OWASP Top 10 Schulung

Einführung

• Überblick über OWASP, seine Zwecke und Bedeutung für die Web-Sicherheit
• Erläuterung der OWASP Top 10 Liste
  • A01:2021-Broken Access Control steigt von Platz fünf auf; 94 % der Anwendungen wurden auf irgendeine Form von fehlerhafter Zugriffskontrolle getestet. Die 34 Common Weakness Enumerations (CWEs), die fehlerhafter Zugriffskontrolle zugeordnet sind, hatten in den Anwendungen mehr Vorkommen als jede andere Kategorie.
  • A02:2021-Cryptographic Failures steigt um eine Position auf den zweiten Platz. Früher bekannt als Sensitive Data Exposure, war dies ein breites Symptom und kein Ursache. Der erneuerte Fokus liegt nun auf Versagen im Zusammenhang mit Kryptografie, die oft zu sensiblen Datenoffenlegungen oder Systemkompromissen führt.
  • A03:2021-Injection rutscht auf den dritten Platz. 94 % der Anwendungen wurden auf irgendeine Form von Injection getestet, und die 33 CWEs, die in diese Kategorie fallen, haben das zweitmeisten Vorkommen in den Anwendungen. Cross-site Scripting ist jetzt Teil dieser Kategorie.
  • A04:2021-Insecure Design ist eine neue Kategorie für 2021, mit Fokus auf Risiken im Zusammenhang mit Designfehlern. Wenn wir als Branche wirklich „links“ gehen wollen, müssen wir mehr Bedrohungsmodellierung, sichere Designmuster und -prinzipien sowie Referenzarchitekturen einsetzen.
  • A05:2021-Security Misconfiguration steigt von Platz sechs in der vorherigen Ausgabe auf; 90 % der Anwendungen wurden auf irgendeine Form von Fehlkonfiguration getestet. Mit mehr Verschiebungen hin zu hoch konfigurierbaren Software ist es nicht überraschend, dass diese Kategorie nach oben geklettert ist. Die ehemalige Kategorie für XML External Entities (XXE) ist jetzt Teil dieser Kategorie.
  • A06:2021-Vulnerable and Outdated Components war früher als Using Components with Known Vulnerabilities bekannt und steht auf Platz zwei der Top 10 Community-Umfrage, hatte aber auch genug Daten, um durch eine Datenanalyse in die Top 10 einzuziehen. Diese Kategorie steigt von Platz neun im Jahr 2017 auf und ist ein bekanntes Problem, bei dem wir mit dem Testen und Risikoabwägen kämpfen. Es ist die einzige Kategorie, der keine Common Vulnerability and Exposures (CVEs) zu den enthaltenen CWEs zugeordnet sind, daher werden Standard-Exploit- und Impact-Gewichte von 5,0 in ihre Bewertungen einbezogen.
  • A07:2021-Identification and Authentication Failures war früher Broken Authentication und rutscht von Platz zwei ab. Nun umfasst sie CWEs, die stärker mit Identifikationsfehlern zusammenhängen. Diese Kategorie ist immer noch ein integraler Teil der Top 10, aber die erhöhte Verfügbarkeit standardisierter Frameworks scheint zu helfen.
  • A08:2021-Software and Data Integrity Failures ist eine neue Kategorie für 2021 und fokussiert sich auf Annahmen im Zusammenhang mit Softwareaktualisierungen, kritischen Daten und CI/CD-Pipelines ohne die Integrität zu überprüfen. Eines der schwerwiegendsten Auswirkungen aus den Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS)-Daten, die den 10 CWEs in dieser Kategorie zugeordnet sind. Insecure Deserialization von 2017 ist jetzt Teil dieser größeren Kategorie.
  • A09:2021-Security Logging and Monitoring Failures war früher Insufficient Logging & Monitoring und wurde durch die Branche erweitert (Platz drei) und steigt von Platz zehn auf. Diese Kategorie wurde erweitert, um mehr Arten von Fehlern zu umfassen, ist schwierig zu testen und wird in den CVE/CVSS-Daten nicht gut repräsentiert. Jedoch können Fehler in dieser Kategorie die Sichtbarkeit, Vorfallalarmierung und Forensik direkt beeinflussen.
  • A10:2021-Server-Side Request Forgery wurde durch die Top 10 Community-Umfrage (Platz eins) hinzugefügt. Die Daten zeigen eine relativ niedrige Inzidenzrate mit überdurchschnittlicher Testabdeckung, zusammen mit überdurchschnittlichen Bewertungen für Exploit- und Impact-Potential. Diese Kategorie repräsentiert den Szenario, in dem die Mitglieder der Sicherheitscommunity uns sagen, dass dies wichtig ist, auch wenn es in den Daten noch nicht dargestellt wird.

Broken Access Control

• Praktische Beispiele für fehlerhafte Zugriffskontrolle
• Sichere Zugriffskontrollen und Best Practices

Cryptographic Failures

• Detaillierte Analyse von Kryptografieverfehlern wie schwache Verschlüsselungsalgorithmen oder fehlerhafte Schlüsselverwaltung
• Wichtigkeit starker kryptografischer Mechanismen, sicherer Protokolle (SSL/TLS) und Beispiele für moderne Kryptografie in der Web-Sicherheit

Injection Attacks

• Detaillierte Aufschlüsselung von SQL, NoSQL, OS und LDAP-Injection
• Minderungsstrategien mit vorbereiteten Anweisungen, parametrisierten Abfragen und Escaping von Eingaben

Insecure Design

• Explorieren von Designfehlern, die zu Verletzbarkeiten führen können, wie unzureichende Eingabevalidierung
• Strategien für sichere Architektur und sicherheitsrelevante Designprinzipien

Security Misconfiguration

• Realweltbeispiele von Fehlkonfigurationen
• Schritte zur Verhinderung von Fehlkonfigurationen, einschließlich Konfigurationsmanagement und Automatisierungstools

Vulnerable and Outdated Components

• Identifizieren von Risiken bei der Verwendung verletzbarer Bibliotheken und Frameworks
• Best Practices für Abhängigkeitsmanagement und Updates

Identification and Authentication Failures

• Übliche Authentifizierungsprobleme
• Sicherheitsstrategien, wie z.B. Multi-Faktor-Authentifizierung und korrekte Sitzungshandhabung

Software and Data Integrity Failures

• Fokus auf Probleme wie nicht vertrauenswürdige Softwareaktualisierungen und Datenmanipulation
• Sichere Update-Mechanismen und Datenintegritätsumfänge

Security Logging and Monitoring Failures

• Wichtigkeit des Protokollierens von sicherheitsrelevanten Informationen und der Überwachung auf verdächtige Aktivitäten
• Werkzeuge und Praktiken für ordnungsgemäße Protokollierung und Echtzeitüberwachung zur Frühidentifikation von Brüchen

Server-Side Request Forgery (SSRF)

• Erklärung, wie Angreifer SSRF-Vulnerabilitäten ausnutzen, um auf interne Systeme zuzugreifen
• Minderungsstrategien, einschließlich ordnungsgemäßer Eingabevalidierung und Firewall-Konfigurationen

Best Practices and Secure Coding

• Ausführliche Diskussion von Best Practices für sichere Codierung
• Werkzeuge zur Erkennung von Schwachstellen

Zusammenfassung und weitere Schritte