Germany/Projekte/Top 10-2017 Neuerungen

From OWASP
Jump to: navigation, search

==BAUSTELLE! Hier entsteht das deutsche Wiki der OWASP Top 10-2017==

==Bitte benutzen Sie die PDF Version.==

← Einleitung
2017 Inhaltsverzeichnis

PDF version

Sicherheitsrisiken für Anwendungen →
Was hat sich von Version 2013 zu 2017 verändert?

Die Veränderungen haben in den letzten vier Jahren zugenommen, folglich wurden auch die OWASP Top 10 aktualisiert. Wir haben sie vollständig umgestaltet: die Methodik und den Prozess der Datenerhebung erneuert, mit der Community vollständig transparent zusammengearbeitet, die Risiken neu priorisiert, die Beschreibung der Risiken jeweils runderneuert und die Referenzen zu aktuellen Frameworks und Programmiersprachen angepasst. In den letzten Jahren hat sich die eingesetzte Technologie und Architektur von Anwendungen signifikant geändert:

  • Microservices, die in node.js und Spring Boot geschrieben werden, ersetzen traditionelle monolithische Anwendungen. Micro-services bringen neue Herausforderungen an die IT-Sicherheit mit, wie z.B. Vertrauensbeziehungen zwischen Microservices, Containern und das Management der Anmeldedaten. Alter Code, der nie dafür geschrieben wurde, aus dem Internet erreichbar zu sein, wird nun via APIs oder RESTful Web-Service nach außen geöffnet, z.B. mittels Single-Page-Anwendungen (SPA) oder für mobile Apps. Architekturelle Annahmen für den Code, wie z.B. vertrauenswürdige Nutzer, sind nicht mehr gültig.
  • Single-Page-Anwendungen, die in JavaScript-Frameworks, wie z.B. Angular oder React geschrieben wurden, unterstützen die Entwicklung von sehr modularen Clients mit einem großen Funktionsumfang. Das Verlagern von Funktionen auf den Client, die traditionell auf dem Server lagen, erzeugt weitere Herausforderungen für die IT-Sicherheit.
  • JavaScript ist inzwischen die meistgenutzte Sprache im Web, mit node.js auf den Servern und modernen Web-Frameworks wie Bootstrap, Electron, Angular oder React auf dem Client. 

Neue Risiken, auf Basis der Datenerhebung:

Neue Risiken, auf Basis der Expertenumfrage in der Community

Wir haben die Community gebeten, zwei Risiken zu wählen, die zukünftig von größerer Bedeutung sein werden. Aufgrund der Ergebnisse der Expertenumfrage mit über 500 Einsendungen wurden nach dem Streichen von Risiken, die bereits aufgrund der Datenerhebung enthalten waren (z.B. Verlust der Vertraulichkeit sensibler Daten und XXE), folgende Risiken aufgenommen:

  • A8:2017-Unsichere Deserialisierung, die ein externes Ausführen von beliebigem Code und die Manipulation von sensiblen Daten-Objekten auf betroffenen Plattformen ermöglicht.
  • A10:2107-Unzureichendes Logging&Monitoring, das zum Übersehen oder zu beträchtlichen Verzögerungen beim Erkennen von bösartigen Aktivitäten oder digitalen Einbrüchen und dem Bearbeiten der Sicherheitsvorfälle sowie der digitalen Forensik führen kann.

Zusammengeführt oder aus den Top 10 ausgeschieden, jedoch nicht vergessen:


OWASP Top 10 - 2013 OWASP Top 10 - 2017
A1-Injection A1:2017-Injection
A2-Fehler in Authentifizierung und Session-Management A2:2017-Fehler in der Authentifizierung
A3-Cross-Site Scripting (XSS) A3:2017-Verlust der Vertraulichkeit sensibler Daten
A4-Unsichere direkte Objektreferenzen - [mit A7] A4:2017-XML External Entities (XXE) [NEU]
A5-Sicherheitsrelevante Fehlkonfiguration A5:2017-Fehler in der Zugriffskontrolle [vereint]
A6-Verlust der Vertraulichkeit sensibler Daten A6:2017-Sicherheitsrelevante Fehlkonfiguration
A7-Missing Function Level Access Control - [mit A4] A7:2017-Cross-Site Scripting (XSS)
A8-Cross-Site Request Forgery (CSRF) A8:2017-Unsichere Deserialisierung [NEU, Community]
A9-Nutzung von Komponenten mit bekannten Schwachstellen A9:2017-Nutzung von Komponenten mit bekannten Schwachstellen
A10-Ungeprüfte Um- und Weiterleitungen A10:2017-Unzureichendes Logging&Monitoring [NEU, Community]


← Introduction
2017 Table of Contents

PDF version

Application Security Risks →

© 2002-2017 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png