Drucksache: PHP Magazin 4.18 - OWASP Top 10, Platz 2 und 3 - "Broken Authentication" und "Sensitive Data Exposure"

Geschrieben von Carsten Eilers am Mittwoch, 9. Mai 2018 um 10:04

Im PHP Magazin 4.2018 ist der zweite Artikel einer kleinen Serie zu den OWASP Top 10, den 10 gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und im zweiten Teil geht es natürlich um Platz 2 und 3 der Top 10: "Broken Authentication" und "Sensitive Data Exposure".

Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel lernen Sie den zweiten und dritten Platz kennen.

Injection-Schwachstellen stehen zu Recht nach wie vor auf Platz 1 der OWASP Top 10, sie sind wirklich das größte Risiko für Webanwendungen. Aber auch die "Broken Authentication" steht völlig zu Recht unverändert auf Platz 2. Die Authentifizierung macht man ja, damit man nur erwünschte Benutzer in der Webanwendung hat. Wenn die sich umgehen lässt, könnte man auch gleich darauf verzichten. Was man ja eindeutig nicht will. Und da jeder Cyberkriminelle, der sich unbefugt Zugriff auf die Webanwendung verschaffen will, dafür die Authentifizierung umgehen muss, ist die einem großen Teil aller Angriffe ausgesetzt.

Der Aufsteiger des Jahres 2017 ist die "Sensitive Date Exposure", die von Platz 6 auf Platz 3 gestiegen ist. Was angesichts einiger prominenter Datenlecks im relevanten Zeitraum durchaus angebracht ist.

Das große Problem vieler Webanwendungen besteht ja darin, dass sie den Benutzern möglichst viele Daten zugänglich machen wollen. Die dann natürlich auch einem erfolgreichen Angreifer in die Hände fallen. Die Alternative bestünde darin, einen Teil dieser Daten aus dem Internet unzugänglich zu speichern. Ein Angreifer, der den Webserver unter seine Kontrolle bringt, kann dann nicht darauf zugreifen. Aber auch der Benutzer hat dann keinen Zugriff auf diese Daten, obwohl er ihn vielleicht gerne hätte.

Also muss man notgedrungen das Risiko in Kauf nehmen und die Daten für den Webserver und damit auch einem möglichen Angreifer zugänglich speichern. Und muss sie dann so gut wie möglich vor unbefugten Zugriffen zu schützen. Was eben in der Vergangenheit oft nicht gelungen ist.

Und hier noch die Links und Literaturverweise aus dem Artikel:

[1] OWASP Top 10 - 2017 - The Ten Most Critical Web Application Security Risks (PDF)
[2] OWASP Top 10 - 2013 - The Ten Most Critical Web Application Security Risks (PDF)
[3] OWASP Application Security Verification Standard Project (ASVS)
[4] Carsten Eilers: "Passwörter speichern, aber richtig!"; PHP Magazin 6.2013
[5] Carsten Eilers: "Doppelt hält besser"; PHP Magazin 3.2014
[6] Carsten Eilers: "Ein schmaler Grat"; PHP Magazin 1.2018

Carsten Eilers

Kategorien: Drucksache

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30