OWASP Top Ten 2010

Neue Version der Web-Application-Risiken beeinflusst PCI-DSS-Vorgabe

21.04.2010 | Redakteur: Stephan Augsten

Risiko Webanwendung: Die OWASP Top Ten gewichtet gängige Anfälligkeiten von Web-Applikationen.

Die OWASP Top Ten, eine Aufstellung der zehn gängisten Sicherheitsprobleme bei Webanwendungen, ist in einer neuen Version erschienen. Dadurch ändern sich auch die Anforderungen des Payment Card Industry Data Security Standard (PCI DSS), der einen Schutz vor den in der Liste aufgeführten Risiken gebietet.

In den aktuellen OWASP Top Ten 2010 von Montag, 19. April 2010, bewertet das Open Web Application Security Project (OWASP) erstmals keine konkreten Schwachstellen in Web-Anwendungen. Vielmehr hat die Organisation gängige Risiken und Sicherheitsanfälligkeiten von Web-Applikationen nach ihrer Relevanz für die IT-Sicherheit gewichtet.

Dadurch haben sich die Verhältnisse innerhalb der OWASP Top Ten teils deutlich verschoben. Injection-Attacken laufen nun der Gefahr durch Cross Site Scripting (XSS) den ersten Rang ab. Auf Platz drei schieben sich unsichere Berechtigungsnachweise und Sitzungstoken vor. Die unter „Broken Authentication and Session Management“ geführten Authentifizierungsschwächen fanden sich in den OWASP Top Ten 2007 noch auf dem siebten Platz.

Infolge dessen ändern sich auch die Anforderugnen für Unternehmen, die Kreditkartendaten speichern oder verarbeiten. Denn der für sie relevante Sicherheitsstandard PCI DSS verweist in Kapitel 6.5 auf die jeweils aktuelle OWASP Top Ten. Demnach müssen Unternehmen ihre PCI-relevanten Web-Applikationen vor diesen Risiken schützen, um den Compliance-Anforderungen zu entsprechen.

Mit Fehlkonfigurationen sicherheitsrelevanter Komponenten und ungeprüften Um- oder Weiterleitungen innerhalb einer Webseite sind zwei Bedrohungen ganz neu hinzugekommen. Um- und Weiterleitungen werden technisch recht häufig in Form von Redirects umgesetzt, die unter bestimmten Voraussetzungen ein Risiko für die Sicherheit von Web-Anwendungen darstellen.

Gelingt es einem Angreifer, einen solchen Redirect zu manipulieren, kann er den Nutzer auf eine bösartige Webseite weiterleiten. In anderen Fällen könnte er auch Funktionen der Applikation nutzen, die von außen gar nicht aufrufbar sein dürften. Dadurch würde er sich gegebenenfalls Zugriff auf Interna, beispielsweise sensible Daten verschaffen.

Diese Gefahr nimmt sich der im OWASP German Chapter aktive Security-Hersteller Art of Defence zum Anlass, um auf die Whitelist-Funktion seiner Web Application Firewall Hyperguard hinzuweisen. In diese Liste kann der Sicherheitsverantwortliche die für eine Web-Applikation zulässigen Weiterleitungen eintragen. Weitere Informationen zur Enterprise Web Application Firewall Hyperguard auf der Website von Art of Defence.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Spamschutz 

Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein:
Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2044537) | Archiv: Vogel Business Media

Themen-Newsletter Update Applikationssicherheit abonnieren.

Hat Ihnen dieser Artikel gefallen?
Wenn Sie wichtige Nachrichten in Zukunft nicht verpassen möchten, dann versorgen wir Sie über unseren Themenkanal-Newsletter gerne direkt mit den aktuellsten News und Fachbeiträgen aus diesem Themenumfeld. Jetzt abonnieren!

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.

RSA SECURITY SUMMIT 2014

Sicherheit neu definiert
 

Bedeutende Trends verändern die IT-Branche – und die Art und Weise, wie wir unsere Geschäfte führen.
 

Neue Chancen bergen jedoch auch neue Risiken und Bedrohungen. Erfahren Sie, welche Perspektive RSA im Hinblick auf den datenbasierten Sicherheitsansatz einnimmt, mit dem Sie Ihr Unternehmen absichern und Risiken managen können.
 

München – 12. Mai 2014
 

JETZT ANMELDEN »