2021 OWASP Top 10 Lightboard-Unterrichtsvideoserie
Schützen Sie Ihre Web-Apps vor neuen und kritischen Risiken
Die OWASP Top 10 stellen einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen dar. Das Update 2021 enthält Anleitungen zum Schutz moderner Webanwendungen und -architekturen vor Exploits, Missbrauch und Fehlkonfigurationen sowie Empfehlungen zur Minderung neuer Risiken im Zusammenhang mit Software-Lieferketten, CI/CD-Pipelines und Open-Source-Software.
Sehen Sie sich die Lightboard-Lektionsreihe „OWASP Top 10 2021“ auf F5 DevCentral an, um eine Aufschlüsselung der neuen OWASP Top 10 zu erhalten und Folgendes zu erfahren:
- So erstellt OWASP seine Top-10-Liste der kritischsten Sicherheitsrisiken für Webanwendungen.
- Wichtige Änderungen für 2021, einschließlich der Neukategorisierung des Risikos, um die Symptome den Grundursachen zuzuordnen.
- Wann welches Risiko auftreten kann, warum es wichtig ist und wie Sie Ihre Sicherheitslage verbessern können.
Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Softwaresicherheit einsetzt. OWASP pflegt eine Reihe von Projekten, darunter ein Standard-Sensibilisierungsdokument zu den zehn größten Sicherheitsrisiken von Webanwendungen für Entwickler und Sicherheitsexperten.
OWASP Top 10 Übersicht
John erklärt zunächst, was die OWASP Top 10 sind. Er beleuchtet Themen wie die Neuausrichtung des Risikos anhand von Symptomen und Grundursachen, neue Risikokategorien und moderne Anwendungsarchitekturen. Sehen Sie sich im Folgenden ein Video zu jedem der zehn größten Risiken an.
Die 10 besten OWASP-Produkte 2021: Defekte Zugangskontrolle
94 % der getesteten Apps wiesen eine Form fehlerhafter Zugriffskontrolle auf. Fehler können zu einer unbefugten Offenlegung, Änderung oder Zerstörung von Daten und zu einer Ausweitung von Privilegien führen – und zu einer Kontoübernahme (ATO), Datenmissbrauch, Geldstrafen und Markenschäden.
Die 10 besten OWASP-Produkte 2021: Kryptografische Fehler
Kryptografische Fehler, früher bekannt als „Sensitive Data Exposure“, führen zur Offenlegung sensibler Daten und zur Entführung von Benutzersitzungen. Trotz der weit verbreiteten Einführung von TLS 1.3 werden immer noch alte und anfällige Protokolle aktiviert.
Die 10 besten OWASP-Produkte 2021: Injektion
Injektion ist eine breite Klasse von Angriffsvektoren, bei denen nicht vertrauenswürdige Eingaben die Ausführung von App-Programmen verändern. Dies kann zu Datendiebstahl, Verlust der Datenintegrität, Dienstverweigerung und vollständiger Systemgefährdung führen. Das größte Risiko stellen Injektionen zwar nicht mehr dar, sind aber immer noch beträchtlich.
Die 10 besten OWASP-Produkte 2021: Unsicheres Design
Sicherheit muss den Anwendungen inhärent sein. Auch ein sicheres Design kann Implementierungsfehler aufweisen, die zu Schwachstellen führen. Ein unsicheres Design kann nicht durch eine perfekte Implementierung behoben werden.
Die 10 besten OWASP-Produkte 2021: Sicherheitsfehlkonfiguration
Eine der Hauptursachen für Cloud-Sicherheitsverletzungen sind Fehlkonfigurationen der Sicherheit. Informieren Sie sich über die Vorgehensweise und Vermeidung, da dieses Risiko durch die moderne App-Entwicklung, die Wiederverwendung von Software und die Ausbreitung der Architektur über mehrere Clouds hinweg noch erhöht wird.
Die 10 besten OWASP-Produkte 2021: Anfällige und veraltete Komponenten
Viele der größten Sicherheitsvorfälle beruhen auf Exploits in Open-Source-Software. Die jüngste Sicherheitslücke in Log4j2 stellt möglicherweise das bislang schwerwiegendste Risiko in dieser Kategorie dar.
Die 10 besten OWASP-Produkte 2021: Identifizierungs- und Authentifizierungsfehler
Es ist wichtig, die Identität zu bestätigen und eine starke Authentifizierung und Sitzungsverwaltung zu verwenden, um vor Missbrauch der Geschäftslogik zu schützen. Die meisten Authentifizierungsangriffe sind auf die fortgesetzte Verwendung von Passwörtern zurückzuführen. Kompromittierte Anmeldeinformationen, Botnetze und hochentwickelte Tools bieten einen attraktiven ROI für automatisierte Angriffe wie Credential Stuffing.
Die 10 besten OWASP-Produkte 2021: Software- und Datenintegritätsfehler
Diese neue Risikokategorie konzentriert sich auf das Treffen von Annahmen in Bezug auf Softwareupdates, kritische Daten und CI/CD-Pipelines ohne Überprüfung der Integrität. Der Angriff auf die Lieferkette von SolarWinds ist einer der verheerendsten, den wir je erlebt haben.
Die 10 besten OWASP-Produkte 2021: Fehler bei der Sicherheitsprotokollierung und -überwachung
Ohne ordnungsgemäße Protokollierung und Überwachung der App-Aktivitäten können Verstöße nicht erkannt werden. Andernfalls werden Sichtbarkeit, Vorfallwarnungen und Forensik unmittelbar beeinträchtigt. Je länger ein Angreifer unentdeckt bleibt, desto wahrscheinlicher ist es, dass das System kompromittiert wird.
Die 10 besten OWASP-Produkte 2021: Serverseitiger Anforderungsfälscher
SSRF-Fehler treten auf, wenn eine Webanwendung eine Remoteressource abruft, ohne die vom Benutzer bereitgestellte URL zu validieren. Angreifer können die App zwingen, eine Anfrage an ein unerwartetes Ziel zu senden – selbst wenn dieses durch eine Firewall, ein VPN oder eine andere Netzwerk-Zugriffskontrollliste (ACL) geschützt ist.