Wie schützt man sich gegen die OWASP TOP 10?

Das OWASP-Projekt

Das Open Web Application Security Project (OWASP) ist eine Gemeinschaft, in der sich Experten für Anwendungssicherheit aus der ganzen Welt zusammengeschlossen haben, die ihr Fachwissen teilen und gemeinsam daran arbeiten, die wichtigsten Sicherheitslücken in Webanwendungen und -diensten zu identifizieren. Ursprünglich 2004 in den Vereinigten Staaten und 2011 in Europa registriert, hat sich diese Gemeinschaft im Laufe der Jahre weiterentwickelt und ist heute weltweit als führende Organisation im Bereich der Sicherheit von Informationssystemen anerkannt. Ihre Top 10 der wichtigsten Schwachstellen stellt einen Standard dar, der von der Mehrheit der Akteure in der Welt der Cybersicherheit verwendet wird und als Maßstab für eine beträchtliche Anzahl von Vorschriften (PCI DSS, NIS, GDPR und HIPAA) dient.

Wie können Sie Ihre Anwendungen gegen die in der OWASP Top 10 hervorgehobenen Angriffe schützen?

OWASP Top 10 Beschreibung Impact Best Practices R&S®Cloud Protector
Injection Injections (SQL, Befehle, LDAP, XPath), die auftreten, wenn unsichere Daten als Befehl an einen Interpreter gesendet werden.
  • Datenverlust, Korruption oder Offenlegung
  • Kontodiebstahl oder Zugriffsverweigerung
  • Host-Übernahme
  • Server-Scan
  • Vermeiden Sie Interpreter
  • Verwenden Sie parametrierte Schnittstellen oder Mapping-Tool
  • Serverseitige Eingaben auf die Whitelist setzen
  • Benutzereingaben entfernen
  • Steuerung verwenden, um Massenoffenlegung zu vermeiden


Mehr auf Befehlsinjektion SQL-Einschleusung
Fehlerhafte Authentifizierung Anwendungsfunktionen, basierend auf Benutzerauthentifizierung und Sitzungsmanagement werden oft falsch implementiert.
  • Geldwäsche
  • Sozialversicherungsbetrug
  • Identitätsdiebstahl
  • Offenlegung von geschützten Daten
  • Mehrfaktor-Authentifizierung verwenden
  • Standard-Anmeldeinformationen ändern
  • Prüfung auf schwache Passwörter implementieren
  • Fehlgeschlagene Anmeldeversuche begrenzen


Tarifbegrenzung
IP-Reputation

Erfahren Sie mehr: Cloud WAF: Warum brauchen Sie eine Cloud-basierte Web Application Firewall?
Exposition sensibler Daten Bestimmte Webanwendungen oder APIs bieten keinen ausreichenden Schutz in Bezug auf sensible Daten (Finanzdaten, Gesundheitsdaten, persönliche Daten).
  • Offenlegung persönlicher Daten
  • Identitätsdiebstahl
  • Nur benötigte Daten speichern
  • Alle Daten verschlüsseln
  • HTTPS implementieren


Begrenzen Sie die Größe der Header
Externe XML-Entitäten Bestimmte Webanwendungen verwenden XML-Parser, die Verweise auf eine oder mehrere externe Entitäten interpretieren.
  • Datenverlust, Korruption oder Offenlegung
  • Kontodiebstahl oder Zugriffsverweigerung
  • Server-Scan
  • DDoS-Angriffe
  • Verwenden Sie JSON, wenn möglich
  • Upgrade der XML-Bibliotheken
  • Externe Einheit deaktivieren
  • Eingabe löschen


Blacklist-Regeln
Defekte Zugangskontrolle Sehr oft werden Zugriffsbeschränkungen für authentifizierte Benutzer nicht effektiv genug umgesetzt.
  • Verwendung von Administratorenfunktionen
  • Ändern von Kontodaten und Zugriff
  • Offenlegung von Daten
  • Alle Ressourcen verweigern
  • Minimierung des Cross Origin Resource Sharing (CORS)


Artikel auf Path-Traversal
Sicherheit Fehlkonfiguration Verwendung einer unsicheren Standardkonfiguration, offene Cloud-Speicherdienste, schlecht konfiguriert HTTP-Header, Fehlermeldungen mit sensiblen Informationen führen dazu.
  • Zugriff auf Systemdaten
  • Vollständiger Systemkompromiss
  • Ungenutzte Funktion entfernen
  • Konfiguration überprüfen
  • Segmentierte Anwendungsarchitektur
  • Automatisierten Test verwenden


Abfangen von Fehlermeldungen
Cross-site scripting (XSS) Tritt auf, wenn eine Webanwendung Daten von einem Nutzer annimmt und diese ohne Inhaltsüberprüfung an einen Browser weitersendet.
  • Diebstahl von Berechtigungsnachweisen und Sitzungen
  • Malware-Download
  • Ausführung von willkürlichem Code auf dem Browser des Opfers
  • Moderne Web-Frameworks verwenden
  • Benutzereingaben löschen
  • Aktivieren der Inhaltssicherheitsrichtlinie


Artikel über XSS lesen
Unsichere Deserialisierung Von unsicherer Deserialisierung spricht man, wenn eine Anwendung bösartige serialisierte Objekte empfängt.
  • Beliebige Code-Ausführung auf dem Server
  • Digitale Signatur auf serialisierten Objekten
  • Stellen Sie sicher, dass der Wert dem gewünschten Typ entspricht


Blacklist-Regeln
Verwendung von Komponenten mit bekannten Sicherheitslücken Komponenten wie z.B. Bibliotheken, Frameworks oder andere Softwaremodule werden meistens mit vollen Berechtigungen ausgeführt.
  • Hacker kann jede der OWASP-Top-10-Schwachstellen ausnutzen
  • Ungenutzte Funktion entfernen
  • Framework & Bibliotheken aktualisieren
  • Download von offiziellen Quellen


Dedizierte Sicherheits-Engine (für SQL-Injection, etc.)
Generische Signaturen
Virtuelles Patchen
Unzureichende Protokollierung & Überwachung Fehlende oder unwirksame Mittel zur Überwachung und Ereignisprotokollierung kann zu einer Systemempfindlichkeit führen.
  • Ermöglicht einem Hacker, seinen Angriff fortzusetzen
  • Angriffe werden unentdeckt bleiben
  • Jedes Sicherheitsversagen mit Kontext protokollieren
  • Log mit Format wie JSON generieren, um die Zentralisierung zu erleichtern


Überwachungspanel
Umfassende Dashboards

R&S®Cloud Protector kann Ihre ins Internet gehenden Webanwendungen vor den in den OWASP Top 10 hervorgehobenen Angriffen, Zero-Day-Attacs und mehr schützen und gleichzeitig Fehlalarme begrenzen.

Fordern Sie Ihre 14-tägige gratis Testversion an

In nur 60 Sekunden Websites und Anwendungen schützen
Worauf warten Sie?