Was ist OWASP?

Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, die 2001 gegründet wurde, um Website-Besitzern und Sicherheitsexperten dabei zu helfen, Webanwendungen vor Cyberangriffen zu schützen. OWASP hat 32.000 Freiwillige auf der ganzen Welt, die Sicherheitsbewertungen und Forschung durchführen.,

Zu den wichtigsten Veröffentlichungen von OWASP gehören die OWASP Top 10, die im Folgenden näher erläutert werden. das OWASP Software Assurance Maturity Model (SAMM), der OWASP Development Guide, der OWASP Testing Guide und der OWASP Code Review Guide.

Die OWASP Top 10

OWASP Top 10 ist ein weithin akzeptiertes Dokument, das die wichtigsten Sicherheitsrisiken für Webanwendungen priorisiert., Obwohl es viel mehr als zehn Sicherheitsrisiken gibt, besteht die Idee hinter dem OWASP Top 10 darin, Sicherheitsexperten zumindest die kritischsten Sicherheitsrisiken bewusst zu machen und zu lernen, wie man sich gegen sie verteidigt.

OWASP bewertet regelmäßig wichtige Arten von Cyberangriffen nach vier Kriterien: einfache Ausnutzbarkeit, Prävalenz, Erkennbarkeit und geschäftliche Auswirkungen und wählt die Top-10-Angriffe aus. Die OWASP Top 10 wurde erstmals 2003 veröffentlicht und wurde seitdem 2004, 2007, 2010, 2013 und 2017 aktualisiert.,

Allgemeine OWASP-Angriffe verstehen und verhindern

Im Folgenden finden Sie Informationen der OWASP Foundation zu fünf wichtigen Webanwendungsangriffen, die normalerweise in der oberen Hälfte der OWASP Top 10 liegen, wie sie sich manifestieren und wie Sie Ihr Unternehmen vor ihnen schützen können. Codebeispiele stammen aus den OWASP Top 10 Richtlinien.

Injection

Eine Injection-Sicherheitsanfälligkeit in einer Webanwendung ermöglicht es Angreifern, feindliche Daten an einen Interpreter zu senden, wodurch diese Daten kompiliert und auf dem Server ausgeführt werden. Eine häufige Form der Injektion ist die SQL-Injektion.,3844d3c3″>

Exploitability: High Prevalence: Medium Detectability: High Impact: High

Beispiele für Injection Attacks

Eine Anwendung verwendet nicht vertrauenswürdige Daten beim Erstellen eines anfälligen SQL-Aufrufs:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

Eine Anwendung vertraut einem Framework, ohne seine Eingaben zu bereinigen, in diesem Fall Hibernate Query Language (HQL):

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

Der Angreifer ändert den Parameter ‚id‘ in seinem Browser, um Code zu senden., Beispiel:

http://example.com/app/accountView?id=' or '1'='1

Dies führt dazu, dass die Abfragen alle Datensätze aus der Kontentabelle zurückgeben und andere schädliche Aktionen auf dem Server ausführen können.

Verhindern von Injektionsangriffen

  • Verwenden Sie eine sichere API, die die Verwendung des Interpreters vollständig vermeidet
  • Verwenden Sie positive oder „Whitelist“ serverseitige Eingabevalidierung
  • Escape Sonderzeichen
  • Verwenden Sie LIMIT und andere SQL-Steuerelemente in Abfragen, um eine Massenfreigabe von Datensätzen im Falle einer SQL-Injektion zu verhindern.,verlockung

    Eine Webanwendung mit defekter oder schwacher Authentifizierung kann von Angreifern leicht erkannt werden und ist anfällig für Brute-Force – /Wörterbuchangriffe und Angriffe auf die Sitzungsverwaltung

    Ausnutzbarkeit: Hoch Prävalenz: Mittel
    Erkennbarkeit: Mittel Auswirkungen: Hoch

    Beispiele für fehlerhafte Authentifizierungsangriffe

    • Credential stuffing━Angreifer verwenden Listen bekannter Passwörter und versuchen sie nacheinander, Zugriff zu erhalten., Ohne automatisierten Bedrohungs-oder Credential Stuffing-Schutz wird die Anwendung von Angreifern als Validierungsmechanismus für jedes Kennwort verwendet, das sie versuchen.
    • Passwortbasierte Angriffe━Webanwendungen, die sich nur auf Kennwörter verlassen, haben von Natur aus schwache Authentifizierungsmechanismen, selbst wenn Kennwörter Komplexitätsanforderungen haben und rotiert werden. Organisationen sollten zur Multi-Faktor-Authentifizierung wechseln.,

