Wir kennen die Sicherheitsrisiken bei der Softwareentwicklung und wissen wie Ihre Softwarelösung schützen können - Das sind die TOP 10 der Schwachstellen nach OWASP
Das Open Web Application Security Project (OWASP) ist ein Open-Source Anwendungs-Sicherheitsprojekt. Das OWASP arbeitet an der Erstellung frei zugänglicher Artikel, Methoden, Dokumentationen, Werkzeugen und Technologien für Web-Sicherheit.
Anfälligkeit für Injektionen
Der Threat Agent kann eine kleine Menge an Code injizieren, um eine Anwendung zur Durchführung von unkontrollierten Aufgaben zu implementieren. Der häufigste (und bekannteste) Injektionsangriff ist eine SQL-Injection, bei der ein Angreifer eine SQL-Anweisung in eine Applikation einfügt, um beispielsweise den Datenbankinhalt beim Angreifer abzuspeichern.
Fehlerhaftes Authentifizierungs- und Session-Management
Sie kennen die Benutzeranmeldeinformationen von Personen, die auf Ihre Systeme zugreifen, aber wissen Sie, wer tatsächlich hinter der Tastatur steht? Hacker können Benutzeridentitäten stehlen und sich hinter einer echten Benutzer-ID verstecken, um einen einfachen Zugriff auf Ihre Daten und Programme zu erhalten. Starke Authentifizierungs- und Sitzungsmanagement-Steuerelemente müssen implementiert werden und es ist sicherzustellen, dass Ihre Benutzer sind, wer sie vorgeben, zu sein.
Cross-Site Scripting (XSS)
XSS-Sicherheitslücken treten immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten übernimmt und sie ohne ordnungsgemäße Validierung oder Verlassen an einen Webbrowser sendet. XSS ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzersitzungen abgreifen, Webseiten unleserlich machen oder den Benutzer auf bösartige Seiten weiterleiten können.
Unsichere Direct Object Referenzen
Die meisten Webseiten speichern Benutzerdatensätze, die auf einem Schlüsselwert basieren, den der Benutzer kontrolliert (wie einen Benutzernamen oder eine E-Mail-Adresse). Wenn ein Benutzer seinen Schlüssel eingibt, ruft das System die entsprechenden Informationen ab und stellt es dem Benutzer zur Verfügung. Eine unsichere Direct Object Referenz tritt auf, wenn ein Berechtigungssystem einen Benutzer nicht daran hindert, Zugriff auf die Informationen eines anderen Benutzers zu erhalten.
Fehlkonfiguration der Sicherheitsmaßnahmen
Das resultiert aus jeder Nichteinhaltung der "Best Practices" für Web-Anwendungssicherheit. Gute Sicherheit erfordert eine sichere Konfiguration, die für die Anwendung, Frameworks, Anwendungsserver, Webserver, Datenbankserver und Plattform definiert und implementiert ist.
Aufdeckung Sensibler Daten
Viele Webanwendungen schützen vertrauliche Daten wie Kreditkarten, Steuer-IDs und Authentifizierungsanmeldeinformationen nicht ausreichend. Angreifer können solche schwach geschützten Daten stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Verbrechen auszuüben.
Fehlender Funktionsebenen-Zugriff
Die meisten Webanwendungen überprüfen die Zugriffsrechte auf Funktionsebene, bevor diese Funktionalität in der Benutzeroberfläche sichtbar wird. Anwendungen müssen die gleichen Zugriffskontrollen auf dem Server ausführen, wenn auf jede Funktion zugegriffen wird. Wenn Anfragen nicht überprüft werden, können die Angreifer in der Lage sein, Anfragen zu fälschen, um auf die Funktionalität ohne ordnungsgemäße Berechtigung zuzugreifen.
Gefälschte Cross-Site Anfragen – Cross Site Request Folgery (CSRF)
Ein CSRF-Angriff beinhaltet das Senden einer Anfrage an eine anfällige Webanwendung mit den Berechtigungsnachweisen eines vertrauenswürdigen Benutzers. Obwohl ein nicht vertrauenswürdiger Dritter die Anfrage generiert, benutzt der Angreifer den Browser des Opfers, um die Glaubwürdigkeit des Opfers auszunutzen. Ein CSRF-Angriff nutzt die Authentifizierung eines vertrauenswürdigen Benutzers aus, um ein System zur Ausführung einer bösartigen Aktion zu bringen.
Verwendung von Komponenten mit Unbekannten Schwachstellen
Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule laufen fast immer mit vollen Berechtigungen. Wenn eine anfällige Komponente ausgenutzt wird, kann ein solcher Angriff einen ernsthaften Datenverlust oder eine Serverübernahme ermöglichen. Anwendungen, die Komponenten mit bekannten Schwachstellen verwenden, können die Softwaresicherheit beeinträchtigen und eine Reihe möglicher Angriffe und Auswirkungen ermöglichen.
Nicht überprüfte Umleitungen und Weiterleitungen
Wenn eine Webanwendung eine ungeprüfte Eingabe akzeptiert, die URL-Umleitungen beeinflusst, können Dritte Benutzer auf bösartige Webseiten umleiten. Darüber hinaus können Hacker die automatischen Weiterleitungsroutinen ändern, um Zugang zu sensiblen Informationen zu erhalten.