krypto-Fehlern verdrängt wurden. Das deckt sich mit der Einschätzung des Projektes Common Weakness Enumeration (CWE), welches Code-Injection-Lücken in seiner aktuellen Top-25-Liste gar nicht mehr führt. Der Trend betrifft also nicht nur Software im Netz.

Unter fehlerhaften Zugangsbeschränkungen versteht das OWASP jede Art von Sicherheitslücke, bei der Anmeldeinformationen entweder gar nicht, oder auf eine Art abgefragt werden, die sich umgehen oder austricksen lässt. Für Fälle, in denen der Nutzer falsch identifiziert wird, gibt es eine eigene Kategorie (Platz 7 auf der Liste). Die Kategorie Krypto-Fehler hieß beim OWASP früher "Enthüllung sensibler Daten" und deckt nun ein breiteres Feld ab. Gemeint sind jegliche Arten von Krypto-Fails, von schlecht implementierter oder leichtfertig selbstgestrickter Krypto, über Fehler beim erzeugen von Pseudo-Zufallsdaten bis hin zu – ein ewiger Klassiker – in Systemen fest verbauten, unsicheren Passwörtern.

Cross-Site Scripting (XSS) Lücken, in der bisherigen Liste auf Platz 7, sind jetzt mit Injection-Lücken auf Platz 3 vereint. Dazu gesellt sich dieses Jahr zum ersten Mal Server Side Request Forgery (SSRF) auf Platz 10 der Liste. Zwei weitere Neuzugänge sind die Kategorien "Unsicheres Design" und "Integritätsfehler in Software oder Daten". Bei der letzten Kategorie dreht sich alles um unsichere Annahmen, die Entwickler bei der Eingabe kritischer Daten, bei Software Updates oder beim Entwicklungs- und Veröffentlichungs-Workflow ihrer Software machen.

Die OWASP Top 10 im Detail

Rang OWASP Top 10 2021 2017 1 Broken Access Controls 5 2 Cryptographic Failures 3 3 Injection 1 4 Insecure Design Neuzugang 5 Security Misconfiguration 6 6 Vulnerable and Outdated Components 9 7 Identification and Authentification Failures 2 8 Software and Data Integrity Failures Neuzugang 9 Security Logging and Monitoring Failures 10 10 Server Side Request Forgery (SSRF) Neuzugang

Obwohl die OWASP Top 10 für 2021 noch nicht offiziell ist, eine entsprechende Veröffentlichung wird wohl noch ein paar Monate in Anspruch nehmen, lohnt sich schon jetzt ein Blick in die vollständige Liste. Angesichts der allgegenwärtigen Sicherheitslücken in Web-Applikationen können sich sowohl Entwickler als auch Projektmanager solcher Schwachstellen nie bewusst genug sein. Dabei sollte einem allerdings bewusst sein, dass die Informationen des OWASP nur eine grobe Richtlinie geben können. Sie dienen vor allem dazu, IT-Experten gegenüber häufig auftretende Probleme zu sensibilisieren. Eine Software, die regelmäßig auf die zehn Probleme in der Top 10 untersucht wird, mag sicherer sein, was allerdings nicht bedeutet, dass sie frei von Schwachstellen ist. Das OWASP warnt immer wieder davor, die Top 10 als eine einfache Checkliste zum Abhaken zu missbrauchen – was in der Vergangenheit vor allem in Kreisen des mittleren Managements bei größeren Organisationen wohl immer wieder vorkam.

Wer tiefere Einblicke in die Details der Sicherheitslücken in der OWASP Top 10 wünscht, dem sei der heise Events Online-Workshop von Tobias Glemser am 22. und 23. September nahegelegt. Der Workshop ist auf 20 Personen begrenzt, um genug Raum für die Fragen der Teilnehmer zu bieten. Glemser ist BSI-zertifizierter Penetrationstester und Geschäftsführer der Sicherheitsfirma secuvera und als Chapterlead des German Chapters des Open Web Application Security Project (OWASP) Mitübersetzer der OWASP Top 10.

(fab)