    Defekte Authentifizierung mindern

    • Multi-Faktor-Authentifizierung implementieren
    • Stellen Sie keine Systeme mit Standardanmeldeinformationen bereit
    • Suchen Sie nach einer Liste der 10.000 schlechtesten Kennwörter
    • Verwenden Sie die Richtlinien in Abschnitt 5.1 NIST 800-63 B.,1 für gespeicherte Geheimnisse
    • Verhärten Sie alle authentifizierungsbezogenen Prozesse wie Registrierung und Wiederherstellung von Anmeldeinformationen
    • Begrenzen oder verzögern Sie fehlgeschlagene Anmeldeversuche
    • Verwenden Sie einen sicheren, integrierten serverseitigen Sitzungsmanager

    Sensible Daten Exposition

    Sensible Daten sind in der Regel das wertvollste Asset, auf das Cyberangriffe abzielen. Angreifer können darauf zugreifen, indem sie kryptografische Schlüssel stehlen, „Man in the Middle“ (MITM) – Angriffe durchführen oder Klartextdaten stehlen, die gelegentlich auf Servern oder Benutzerbrowsern gespeichert werden.,

    Ausnutzbar: Medium Prävalenz: High
    Nachweisbarkeit: Medium Auswirkungen: High

    Beispiele für Sensible Daten Exposition

    • Keine TLS━wenn eine website kein SSL/TLS für alle Seiten, kann ein Angreifer den Verkehr überwachen, downgrade verbindungen von HTTPS zu HTTP und stehlen die session-Cookies.
    • Ungesalzene Hashes━Die Passwortdatenbank einer Webanwendung kann ungesalzene oder einfache Hashes zum Speichern von Passwörtern verwenden., Wenn ein Angreifer Zugriff auf die Datenbank erhält, kann er die Hashes leicht knacken, z. B. mithilfe von GPUs, und Zugriff erhalten.

    Minderung der Exposition gegenüber sensiblen Daten

    • Identifizieren Sie sensible Daten und wenden Sie geeignete Sicherheitskontrollen an.
    • Speichern Sie keine sensiblen Daten, es sei denn, dies ist unbedingt erforderlich━Verwerfen Sie sensible Daten, verwenden Sie Tokenisierung oder Kürzung.
    • Verschlüsseln Sie alle sensiblen Daten im Ruhezustand mit starken Verschlüsselungsalgorithmen, Protokollen und Schlüsseln.
    • Verschlüsseln Sie Daten während der Übertragung mithilfe sicherer Protokolle wie TLS und HTTP HSTS.
    • Caching für sensible Daten deaktivieren.,
    • Speichern Sie Passwörter mit starken, gesalzenen Hashing-Funktionen wie Argon2, scrypt und bcrypt.

    XML Externe Entitäten (XXE)

    Wenn eine Webanwendung eine anfällige Komponente verwendet, die XML verarbeitet, können Angreifer XML hochladen oder feindliche Inhalte, Befehle oder Code in ein XML-Dokument aufnehmen.,2ba97df6″>

    Ein Angreifer kann Informationen über ein privates Netzwerk erhalten, indem er die Entitätszeile in ändert:

    Minderung von XXE-Angriffen

    • Verwenden Sie einfachere Datenformate wie JSON und vermeiden Sie die Serialisierung
    • Patchen oder aktualisieren Sie alle XML-Prozessoren und-Bibliotheken
    • Deaktivieren Sie die externe XML-Entität und li>
    • Implementieren Sie das Whitelisting und die Bereinigung serverseitiger XML-Eingaben
    • Validieren Sie XML mithilfe von XSD oder einer ähnlichen Validierung
    • Verwenden Sie SAST-Tools, um XXE im Quellcode zu erkennen, mit manueller Überprüfung, wenn möglich

    A5., Defekte Zugriffskontrolle

    Defekte Zugriffskontrolle bedeutet, dass Angreifer Zugriff auf Benutzerkonten erhalten und als Benutzer oder Administratoren fungieren können und dass normale Benutzer unbeabsichtigte privilegierte Funktionen erhalten können. Starke Zugriffsmechanismen stellen sicher, dass jede Rolle über klare und isolierte Berechtigungen verfügt.,verwenden Sie starke Zugriffskontrollmechanismen und verwenden Sie sie in der gesamten Anwendung wieder

  • Erzwingen Sie den Besitz von Datensätzen━Erlauben Sie Benutzern nicht, Datensätze zu erstellen, zu lesen oder zu löschen
  • Erzwingen Sie Nutzungs-und Ratenlimits
  • Deaktivieren Sie die Serververzeichnisliste und speichern Sie keine Metadaten oder Sicherungsdateien im Ordner root
  • Melden Sie fehlgeschlagene Zugriffsversuche an und warnen Sie Administratoren
  • Rate limit API-und Controller-Zugriff
  • Überprüfen Sie JWT-Token nach dem Abmelden

Andere OWASP Top 10 Angriffe

  • Sicherheitsfehlkonfigurationen━Falsch konfigurierte Sicherheitskontrollen sind ein häufiger Einstiegspunkt für Angreifer., Beispielsweise wird eine Datenbank mit einem Standard-Administratorkennwort bereitgestellt.
  • Cross-Site Scripting (XSS)━Angreifer verwenden XSS, um Schwachstellen in der Sitzungsverwaltung auszunutzen und bösartigen Code in Benutzerbrowsern auszuführen.
  • Unsichere Deserialisierung━Deserialisierung ist eine komplexe Technik, aber wenn sie korrekt ausgeführt wird, können Angreifer bösartigen Code auf einem Server ausführen.
  • Verwenden von Komponenten mit bekannten Sicherheitslücken━Die meisten Webanwendungen sind stark auf Open-Source-Komponenten angewiesen, und diese können bekannte Sicherheitslücken enthalten, die Angreifer ausnutzen können, um Zugriff zu erhalten oder Schäden zu verursachen.,
  • Unzureichende Protokollierung und Überwachung━Angreifer verlassen sich auf die fehlende Überwachung und rechtzeitige Reaktion, um mit jedem anderen Angriffsvektor erfolgreich zu sein.

Sehen Sie, wie Imperva Web Application Firewall Ihnen bei OWASP Top 10 Angriffen helfen kann.

Imperva Application Security

Imperva ‚ s industry-leading Web Application Firewall (WAF) bietet robusten Schutz gegen OWASP-Top-10-Angriffe und andere web-Anwendung Bedrohungen. Imperva bietet zwei WAF-Bereitstellungsoptionen:

  • Cloud WAF-legitimen Datenverkehr zulassen und schlechten Datenverkehr verhindern., Schützen Sie Ihre Anwendungen mit einer Cloud‑WAF der Enterprise-Klasse am Rand.
  • Gateway WAF-Halten Sie Anwendungen und APIs in Ihrem Netzwerk sicher mit Imperva Gateway WAF.

Zusätzlich zu WAF bietet Imperva mehrschichtigen Schutz, um sicherzustellen, dass Websites und Anwendungen verfügbar, leicht zugänglich und sicher sind. Die Imperva-Anwendungssicherheitslösung umfasst:

  • DDoS-Schutz-Halten Sie die Betriebszeit in allen Situationen aufrecht. Verhindern Sie, dass jede Art von DDoS-Angriff jeglicher Größe den Zugriff auf Ihre Website und Netzwerkinfrastruktur verhindert.,
  • CDN-Verbessern Sie die Website-Leistung und reduzieren Sie Bandbreitenkosten mit einem CDN für Entwickler. Zwischenspeichern Sie statische Ressourcen am Rand, während Sie APIs und dynamische Websites beschleunigen.
  • Bot-Management-Analysiert Ihren Bot-Verkehr, um Anomalien zu lokalisieren, identifiziert schlechtes Bot-Verhalten und validiert es über Herausforderungsmechanismen, die sich nicht auf den Benutzerverkehr auswirken.
  • API-Sicherheit-Schützt APIs, indem sichergestellt wird, dass nur der gewünschte Datenverkehr auf Ihren API-Endpunkt zugreifen kann, sowie Exploits von Schwachstellen erkannt und blockiert werden.,
  • Account takeover protection – verwendet einen absichtsbasierten Erkennungsprozess zur Identifizierung und Abwehr von Versuchen, Benutzerkonten für böswillige Zwecke zu übernehmen.
  • RASP-Schützen Sie Ihre Anwendungen von innen gegen bekannte und Zero-Day-Angriffe. Schneller und genauer Schutz ohne Signatur oder Lernmodus.
  • Attack analytics-Mindern und reagieren Sie effizient und präzise auf echte Sicherheitsbedrohungen mit umsetzbarer Intelligenz auf allen Verteidigungsebenen.

Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.